В банкоматах «Росбанка», «Бинбанка» и банка «Петрокоммерц» обнаружен троян

  Компания «Доктор Веб» сообщила о появлении новой угрозы в закрытых сетях банкоматов некоторых российских банков. По информации CNews, речь идет о трех банках – «Петрокоммерц», «Росбанк» и «Бинбанк».

  Уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах пользователей, которые ранее пользовались зараженным банкоматом. Тем самым, с помощью полученной информации злоумышленники получают возможность уводить со счетов людей все деньги, которыми они располагают.

  Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они могли привести к некорректной работе данных устройств. Появившийся недавно вирус действует иначе и, по оценкам экспертов, способен нанести серьезный ущерб клиентам российских банков, которые используют банкоматы.

  Образец этого трояна Служба вирусного мониторинга получила через сервис онлайн-сканера. Dr.Web классифицирует данную вредоносную программу как Trojan.Skimer. Троянский конь собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, - подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества.

  В связи с тем, что, как правило, сети банкоматов не связаны со "всемирной паутиной", единственный способ проникновения на них подобной вредоносной программы - участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода, считают в компании.

  Все это подтверждает результаты проведенных ранее исследований, свидетельствующих о том, что причиной утечек информации в организациях финансовой сферы зачастую становятся их сотрудники. Тем не менее, особенностью данной угрозы является тот факт, что ущерб наносится не только репутации банков, но и их многочисленным клиентам, в частности физическим лицам.

  По информации Securitylab, взлом банкоматов произошел еще осенью, однако банки долгое время не хотели признавать факт массового взлома. Зараженными оказались банкоматы трех банков - "Петрокоммерц", "Росбанк" и "Бинбанк". Больше всего пострадали клиенты Росбанка. Зараженными оказались банкоматы, расположенные на станциях метро, которыми пользуется большое количество людей. Мошенники полностью опустошали счета ничего не подозревающих владельцев пластиковых карт, снимая деньги в банкоматах за границей. По информации пострадавшего клиента Росбанка, деньги которого обналичили в банкомате Загреба (Хорватия), несмотря на признание операций мошенническими и утечку данных о карте из банкомата Росбанка, возвращать деньги Росбанк не собирается. Сотрудники Росбанка заявили, что все опротестованные операции корректно авторизованы, поэтому невозможно опротестовать случаи несанкционированного использования карты.

  Напомним, что недавно компания Sophos сообщала об обнаружении вредоносного программного обеспечения, которое крадет информацию о кредитных картах с банкоматов производства Diebold и, возможно, других компаний.

  Добавлено 26.03.2009

  Аналитики "Лаборатории Касперского" прокомментировали сложившуюся ситуацию. Своей точкой зрения поделился Александр Гостев, руководитель центра глобальных исследований и анализа угроз "Лаборатории Касперского".

  Данная вредоносная программа была обнаружена и добавлена в антивирусные базы компании 19 марта 2009 г. под именем Backdoor.Win32.Skimer.a. Это троянская программа, которая заражает банкоматы популярного американского производителя Diebold (по неподтвержденным данным, речь идет о банкоматах, расположенных на территории РФ и Украины). На сегодняшний день отсутствует информации о реально зараженных машинах. Однако мы предполагаем, что их количество, если таковые вообще существуют, минимально. Зараженные машины становятся уязвимыми для дальнейших действий злоумышленника, а именно: имея специальную карточку доступа, вирусописатель может снять всю наличность, имеющуюся в банкомате, а также получить доступ к информации о всех проведенных через этот банкомат транзакциях других пользователей.

  Backdoor.Skimer.a - первая вредоносная программа, нацеленная на заражение и существование в банкоматах. Мы не исключаем появления новых вредоносных программ, направленных на нелегитимное использование банковской информации и наличных средств.

  По информации CNews, «Росбанк» подтвердил обнаружение в своих банкоматах вируса, позволяющего злоумышленникам получить персональные данные карт клиентов. Однако, согласно заявлению банка, массового распространения данный вирус не получил.

  «Он был выявлен и устранен нашей системой безопасности на начальном этапе. В сети банкоматов «Росбанка», насчитывающей более 1800 устройств, проблемы были обнаружены в четырех. Самое важное - счета клиентов были защищены. В настоящее время банкоматный парк «Росбанка» работает в штатном режиме», - говорится в сообщении «Росбанка».

  Как пояснили в «Росбанке», карты некоторых клиентов, попавшие в список «подозрительных», были заблокированы банкоматами. Клиент, чья карта была задержана устройством, может с паспортом обратиться в любое отделение «Росбанка» с заявлением на ее перевыпуск. «В течение 5-7 рабочих дней банк бесплатно ее перевыпустит. При этом доступ к деньгам открыт через кассу», - уточнили в «Росбанке».