С совершенствованием технологий изменился характер банковских ограблений. Угрожать физической расправой и взламывать сейфы уже не нужно, достаточно знать специфику работы банкоматов и действовать через логические атаки. Последнее время их число увеличилось, угрожая безопасности финансовых организаций.
Изысканное ограбление
Времена классических налетов постепенно уходят в прошлое, а грабители стали умнее. Держать на прицеле работника банка, требуя выдать наличные не обязательно. Финансовые налеты совершаются бескровно, бесшумно, если применяется логическая атака. Раскроем тайны современных налетчиков на банки, чтобы убедиться в том, что нападение возможно не только в отделениях финансовых организаций, но и около обычного банкомата.
Каким атакам подвергается банкомат
Принято различать два типа атак, совершаемых при ограблении банкомата:
- К первым относят физические атаки, включающие механическое воздействие на банковское устройство, хранящее деньги клиентов. Это кража всего агрегата, подрыв газом или взрывчаткой, ограбление в момент работы инкассаторов. Первый вариант не требует быстрого вскрытия устройства на месте. Однако оборудованные «антикражной» капсулой с краской банкоматы окрашивают купюры внутри при малейшей попытке вскрытия, делая работу грабителей бессмысленной.
- Банки в спешном порядке переоборудовали банкоматы красящими капсулами и снабдили защитой от взрывов. Потом грабители перешли к другим средствам захвата с использованием технологий логических атак, через компьютерные программы. Повышенный интерес и массовый переход преступников к новым освоенным технологиям зафиксирован в Европе в период 2015-2016 гг. Тогда рост числа логических нападений увеличился почти втрое.
Когда физическое воздействие бессмысленно, нужно действовать «по уму». И разработчики вредоносных ПО помогли мошенникам решить новую проблему.
Возможности логики безграничны
Первое сообщение о появлении опасного устройства раздался в 2009 году. Тогда на вооружение преступников попал Skimmer, превращающий банкомат в средство считывания информации с полосы на банковской карте. Победное шествие «скиммера» за годы расползлось, и в 2016 году во многих странах фиксировались случаи работы считывающих устройств. Новые модификации Skimmer дорабатываются и применяются до сих пор.
Когда Skimer уже вовсю грабил банки Европы, на другой части планеты «родился» Ploutus. Аналог европейского «скиммера» появился на свет в Мексике в 2013 году, но уже в 2015 году восточноевропейские финансовые структуры фиксировали факты присутствия нового грабителя. Вредоносное обеспечение загружается через диск CD, а далее мошенник управляет банкоматом через ПИН-пад и внешнюю клавиатуру. Эффективность и масштабы работы Ploutus представляют угрозу для банков.
2014 год принес сразу две новости о появлении новых техник грабежей:
- NeoPocket. Основан на работе техники «человека посередине», предусматривая перехват информации о совершаемой транзакции через установочный ключ и внешнюю клавиатуру.
- Tyupkin (aka Padpin). Новый «умный» грабитель был запущен в восточной части Европы и азиатских банках. Он предполагает работу встроенного механизма двухфакторной идентификации с возможностью управления банкоматом. После ввода 1-го ключа на ПИН-паде открывается новая панель для 2-го ключа. После ввода второго ключа открывается доступ к денежным кассетам устройства. В период работы грабителя серверные интерфейсы отключены, потому шансов успеть принять меры против грабителей почти нет.
Годом спустя снова отличились мексиканские грабители. Они «подарили» миру и протестировали в своей стране новый троян, известный как «зеленый раздатчик» (дословный перевод с английского – «грин диспенсер»). После победного шествия на родине троян перебрался в восточноевропейские банки, явив миру новый образец находчивости и ума мошенников.
Представьте себе банкомат как компьютер, работающий на какой-то операционной системе, с USB-слотами и приводами, а также присоединенной емкостью с денежными банкнотами. Получится, что для управления компьютером своими составными частями и входящими в единую систему устройствами требуется расширение. Как, например, при соединении компьютерной мышки для управления ею нужна установка драйвера.
В банкоматах таким драйвером служит расширение, применяющееся специально для финансовых систем, именуемое сокращенно XFS. Оно используется с поставляемой вместе с «Майкрософт Виндоус» библиотекой. Через нее троян подбирается к управлению всеми частями банковского устройства (ПИН-пад, отсек выдачи денежных купюр). Расширение это популярное, поэтому атакам «зеленого раздатчика» подвержен каждый банкомат.
Проблемы на пути мошенников и их решения
Упорство мошенников и неутомимая жажда наживы заставляют двигаться вперед и совершенствоваться. Способов к саморазвитию более чем достаточно. Первоначальный опыт, знакомство с принципами работы банкоматов происходят через покупку списанного устройства. В работе с библиотекой помогают специализированные форумы, где могут поделиться необходимыми файлами на условиях анонимности. Это возможно еще при подключении к преступной группе сотрудника отделения, способного установить вредоносное ПО на банкомат или передать злоумышленникам нужные файлы.
После получения файла, встают новые задачи: заразить вирусом банкомат и опустошить емкости для денежных купюр.
Легче всего использовать в работе человека, доступ которого к сервисной зоне заранее согласован. Им может быть банковский работник либо взломщик-профессионал.
После установки трояна и получения доступа к управлению банкоматом преступникам предстоит выполнить важную стадию ограбления — грабеж и получение наличных. Нужно работать быстро, четко, с продумыванием каждого шага и секунды.
Служба дропов и дроповодов
На помощь грабителю приходит служба спасения в лице дропа. Так называют человека, сотрудничающего с киберпреступниками на этапе снятия наличных. Дропы обналичивают средства преступным способом через банкоматы либо получают деньги по команде из интерфейса управления вирусом. Дроп работает за долю в награбленном. Если масштаб нападения – несколько банкоматов, грабители задействуют группу дропов и их координатора-дроповода.
Задача дропа – только снятие наличных в момент, когда нужная команда поступит в банкомат через интерфейс управления трояном. Организатор ограбления сообщает исполнителю через дроповода код подтверждения, и остается только ввести последнюю информацию.
Чтобы ограблению не мешали люди, после заражения банкомата на экране высвечивается сообщение о том, что аппарат неисправен. Вспомните, как часто вы видели такое сообщение. В тот же самый момент, возможно, грабители уже приступили к делу, тихо, молча, деликатно устранив мешающих клиентов банка.
После ввода статического ПИН-кода дропу предстоит получить второй уникальный ПИН, сгенерированный в случайном порядке через «грин диспенсер». Пройденная аутентификация открывает дропу доступ к функции снятия наличных. Получив награбленное, он удаляет трояна через специальную утилиту SDelete, часто используемую в виде «антифорензик». После него удаленные файлы восстановлению не подлежат, что затрудняет работу криминалистам.
В любой внештатной ситуации достаточно запустить утилиту SDelete, чтобы удалить следы совершаемого преступления.
Будущее – за логикой
Работа вируса GreenDispenser уже на начальных стадиях внедрения дала неплохой урожай. За пару лет грабители опустошили банкоматы на сумму 180 тысяч долларов. По сравнению с другими финансовыми махинациями такие результаты выглядят скромно, однако вряд ли стоит ожидать, что мошенники остановятся на достигнутом. Есть все основания ждать улучшенных технологий для удаленного воздействия на банкоматы. Об этом свидетельствует повышенный интерес пользователей к системным библиотекам банковских устройств и их программному обеспечению.
Физические атаки грабителей на банкоматы по сравнению с логическими атаками менее эффективны и более рискованны, и преступники отказываются от них как от малопродуктивного способа. Нужно только набраться достаточного опыта и знаний для разработки тихих атак, незаметно слизывающих средства из банкоматов за несколько минут.
Не теряйте бдительность!
На каждое действие есть противодействие. Действия грабителей анализируются, делаются выводы о необходимости принятия новых мер и разработке новых задач по безопасности.
Однако все разрабатываемые меры теряют свою силу, если не сохранять бдительность и осторожность при работе с банкоматами финансовых структур:
- Лица, получившие доступ к сервисной зоне, проходят тщательную проверку и контролируются в момент работы с банкоматами.
- Отдельно уделяют внимание программам защиты компьютера, осуществляющего управление работой устройства.
- Рекомендуется установить и настроить защитную систему.
- Регулярная проверка и анализ степени защиты устройств помогут скорректировать работу, сводя к минимуму риск логической атаки.
Сложно предсказать будущее киберпреступлений, но пока существуют деньги, будут действовать и мошенники. Способы атак становятся все более незаметными, заставляя разработчиков вступать в состязательный процесс по созданию новых препятствий на пути грабителей.