17 мая 2016

Невидимые скиммеры в банкоматах

Новости Угрозы

Если вы знаете, что такое скиммер (а если нет, то прочитайте этот пост), то вы, скорее всего, в курсе правил, которым нужно следовать, чтобы не лишиться денег на своей банковской карте. Следует проверять, не прикрепил ли кто-нибудь что-нибудь странное на клавиатуру и картоприемник, и не пользоваться банкоматами, которые выглядят подозрительно. Но что, если преступники научились делать невидимые скиммеры?

Невидимые скиммеры в банкоматах

Это вообще возможно?

Боюсь, что да. Более того, именно этим занимается группа киберпреступников ATM Infector, обнаруженная специалистами нашего Глобального центра исследования угроз (GReAT) вместе с нашей же командой тестирования на проникновение. Участники этой русскоговорящей банды превращают в скиммер сам банкомат!

Двойной джекпот

Похоже, даже киберпреступникам нравится экономика совместного потребления: зачем прикреплять какие-то дополнительные устройства, если все нужное «железо» уже есть в самом банкомате? Все, что нужно сделать, — это установить в банкомате вредоносную программу под названием Skimer и использовать встроенное в ATM устройство для чтения кредитных карточек и клавиатуру для ввода пина, чтобы воровать банковские данные пользователей.

Но это далеко не все. Можно пойти еще дальше и убить сразу двух зайцев: ведь если банкомат уже заражен, можно взять под контроль еще и ту его часть, которая содержит и выдает деньги. Таким образом, преступники из банды ATM Infector могут не только собирать данные банковских карт, но и приказать банкомату выдать всю наличку, которая находится в сейфе автомата.

Преступники, виновные в заражении банкоматов, заметают следы с большой осторожностью. Конечно, они могли бы пройтись по зараженным банкоматам и опорожнить запасы налички. Но это наверняка привлекло бы внимание банков и, скорее всего, привело бы к большому расследованию. Поэтому преступники предпочли по-тихому собирать банковские данные пользователей. Вариант с мгновенным выводом денег, видимо, был оставлен «на потом».

Как действует банда ATM Infector

Как мы недавно писали, банкоматы хорошо защищены от физического взлома, но зачастую уязвимы для хакеров. В нашем случае преступники заражали эти устройства, подключаясь к ним напрямую или же проникая в систему из внутренней сети банка.

Внутри банкоматов находится компьютер, который и берет под полный контроль зловред Skimer — так он превращает банковскую машину в один большой скиммер. После заражения вредоносная программа ведет себя максимально тихо, ожидая команды от своих создателей.

Чтобы разбудить вредоносную программу, преступники вставляют в банкомат специальные карты, на магнитных лентах которых сделана определенная запись. Прочитав эту запись, зловред Skimer может либо выполнить команды, записанные на той магнитной ленте, либо вывести на экран специальное меню управления.

Чтобы программа сделала это, преступник должен извлечь карту и в течение 60 секунд ввести определенный код на клавиатуре для ввода пина. Если все верно, графический интерфейс управления зловредом Skimer появится на экране. С помощью этого меню преступник может запустить 21 команду, в том числе приказать:

  • выдать деньги (40 банкнот из конкретной кассеты);
  • собирать данные о вставленных картах;
  • запустить самоуничтожение зловреда;
  • обновить Skimer (необходимый для этого код записывается в чип карты);
  • сохранить файл с номерами и PIN-кодами банковских карт на чипе данной карты;
  • распечатать собранную информацию о картах на чеке.

Как себя защитить

В посте на Securelist наши эксперты приводят рекомендации для ИТ-специалистов банков, какие файлы им следует искать в своих системах. «Лаборатория Касперского» уже представила полный отчет о киберкампании ATM Infector правоохранительным организациям, компьютерным группам реагирования на чрезвычайные ситуации, финансовым организациям и нашим клиентам, подписанным на сервисы информирования об угрозах.

Что касается обычных пользователей банкоматов, таких как вы и я, то здесь все довольно страшно: невозможно понять, заражен банкомат или нет, без сканирования его операционной системы, ведь он выглядит и работает совершенно как обычно.

Проблема в том, что банки обычно считают ввод PIN-кода доказательством того, что либо транзакцию провел сам пользователь, либо же он плохо следил за своим пином: записал где-нибудь, потерял, позволил подсмотреть или вовсе поделился им с друзьями. Оспорить решение банка в такой ситуации будет сложно, и, вполне вероятно, жертвы ATM Infector своих денег никогда не вернут.

В общем, на 100% защититься от зловреда Skimer невозможно. Однако у нас есть несколько советов, как можно снизить потенциальный ущерб.

1. Хотя идентифицировать зараженные банкоматы невозможно, вы можете минимизировать риски, используя терминалы, установленные в безопасных местах. Лучший вариант — в отделениях банка. Преступникам сложнее заразить такие банкоматы, и технический отдел банка, скорее всего, чаще их проверяет.

2. Регулярно проверяйте все транзакции по карте. Эффективнее всего будет подключить SMS-оповещения: если ваш банк предлагает эту услугу, обязательно пользуйтесь ею.

3. Обнаружив транзакции, которые вы не совершали, немедленно свяжитесь с банком и заблокируйте скомпрометированную карту. Серьезно, сделайте это СРАЗУ ЖЕ. Чем быстрее вы отреагируете, тем выше вероятность, что вы сохраните хотя бы большую часть своих денег.