14 октября 2014

Заприте его! «Программные скиммеры» атакуют банкоматы

Бизнес

Интерпол предупредил о новом типе кибератак, нацеленных на множество банкоматов по всему миру. В ходе криминалистической экспертизы специалисты «Лаборатории Касперского» обнаружили вредоносную программу, заражающую банкоматы. Она позволила злоумышленникам опустошить банкоматы посредством прямой манипуляции и украсть миллионы долларов. Интерпол известил правоохранительные органы пострадавших стран и оказывает помощь в текущих расследованиях.

«Скиммеры» — устройства, подключенные к слотам банкоматов для считывания карт или закрепленные на их клавиатурах для сбора данных платежей, — давно известная угроза, о которой регулярно предупреждают по всему миру. Эти устройства материальны и легко заметны опытному глазу. Поэтому преступники предпочитают устанавливать эти устройства в людных местах, где нет видеонаблюдения, или оно неэффективно. Скиммер позволяет собрать максимум данных, прежде чем устройство обнаружат и демонтируют.

wide

Некто создал чисто программный аналог скиммера. В «Лаборатории Касперского» он проходит под кодовым названием Tyupkin. Это вредонос (конкретнее, бэкдор), который работает в операционной системе банкомата и при получении команды может помочь злоумышленнику снять неограниченную сумму наличных денег. Это все равно требует физического доступа к банкомату, поэтому преступники вставляют загрузочный диск, перезапускают систему и берут банкомат под свой контроль.

Сама вредоносная программа работает в бесконечном цикле ожидания команды с удаленного сервера. Для того чтобы ее труднее было обнаружить, Tyupkin принимает только команды в строго определенное ночное время по воскресеньям и понедельникам. В эти часы нападавшие могут украсть деньги из зараженной машины. «Денежный мул» прибывает к зараженной машине и забирает деньги после процедуры «авторизации», осуществляемой другими преступниками. За дополнительной информацией о сути данной аферы, в том числе за техническими подробностями, пожалуйста, обращайтесь к этой публикации на Securelist.

Киберпреступники все чаще берутся за финансовые институты непосредственно, инфицируя сами банкоматы или запуская направленные APT-атаки против банков.

Tyupkin — наглая и эффективная программа. Преступники, стоящие за ней, четко знают свое дело и полагают (не без причин), что не каждый ожидает подобной атаки. Злоумышленники нападают только на банкоматы, которые не оснащены дополнительной защитой. Например, они избегают банкоматов с установленной охранной сигнализацией.

Этот факт указывает на способ снижения рисков. Физическая безопасность банкоматов должна быть усилена в первую очередь. Заприте его, замените все замки и мастер-ключи на верхней панели, избавившись от предоставляемых производителем по умолчанию. У сервисных служб и инкассаторов необходимые ключи найдутся. Для всех прочих банкомат должен стать неприступным как сейф.

Необходимо также принять и некоторые более тонкие меры. Банкоматы, в большинстве своем, работают на определенных версиях операционных систем Windows. Ранее в этом году, за считанные дни до прекращения Microsoft поддержки Windows XP, хорошо информированные люди заявляли, что до 95% банкоматов в мире работают на XP, несмотря на все ее проблемы с безопасностью. Несанкционированные операции с программным обеспечением осуществить будет проблематично, так как система не должна принимать любой неавторизованный загрузочный диск. Специалисты «Лаборатории Касперского» также предлагают изменить пароль BIOS по умолчанию (даже настаивают на этом). На машинах также должны работать по максимуму обновленные антивирусные пакеты для блокирования активности вредоносных программ, если таковые действительно подсадят.

Бэкдор Tyupkin можно обнаружить и удалить бесплатной утилитой Kaspersky Virus Removal Tool (доступна для скачивания здесь).