Вирусы в банкоматах: заключение

Алексей Стародымов, Марина Пелепец

  Надо заметить, что продукция данного производителя уже не в первый раз оказывается в центре повышенного внимания общественности: в августе 2003 года в США несколько банкоматов Diebold, работающих под управлением ОС Windows XP Embedded, оказались поражены вирусом Welchia. Впрочем, никакого заметного вреда он не принес: вредоносная программа лишь генерировала трафик, пытаясь заразить другие подключенные к сети машины. В итоге из-за перегрузки каналов связи некоторое количество банкоматов временно вышло из строя.

  Вирус использовал дыру в функции удаленного вызова процедур (RPC) интерфейса DCOM. Этот компонент Windows в 2003 году стал одной из самых популярных мишеней для хакеров. Патчи для затыкания дыр в данном модуле Microsoft выпускала несколько раз, в том числе и для XP Embedded. Компания Diebold распространила его среди своих клиентов, однако во избежание повторения подобных инцидентов начала оснащать банкоматы встроенным брандмауэром.

  Что же касается трояна, обнаруженного "Доктором Вебом", то он на первый взгляд гораздо опаснее: если ранее вирусы могли, в худшем случае, привести к некорректной работе банкоматов, то новое детище хакеров теоретически способно нанести ущерб клиентам банков.

  Однако вернемся к Diebold. Эта компания выпускает не только банкоматы, но и машины для электронного голосования, несколько десятков тысяч которых используются в различных государственных учреждениях США. Самое удивительное, что и эти устройства уже не раз подвергались критике за ненадлежащий подход их создателей к вопросам безопасности!

  В 2006 году активистам некоммерческой организации Black Box Voting, позиционирующей себя в качестве защитника прав граждан на выборах, удалось взломать машину для подсчета голосов производства Diebold всего за четыре минуты. Оказалось, что для замены карты памяти, содержащей накопленную в ходе выборов информацию, не нужно иметь ни специального оборудования, ни особых навыков, а обнаружить следы подмены очень сложно.

  В 2007 году в американском штате Огайо была проведена проверка систем для электронного голосования различных производителей, в том числе и Diebold; в конечном итоге во всех машинах были обнаружены критические уязвимости, которые могут негативно повлиять на точность и честность результатов выборов. По словам специалистов, все эти системы не отвечают стандартам компьютерной безопасности и снабжены очень слабой системой защиты, причем речь идет не только о продукции Diebold, но и о машинах компаний Sequoia, Hart Intercivic, Election Systems и некоторых других.

  Ко всему вышесказанному стоит добавить, что в 2003 году анонимному хакеру удалось взломать защиту сервера Diebold и похитить порядка двух гигабайт конфиденциальных данных. В общем, очевидно, что с безопасностью у компании давно наблюдаются серьёзные проблемы, причем они касаются большинства направлений её деятельности. Мы связались с банками "Петрокоммерц" и "Росбанк", банкоматы которых уже успели пострадать от вируса. (Напомним, что с комментарием "Лаборатории Касперского" по этому вопросу можно ознакомиться здесь.)

  По словам Евгении Евмененко, руководителя управления PR и рекламы ОАО Банк "Петрокоммерц", инцидентов, связанных с данным видом мошенничества, повлекших незаконное снятие средств клиентов через банкоматы, не было. Банк полностью контролирует ситуацию и принимает все меры по предупреждению угроз безопасности для своих клиентов. Проблема, связанная с распространением нового вируса в сети банкоматов российских банков, является комплексной и касается абсолютно всех банков, соответственно, банковское сообщество должно разработать единую стратегию и комплекс методов по противодействию данным фактам.

  В банке "Петрокоммерц" данная проблема выявлена на ранней стадии и оперативно были приняты меры для её устранения: на всех банкоматах банка было установлено специальное обновление программного обеспечения, предоставленное фирмой-поставщиком (а именно Diebold), которое позволяет блокировать использование данного вируса, в том числе и при попытках нового "заражения". Этот факт позволяет нам говорить о том, что данная проблема локализована, и банком приняты все возможные меры для предотвращения возможных потерь клиентов.

  Ольга Царегородцева ("Росбанк") рассказала, что вирус не передается по сети, а внедряется в ПО каждого конкретного банкомата. Соответственно, его массовое распространение невозможно. Платежные системы и банки были предупреждены о возможной атаке ещё в середине декабря. Вирус был выявлен и устранен системой безопасности "Росбанка" на начальном этапе. Троян был создан в расчете на банкоматы компании Diebold, которые составляют треть всего банкоматного парка России.

  Проблема троянов для банкоматов должна больше волновать их производителей, банки и писателей антивирусного софта, стремящихся освоить новый рынок, а вот простых пользователей в настоящее время она вряд ли затронет: судя по имеющейся информации, случаев, когда вирус действительно нанес вред клиенту банка, пока ещё не было. И ещё: кто знает, возможно, отечественным банкам уже не раз приходилось сталкиваться с вредоносным ПО применительно к банкоматам, однако оно обнаруживалось и ликвидировалось на самых ранних стадиях распространения, а информации об этом так и не удавалось просочиться в Сеть.

  Куда реальнее в наших широтах напороться на скиммер. Что это такое? Устройство, которое вешается злоумышленниками на слот для пластиковых карточек в банкомате и позволяет считывать информацию с их магнитных лент, а затем и изготавливать дубликаты. Обычно скиммер дополняется специальной малозаметной накладкой на клавиатуру банкомата, или же миниатюрной видеокамерой – эти приспособления должны "без шума и пыли" украсть ваш пин-код.

  Банкоматы с установленными скиммерами находят на просторах СНГ в завидным постоянством, однако излишне драматизировать ситуацию также не стоит: подключайте систему смс-уведомлений о совершенных вами же транзакциях (лучше лишний раз прочитать и удалить скучное сообщение, чем лишиться накоплений за полгода, ведь так?), не пользуйтесь банкоматами на вокзалах и прочих слишком людных местах, а ещё хорошенько присматривайтесь к их внешнему виду – если наблюдается что-нибудь подозрительное, то лучше поискать в окрестностях другую "машину для съёма денег".

  Но перед этим обязательно позвоните в банк и сообщите о своей "находке" – контактный телефон обычно написан прямо на пластиковой карточке. Помните: этот звонок позволит многим менее внимательным и компетентным людям сохранить их деньги и, вполне возможно, даже приведет к обнаружению и задержанию мошенников… Банки ведь старательно оберегают свою репутацию.