2022/11/18 14:18:30

Взлом банкоматов


Содержание

Основные статьи:

Виды атак

2024: Появился вирус, заставляющий банкоматы выдать всю наличку. Под угрозой аппараты NCR и Diebold Nixdorf

В конце мая 2024 года стало известно о появлении нового вредоносного ПО, которое разработано специально с прицелом на европейские банкоматы. Зловред под названием EU ATM Malware может использоваться для вывода средств в полностью автоматическом режиме, что значительно упрощает процесс проведения атак. Подробнее здесь.

2022

В Саратове вынесли суровые приговоры участникам банды, которые 12 лет потрошили банкоматы

В ноябре 2022 года Саратовский областной суд приговорил двоих участников банды воров Александра Ильченко и Владимира Романовича к 17 и 15 годам колонии строгого режима соответственно за хищение денег и драгоценностей. Подробнее здесь.

Житель Перми уже 10 лет ворует деньги из банкоматов необычным способом

В середине ноября 2022 года стало известно о том, что житель Перми уже 10 лет ворует деньги из банкоматов необычным способом. Подробности о совершаемых преступлениях изданию Ura.ru рассказал источник в правоохранительных органах.

По его словам, на протяжении 10 лет примерно раз в год неизвестный грабит банкоматы Сбербанка. Он делает подкоп, снизу вырезает дно у банкомата и похищает деньги в сумме от 3 млн до 5 млн рублей. За 10 лет ущерб составляет порядка 35 млн рублей. Дело к середине ноября 2022 года так и не раскрыто, сообщил собеседник агентства.

Житель Перми уже 10 лет ворует деньги из банкоматов, делая подкоп

По словам источника, группа быстрого реагирования видит автоматическое сообщение о вреде того или иного банкомата и приезжает на место преступления, но не замечает никаких следов взлома, так как все происходит под землей. Пока специалисты разбираются, в чем дело, грабитель скрывается с деньгами.

Однако не всем преступникам удается успешно красть деньги из банкоматов. К примеру, житель Томска под покровом ночи в октябре 2022 года решил распилить вмонтированный в остановку банкомат. Стоило ему притронуться к терминалу, как зазвучала сирена (кажется, это было очевидно для всех, кроме грабителя). Мужчина разнервничался, случайно задел болгаркой свою руку и решил, что свобода дороже денег. Он сбежал, а в банкомате его не дождались 3,9 млн рублей.TAdviser Security 100: Крупнейшие ИБ-компании в России 57.8 т

Похожая неудачная попытка произошла и в Новосибирске. Правда, злоумышленник пришёл не с болгаркой, а с кувалдой и монтировкой. Он начал крушить банкомат, чтобы достать из него деньги. Ящику с деньгами сильно досталось, но вытащить наличку из него так и не удалось. Сбежать с места разгрома тоже не получилось — охранники остановили негодяя и нажали на тревожную кнопку. Спустя пару минут подоспела Росгвардия.[1]

У Альфа-банка и других банков украли 60 млн рублей из-за устаревших банкоматов NCR

Как стало известно в конце октября 2022 года, у Альфа-банка и других банков украли 60 млн рублей из-за устаревших банкоматов. Возбуждено уголовное дело по факту кражи в особо крупном размере (п. «б» ч. 4 ст. 158 УК РФ).

Как пишет «Коммерсантъ», злоумышленники похищали деньги в течение нескольких дней. Преступники вносили поддельные купюры через устаревшие банкоматы американской компании NCR, а затем снимали настоящие деньги в современных банкоматах.

У Альфа-банка и других банков украли 60 млн рублей из-за устаревших банкоматов NC

Обнаружить фальшивки удалось лишь во время инкассации, при этом мошенники продолжали свои махинации даже во время того, как правоохранительные органы приступили к проведению проверки.

В других банкоматах преступники успели снять практически все деньги. Обналичить не удалось 75 тыс. руб. — Альфа-банк отключил в банкоматах функцию принятия банкнот номиналом 5 тыс. руб. В Альфа-банке заявили, что на время следствия откажутся от комментариев. По данным газеты, почти все банковские счета и карты были оформлены на подставных лиц (дропов). Аналогичная афера осталась нераскрытой в 2019 году — тогда в банкоматы МКБ, Юникредит-банка и Райффайзенбанка производства той же NCR внесли около 1,5 млн руб. пятитысячными купюрами «банка приколов», которые обналичили в других устройствах.

В Альфа-банке заявили «Коммерсанту», что не будут давать комментарии по этому вопросу, пока ведется следствие. Газета отмечает, что три года назад банк заявлял, что у них нет банкоматов компании NCR старых модификаций.

Из-за санкций американская фирма прекратила работу в России, в том числе обслуживание банкоматов. Программное обеспечение в них не обновляется, и это не обеспечивает защиту от внесения в банкоматы купюр «банка приколов», отмечает издание.[2]

В Московской области ИИ-система помогла найти кравших деньги из банкоматов воров

В начале июня 2022 года стало известно о задержании в Московской области подозреваемых, которые вскрывали платежные терминалы и банкоматы и уносили кассеты с деньгами. Полиция вычислила злоумышленников, благодаря современной системе видеоаналитики на основе искусственного интеллекта. Судя по видеокадрам в сюжете телеканала «Россия 24», пострадали банкоматы Сбербанка.

Сотрудники уголовного розыска ГУ МВД России по Московской области совместно с коллегами из УМВД России по Ленинскому городскому округу в результате оперативно-разыскных мероприятий задержали двух мужчин в возрасте 25 и 33 лет, один из которых — ранее судимый, подозреваемых в совершении серии краж.

В Московской области ИИ-система помогла найти кравших деньги из банкоматов воров

По информации оперативников, в поселке Дрожжино злоумышленники ночью отжали пластиковую дверь и незаконно проникли в продуктовый магазин. Мужчины взломали информационно-платежный терминал и похитили кассету, в которой находилось около 300 тысяч рублей.

На месте происшествия полицейскими обнаружены отвертка, лом-гвоздодер и топор-колун. Согласно заключению эксперта, следы рук, выявленные на орудиях преступления, совпадают с дактилокартами задержанных. Возбуждено уголовное дело по статье 158 УК РФ «Кража».

«
С применением искусственного интеллекта мы научились предугадывать попытку ограбления: человек склонился неправильно для нормального клиента и уже мы имеем сигнал тревоги, поскольку сегодня при таких ситуациях ИИ уже предполагает, что идет покушение на банкомат, - сообщил заместитель председателя правления Сбербанка Станислав Кузнецов.
»

В банке отметили, что с увеличением числа подрывов банкоматов «Сбер» научился использовать собственные подходы к поиску злоумышленников. Так, например, современные банкоматы обладают трекерами, датчиками слежения, камерами и шифрустройствами.

2021

В банкоматах Diebold-Nixdorf выявлена уязвимость к атакам типа black box

25 октября 2021 года компания Positive Technologies сообщила, что эксперты Владимир Кононович и Алексей Стенников обнаружили уязвимости в банкоматах Wincor Cineo с диспенсерами RM3 и CMD-V5 (на октябрь 2021 года марка Wincor принадлежит компании Diebold Nixdorf). Исследователям удалось обойти защиту от атак типа black box и произвести выдачу наличных. Подробнее здесь.

В России осуждены хакеры, которые обворовали десятки банкоматов

В конце марта 2021 года Промышленный районный суд города Ставрополя приговорил Михаила Гриневича к 16 годам колонии строгого режима за организацию преступной группировки, которая взломала компьютерные системы банка и похищала средства из банкоматов. Сообщники Гриневича получили от 6,5 до 9 лет лишения свободы, сообщает ФСБ. Подробнее здесь.

2020

В Ставропольском крае преступники украли более 13 млн руб. из банкоматов

12 февраля 2020 года стало известно, что Прокуратура Ставропольского края утвердила обвинительное заключение в отношении 9 граждан по делу о 18 эпизодах кражи денежных средств из банкоматов.

По версии следствия, с помощью вредоносных программ участники группировки взламывали банковскую систему защиты через интернет, получали доступ к банкоматам и похищали деньги. Таким образом им удалось украсть средства из 18 банкоматов, расположенных на территории Ставропольского края. Сумма ущерба оценивается в более чем 13 млн рублей.

Злоумышленникам предъявлены обвинения по ст. 210 УК РФ (руководство входящими в преступное сообщество структурными подразделениями и участие в преступном сообществе), ч. 3 ст. 30, п.п. «а», «б» ч. 4 ст. 158 УК РФ (покушение на кражу), ч. 4 ст. 158 (18 эпизодов) УК РФ (кража, совершенная организованной группой в особо крупном размере). Материалы уголовного дела направлены в Промышленный районный суд Ставрополя для рассмотрения по существу[3].

Троих граждан Украины задержали за хищение из банкоматов Сбербанка в 15 городах Боснии и Герцеговины

По данным полиции, за 53 часа грабители успели обчистить 23 банкомата фирмы Payten в нескольких населенных пунктах — в Брчко, Ораше, Тузле, Лукаваце, Кладане, Вогоше, Сараево, Киселяке, Крешево, Хаджиче, Илиже, Мостаре, Читлуке, Зенице, Какане и, наконец, в Бихаче. Подробнее здесь.

Мошенники внесли в банкоматы Сбербанка «билеты банка сувениров» и ограбили их на 3 млн рублей

10 февраля 2020 года стало известно о том, что следователи Красноярского края завершили расследование крупной кражи у местного отделения Сбербанка. Злоумышленники смогли украсть у банка почти 3 млн рублей, пополнив свои счета через банкоматы сувенирными купюрами по 5000 «дублей».

Инцидент произошел в октябре 2018 года. Системы информационной безопасности Красноярского отделения Сбербанка зафиксировали подозрительную активность пользователей банкоматов, установленных в двух магазинах и дополнительном офисе банка. Клиенты массово вносили в приемники аппаратов наличность в объеме от нескольких десятков до 150 тыс. рублей и тут же снимали ее со счетов — но уже в Кургане.

Преступники пополнили свои счета поддельными пятитысячными купюрами — «билетами банка сувениров»

Во время следствия было установлено, что мошенники наклеили на игрушечные банкноты металлизированные защитные полосы, что помогло им «обмануть» банкоматы.

Сбербанк подал заявление в полицию Красноярска. Он пояснил, что согласно внутренним правилам, «с момента зачисления средств на счет клиент получает возможность беспрепятственно распоряжаться ими», поэтому сам факт закладки фальшивок в аппараты полиция сочла кражей в особо крупном размере и возбудила уголовное дело по соответствующей ч. 4 ст. 158 УК РФ.

По подозрению в совершении преступления были задержаны четыре человека, им предъявили обвинения в особо крупной краже. Следствие считает, что организаторы аферы — два брата, «авторитетные в криминальных кругах выходцы из Грузии».

Схема обналичивания «дублей», по данным издания, уже отрабатывалась в Москве, Санкт-Петербурге, Ярославле, Хабаровске, Кургане и еще нескольких российских городах. Отмечается, что все банкоматы, которые использовали злоумышленники, были произведены компанией NCR и относились к старой, крупноформатной серии.[4]

2019

Житель Хабаровского края похитил 90 тыс. руб. используя ошибку в системе переводов денег в банкоматах

26 декабря 2019 года стало известно, что 24-летний уроженец Николаевска-на-Амуре похитил порядка 90 тыс. руб. со счетов 25 человек. Как сообщает пресс-служба УМВД России по Хабаровскому краю, злоумышленник воспользовался особенностями функционирования системы перевода денег через банкоматы (к концу декабря 2019 года банки уже закрыли эту «лазейку»).

Мужчина действовал в крупных торговых центрах и магазинах в разных районах Хабаровска. Похищенные деньги он перечислял на номера сотовых телефонов, а обналичивал при помощи зарегистрированной на его имя банковской карты. Доход от незаконных операций мужчина тратил на азартные игры.

О действиях преступника правоохранительным органам стало известно весной 2019 года. Подозреваемый был задержан при участии бойцов Росгвардии. В ходе обыска по месту жительства мужчины были обнаружены и изъяты SIM-карты нескольких операторов связи и банковская карта.

В отношении преступника было возбуждено уголовное дело по признакам преступления, предусмотренного ч.3 ст.158 УК РФ («Кража с банковского счета»). Мужчина признал свою вину в полном объеме, написал явки с повинной и вернул похищенные средства.

Суд признал молодого человека виновным и назначил ему наказание в виде лишения свободы на срок пять лет условно с испытательным сроком на пять лет. Кроме того, он обязан выплатить штраф в размере 150 тыс. руб.[5]

Предъявлено обвинение хакерам, укравшим из банкоматов Сбербанка и банка «Возрождение» более 10 млн руб.

13 декабря 2019 года стало известно, что Следственный комитет России (СК) предъявил обвинение двум хакерам в грабеже банков путем взлома банкоматов. В своей «работе» преступники использовали специализированное ПО, буквально заставлявшее банкоматы выгружать деньги. Подробнее здесь.

Преступники из Нижнего Тагила грабили банкоматы с помощью радиопомех

14 ноября 2019 года стало известно, что преступная группировка в составе трех жителей Нижнего Тагила грабила банкоматы с помощью радиопомех. Как сообщает пресс-служба МВД РФ, в период с ноября 2017-го по февраль 2019 года таким способом злоумышленники похитили более 8 млн руб.

Деятельность группировки была пресечена сотрудниками ГУ МВД РФ по Свердловской области при участии Росгвардии в феврале 2019 года. На ноябрь 2019 года завершено предварительное расследование, и материалы уголовного дела направлены в Ленинский районный суд Нижнего Тагила.

Как выяснилось в ходе расследования, руководителем группировки является 46-летний ранее судимый мужчина. Он разработал план, согласно которому один из соучастников подыскивал банкоматы, расположенные на первых этажах зданий. Злоумышленник проверял наличие охранной сигнализации, изучал возможность взлома с использованием специального оборудования, путем пролома пола или с помощью разбора стен.

Подтвердив наличие всех необходимых условий для ограбления банкомата, преступники незаконно проникали в помещение и отключали сигнализацию. Далее с помощью электронного устройства для создания радиопомех они блокировали каналы связи комплексов для выдачи и приема денег и, используя газосварочное оборудование, разрезали боковые стенки банкоматов, после чего доставали деньги. Во время процесса один из соучастников следил за окружающей обстановкой и обеспечивал незамедлительный отъезд с награбленным[6].

Тысячи банкоматов в России принимают игрушечные деньги из-за устаревшего ПО

В конце августа 2019 года стало известно о том, что тысячи банкоматов по всей России принимают игрушечные деньги из-за устаревшего программного обеспечения. Атаки производились только на банкоматы компании NCR и только с валидаторами (устройство, распознающее купюры) ABV, HBV и RBV.

Источник «Коммерсанта», знакомый со ситуацией, сообщил, что производителю известно о хищениях с использованием уязвимости в четырех банках: 23 августа 2019 года в банкомат Юникредит-банка внесли 800 тысяч рублей сувенирными купюрами, ранее инциденты произошли в МКБ (565 тысяч рублей) и в Райффайзенбанке (122 тысячи рублей). 

Российские банкоматы не прошли проверку «банка приколов»

Проблема кроется в устаревшей прошивке валидатора. Старые оборудование не поддаётся более точным настройкам шаблонов распознавания. В итоге это приводит к отказу приёма денег банкоматами.

Однако сама NCR, как утверждает источник, не планирует обновлять ПО, а отказалась от поддержки устаревших банкоматов. Компания поддержала идею Центробанка, который считает, что банкам нужно просто обновить парк устаревших устройств.

По словам руководителя отдела исследований «Диджитал Секьюрити» Дмитрия Турченкова, «облегчить себе тестирование нарисованных денег злоумышленники могли, просто купив валидатор». Например, Агентство по страхованию вкладов (АСВ) периодически продает на торгах банкоматы банков-банкротов.

«
Ограничения для покупателей такого оборудования не установлены,— отметили в АСВ. Так, модель банкомата, аналогичная атакованной, продавалась АСВ в составе имущества Промышленного энергетического банка.
»

По данным Центробанка РФ, на начало года в стране было более 200 тыс. банкоматов, из них 135 тыс. — с функцией приема наличных. Согласно информации на сайте NCR, в России установлено 40 тыс. устройств производителя.[7]

2018

Хакеры активно грабят банкоматы, не используя вредоносное ПО

29 ноября 2018 года эксперты «Лаборатории Касперского» поделились информацией о том, что в течение 2017-2018 года им пришлось расследовать ряд странных атак на восточноевропейские банки, объединенные инструментарием под условным названием KoffeyMaker: преступники быстро и практически беспрепятственно опустошали банкоматы и были таковы. Быстро выяснилось, что злоумышленники производили атаки под общим названием black box, которые в большой степени были «физическими».

Фото: securelist.ru
«
Злоумышленник вскрывал банкомат, подключал диспенсер к своему ноутбуку, закрывал банкомат и покидал место преступления, оставив устройство внутри. Дальнейшее расследование показало, что в качестве «орудия преступления» выступал ноутбук с установленными драйверами для диспенсера банкомата и пропатченной утилитой KDIAG; для организации удаленного доступа к нему был подключен USB GPRS-модем. В качестве ОС использовалась Windows, скорее всего, версии XP, ME или 7 для лучшей совместимости с драйверами, — говорится в публикации «Лаборатории Касперского».
»

Диспенсер банкомата подключен к компьютеру без необходимых драйверов
«
Использование злоумышленниками столь «антикварных» операционных систем объясняется очень легко: многие банкоматы до сих пор используют устаревшее ПО, — пояснил Олег Галушкин, директор по информационной безопасности компании SEQ (ранее SEC Consult Services). — Банкоматы — вообще один из самых уязвимых компонентов банковской инфраструктуры, хотя по идее должны быть максимально защищенными. Как правило, основу банкоматов составляются обычные компьютеры на базе ОС Windows, часто устаревших версий, к которым подключены дополнительные аппаратные компоненты, в том числе считыватель карт и диспенсер. Вскрыть внешнюю оболочку банкомата несколько проще, чем диспенсер, в котором хранятся банкноты. При этом у злоумышленников часто есть возможность переподключать диспенсер к постороннему оборудованию — без каких-либо последствий и сигналов тревоги. В конечном счете, комбинация подобных недостатков физической и информационной безопасности делает банкоматы легкой добычей для воров.
»

Дальше ситуация развивалась по типичному сценарию: в нужное время злоумышленник возвращался и имитировал работу с банкоматом, а его сообщник — если таковой был — удаленно подключался к спрятанному ноутбуку, запускал KDIAG и отдавал диспенсеру команду на выдачу банкнот. Дальше злоумышленник(-и) забирал(-и) и деньги, а затем и ноутбук.

«
Всю операцию вполне мог реализовать и один человек, однако партнерская схема, в которой один участник является «мулом» и работает непосредственно с деньгами и банкоматом, а второй за долю от награбленного обеспечивает техническое сопровождение операции, более распространена, — говорится в публикации «Лаборатории Касперского».
»

Как отметили эксперты «Лаборатории», в целом принцип ограбления KoffeyMaker схож с описанным в 2017 году Cutlet Maker (вредоносное ПО для кражи денег из банкоматов, свободно продающееся в Даркнете), однако в этот раз для операции злоумышленниками использовались практически исключительно легитимные программы. Только утилита KDIAG была видоизменена таким образом, что теперь антивирусные продукты детектируют ее как вредоносную.

Добыча злоумышленников может исчисляться десятками тысяч долларов только с одного банкомата. Единственный способ защититься от подобной атаки — применение аппаратного шифрования данных на участке «диспенсер — ATM PC». В публикации указывается, что ранее той же самой версией этой программы пользовались киберпреступники из APT-группировки Carbanak.[8]

Тестирование банкоматов NCR, Diebold Nixdorf и GRGBanking на атаки

14 ноября 2018 года компания Positive Technologies сообщила, что ее эксперты протестировали банкоматы производства NCR, Diebold Nixdorf и GRGBanking и выявили потенциальные риски для банков и их клиентов.

Для атаки Black Box оказались уязвимы 69% исследованных банкоматов. Атака заключается в подключении к диспенсеру особого устройства, запрограммированного на отправку команд для выдачи купюр. В некоторых моделях банкоматов преступнику на это потребуется 10 минут, говорится в отчете.

Большинство банкоматов (85%) недостаточно защищены от атак на сетевом уровне, в частности от подмены процессингового центра, которая позволяет вмешаться в процесс подтверждения транзакции и подделать ответ от центра — одобрить любой запрос на снятие наличных или увеличить количество выдаваемых купюр. В исследовании также приводятся примеры атак на сетевые устройства — GSM-модемы, к которым подключены банкоматы: в результате можно развить атаку на другие банкоматы сети и даже на внутреннюю сеть банка.

Отмечается, что 92% банкоматов уязвимы для атак, связанных с отсутствием шифрования жесткого диска. Так, злоумышленник может подключиться к жесткому диску банкомата напрямую — и в том случае, если содержимое диска не зашифровано, записать на него вредоносную программу и отключить любые средства защиты. В итоге преступник получит контроль над диспенсером.

В 76% банкоматов возможна атака «Выход из режима киоска». Она подразумевает обход ограничений, установленных для обычного пользователя, и выполнение команд в ОС банкомата. По данным экспертов, на проведение такой атаки злоумышленнику понадобится 15 минут, а при тщательной подготовке и использовании автоматизации — еще меньше.

«
В ходе анализа защищенности выяснилось, что в большинстве банкоматов можно свободно подключать сторонние устройства. Это позволяет злоумышленнику подключить клавиатуру или другое устройство, имитирующее пользовательский ввод. В большинстве случаев в банкоматах не было запрета на использование некоторых распространенных комбинаций клавиш для получения доступа к функциям ОС, а локальные политики безопасности были настроены некорректно или вовсе отсутствовали. В 88% банкоматов удалось обойти установленные решения класса Application Control из-за некорректного подхода к формированию списка доверенных приложений или из-за уязвимостей, в том числе нулевого дня, в коде самих средств защиты».
Екатерина Килюшева, аналитик компании Positive Technologies
»

«
В первую очередь логические атаки на банкоматы направлены на их владельцев, однако могут затронуть и клиентов банка. При выполнении работ по анализу защищенности банкоматов мы выявляем уязвимости, связанные с возможностью проведения сетевых атак, ошибками конфигурации ПО и средств защиты, недостаточной защитой периферийных устройств. Все эти недостатки позволяют злоумышленникам похитить деньги из банкомата или перехватить данные платежных карт клиентов. Чтобы снизить риск атак, следует уделить внимание физической защите сервисной зоны, необходимо вести регистрацию и мониторинг событий безопасности как в инфраструктуре, так и на самом банкомате, что позволит вовремя реагировать на возникающие угрозы. Помимо этого, важно регулярно проводить анализ защищенности банкоматов, чтобы своевременно выявлять и устранять существующие уязвимости.
Ярослав Бабин, руководитель группы исследований безопасности банковских систем компании Positive Technologies
»

Уязвимость в банкоматах привела к массовому вбросу фальшивых купюр

В начале сентября 2018 года стало известно о массовом вбросе в банкоматы фальшивых купюр номиналом 5 тыс. рублей. Проблема связана с уязвимостью устаревшего оборудования.

Как рассказали «Ведомостям» сотрудники двух крупных банков, производитель банкоматов NCR предупредил российских клиентов, что мошенники начали активно обналичивать поддельные банкноты через банкоматы со старыми устройствами для проверки купюр.

Крупный производитель банкоматов NCR сообщил о массовом вбросе фальшивых банкнот номиналом пять тысяч рублей

Оценить ущерб собеседники издания затруднились, поскольку еще не все банкоматы инкассированы, но уже ясно, что речь идет о нескольких миллионах рублей убытков на банк.

По данным газеты, уязвимым банкоматам нужна перенастройка программного обеспечения, однако для этого требуется какое-то время, а до тех пор многие банки по совету NCR предпочли временно не принимать в уязвимые банкоматы пятитысячные банкноты.

Представитель Московского кредитного банка (МКБ) Андрей Стром сказал «Ведомостям», что уязвимости подверглись менее 5% их банкоматов. При этом ограничен ли прием пятитысячных купюр, он не уточнил. Альфа-банк после предупреждения NCR перестал принимать такие купюры во всех 18 банкоматах старой модели (0,5% от сети). В Сбербанке заявили, что кредитная организация не вводила никаких массовых ограничений на прием купюр в банкоматах банка.

Чтобы не стать жертвой мошенников, гражданам рекомендуется снимать крупные суммы денег в отделениях банков, а не в банкоматах.

Источники издания в банках отмечают, что найти мошенников будет очень сложно. Так как внесенные в банкомат купюры перемешиваются, и невозможно отследить, кто внес настоящие, а кто фальшивые деньги.

Ранее Центробанк опубликовал статистику по фальшивым купюрам за второй квартал 2018 года. Всего регулятор обнаружил 9415 поддельных денежных знаков, 16 из них — подделки новых банкнот номиналом в 2000 рублей.[9]

2017

Объем незаконных операций с банкоматами и терминалами сократился до 230 млн руб

Согласно статистике за 2017 год, интерес мошенников к атакам на банкоматы и терминалы снижается. Так, объем незаконных операций с ними сократился на треть до 230,7 млн рублей. А ущерб от действий мошенников составил 42 млн рублей.

По информации FinCERT, в основном используются несколько способов взлома банкоматов: подключение к аппаратам устройств, позволяющих ими управлять, удаленное управление после заражения вирусом и физическое воздействие на них (например, взрыв).

Внимание злоумышленников переключилось на CNP-транзакции (англ. Card not present transaction), при которых держатель карты физически может не присутствовать во время и в месте проведения оплаты. Объем последних несущественно (примерно на 1,5%), но вырос, составив 726,4 млн рублей.[10]

Trend Micro и Европол рассказали, как ломают банкоматы

Специалисты компании Trend Micro, а также сотрудники Европейского центра по борьбе с киберпреступностью (European Cybercrime Centre, EC3) представили совместный отчет, озаглавленный «Зарабатывая на вредоносных программах для банкоматов» (Cashing in on ATM Malware). В отчете анализируются как физические, так и сетевые виды атак на банкоматы с использованием вредоносных программ, а также рассказывается, где создают такую малварь[11][12].

По мнению исследователей, за последние годы вредоносы для банкоматов заметно эволюционировали. Так, злоумышленникам более не нужно иметь физический доступ к устройству, чтобы заразить его, они могут осуществлять удаленные сетевые атаки, используя для этого корпоративную сеть банка. В отчете приводятся примеры недавних атак, в которых злоумышленники использовали банковскую сеть для кражи денег и данных кредитных карт из банкоматов, несмотря на ее сегментацию. Исследователи отмечают, что такие атаки не только ставят под угрозу личные данные пользователей и безопасность крупных денежных сумм, но также приводят к нарушению финансовыми учреждениями стандартов безопасности PCI.

Ранее основным способом заражения банкоматов преимущественно был физический взлом: злоумышленникам необходимо было получить непосредственный доступ к устройству и загрузить на него вредоносную программу с помощью USB или CD. Несмотря на то, что эта схема используется и сегодня, злоумышленники нашли новую точку входа: сеть. Этому способствует и то, что сотни тысяч банкоматов работают на операционных системах, которые более не получают обновлений для исправления уязвимостей или для которых скоро перестанут выпускать патчи.

К примеру, в июле 2016 года кибератаке подвергся 41 банкомат в 22 отделениях тайваньского банка First Commercial Bank, в результате чего злоумышленникам удалось похитить порядка 2,5 млн долларов США (80 млн новых тайваньских долларов). В ходе проведенного расследования выяснилось, что для реализации ограбления хакеры предварительно осуществили достаточно сложную сетевую атаку.

2016

Сверло - новый инструмент банкоматных хакеров

В конце октября 2016 года заместитель председателя Сбербанка Станислав Кузнецов сообщил о новом способе кражи денег из банкоматов.

«
Преступление называется drilled box, когда просверливается дырочка в банкомате только определенной марки, подключается шина, и через эту шину выплачиваются мгновенно деньги. Производитель немедленно был проинформирован, что это легко и быстро сделать, но реакции от него не последовало, – рассказал Кузнецов, сообщает ТАСС Информационное агентство России.
»

По словам зампреда Сбербанка, тенденция использовать такой способ кражи появилась буквально четыре-пять месяцев назад. В то же время специалисты по информационной безопасности отмечают, что это уже давно известный способ мошенничества, который сочетает в себе механический и компьютерный взлом.

«
Я считаю, Сбербанк погорячился с новым термином drilled box и напрасно «встряхнул» рынок якобы каким-то новым видом угрозы. Это известная еще пару лет назад проблема, связанная с подключением к блоку управления диспенсером банкомата (устройство модуля выдачи денежных купюр) мошеннического устройства, так называемого Black Box, который минуя системный блок банкомата, дает непосредственную команду диспенсеру на выдачу денег из кассет, без каких-либо операций по картам, – пояснил TAdviser директор по мониторингу электронного бизнеса «Альфа-Банка» Алексей Голенищев.
»

Он добавил, что доступ к шине управления диспенсером можно получить не только, просверлив отверстия в панели банкомата, но и другими способами: например, вскрыв сервисную зону банкомата (открыв дверь и т.п.). Поэтому проблему нужно решать комплексно, а не от конкретного вида «атаки», считает Голенищев. «Проблема решается шифрованием данных/канала передачи данных от системного блока банкомата к диспенсеру. Такие решения есть, и их действительно стоит требовать от производителей», – пояснил он.

В компании Positive Technologies (Позитив Текнолоджиз), специализирующейся на информационной безопасности, тоже подтверждают, что такая техника не нова.

«
Первые упоминания об использовании сверл для проникновения в кабинетную зону банкомата датированы еще 2013 годом (до этого сверло просто использовали для того, чтобы заполнить банкомат газом и взорвать). Однако интерес к логическим атакам на банкоматы вновь привлек внимание злоумышленников и к этому сценарию, – говорит TAdviser руководитель отдела безопасности банковских систем компании Positive Technologies Тимур Юнусов.
»

По его словам, есть несколько самых популярных способов логических атак на банкоматы:

  • подключиться к устройству, выдающему купюры (диспенсеру), и напрямую отправить команды на выдачу денег. Последние модели банкоматов более или менее защищены от подобных атак.

  • подключиться к кардридеру и незаметно снимать карточные данные для последующего изготовления карт-дубликатов

  • использовать недостатки сетевых настроек для того, чтобы перехватывать данные, уходящие в банк. Таким образом можно как снимать карточные данные, так и заставлять банкомат выдать деньги с любой карты, даже не изменив баланс на ней.

  • подключиться к системному блоку, обойти средства защиты и установить зловреда, который будет производить те же самые манипуляции: сохранять карточные данные или выдавать деньги «по команде».

На банкоматы какого производителя жаловались в Сбербанке, в пресс-службе компании не комментируют. В других финансово-кредитных учреждениях тоже не говорят об этом. По словам источника в одном из банков, раскрывать эту информацию никому не выгодно: «Так как умельцы сразу начнут изучать банкоматы и сверлить их».

В компании Positive Technologies считают, что теоретически такое можно сделать с банкоматом любого производителя. По словам Тимура Юнусова, у любых банкоматов кабинетная зона всегда защищена очень слабо – по большому счету это обычная дверка из непрочного металла и пластика.

«
Самые популярные производители банкоматов – NCR, Diebold Nixdorf, Wincor Nixdorf. У каждого вендора найдется по 2−3 самых популярных модели. К каждой из них можно теоретически применить ту или иную атаку, все зависит от модели, настроек безопасности, недостатков конкретной сборки и человеческого фактора, – считает Тимур Юнусов.
»

Точно знать в каком месте сверлить, куда подводить провода и к чему в итоге подключаться – это своего рода нейрохирургическая операция, для которой нужна практика, считает эксперт.

Эксперты прогнозируют рост числа атак на банкоматы в РФ на 30%

Количество хакерских атак как на банки, так и на банкоматы в России вырастет на 30% в 2017 году. Такой прогноз приводится в исследовании, опубликованном специалистами компании Positive Technologies.

По данным FinCERT, в период с июня 2015 года по май 2016 года в России было зафиксировано 17 случаев, связанных с несанкционированным доступом к ПО банкомата и последующей попыткой хищения денежных средств. В ходе атак злоумышленники совершили попытки хищения денежных средств на сумму более 100 млн рублей, отметил аналитик Positive Technologies Вадим Соловьев.

Как указывается в исследовании, число логических атак на банкоматы с применением вредоносного ПО в Европе в 2016 году увеличилось на 287% по сравнению с предыдущим годом. К примеру, ущерб от краж с использованием только одной вредоносной программы GreenDispenser в странах Восточной Европы в 2015-2016 годах составил порядка $180 тыс. Как отметил Соловьев, в настоящее время не зафиксировано случав заражения банкоматов в России вредоносным ПО GreenDispenser, однако схожее устройство банкоматов позволяет злоумышленникам использовать один и тот же вредонос в кампаниях по всему миру.

В частности GreenDispenser, использовавшийся в атаках на банкоматы в Мексике в 2015 году, спустя некоторое время был замечен в странах Европы. Как пояснил Соловьев, злоумышленникам удобнее переключаться с одной страны на другие регионы, где еще не готовы к отражению подобных атак.

По словам эксперта, преступники получали доступ в сервисную зону банкомата и устанавливали вредоносное ПО GreenDispenser. Затем специальные люди, так называемые дропы, с помощью трояна снимали с банкомата деньги. Так как GreenDispenser рассчитан только на выдачу денежных средств, а не хищение данных банковских карт, на экране банкомата высвечивалось сообщение о том, что устройство временно не работает с целью предотвратить выдачу денег обычным владельцам банковских карт.

Для того чтобы снять деньги с банкомата, дроп должен был ввести два PIN-кода, установленных разработчиками трояна. После этого он получал доступ к интерфейсу управления вредоносом, где доступна функция выдачи наличных. Успешно опустошив банкомат, дроп удалял GreenDispenser из системы.

Подобные атаки могут принять массовый характер, предупреждают специалисты. При разработке финансовых приложений на платформе Microsoft Windows используется специальный стандарт Extension for Financial Services для совместимости программного обеспечения оборудования банкоматов с различными устройствами, который применяется всеми крупными производителями банкоматов.

ЦБ рассказал о беспроводном способе кражи денег через банкоматы

17 марта 2017 года в Центробанке РФ рассказали о новом способе кражи денег через банкоматы. Речь идет о дистанционном методе.

«
Мы всегда, когда говорили о скимминге, отмечали, что злоумышленник должен поставить что-то на банкомат, теперь новая технология появилась, беспроводная, — сообщает ТАСС Информационное агентство России со ссылкой на заместителя начальника главного управления безопасности и защиты информации Банка России Артем Сычев.
»

По его словам, новизна заключается в том, что злоумышленники размещают устройства не на сам банкомат, а рядом с ним, и используют оборудование для хищения средств с банковских карт. При этом защищающие банкоматы датчики движения, вскрытия и т. п. не срабатывают.

Злоумышленники научились красть деньги с банковских карт без установки оборудования на сам банкомат

Артем Сычев не пояснил, распространяется ли технология на все банкоматы или только на отдельные модели. Также он не назвал объемы средств, которые злоумышленники украли со счетов клиентов банков таким беспроводным путем.

Сычев подчеркнул, что входящий в ЦБ Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) проинформировал банки о новом способе мошенничества.

Об изобретенном мошенниками беспроводном методе хищения средств с банковских карт через банкоматы Адней Сычев рассказал на XIX Всероссийской банковской конференции. Там же представитель Банка России заявил, что регулятор получил от Интерпола информацию о большом объеме скомпрометированных карт клиентов российских банков.[13]

Число «засвеченных» карт представитель ЦБ затруднился назвать, но отметил, что объем информации по этим картам занимает почти 500 Мбайт.

«
Скорее всего, это результат скимминга в Европе. Это карты, которые использовались при поездке за рубеж. Скорее, это Южная Европа — Болгария, Румыния и тому подобное. Информация пришла от румынских коллег, — уточнил Сычев.
»

См. также

Примечания