Хакеры добрались до банкоматов
В России обнаружен первый вирус, поражающий банкоматы. Вирус способен как украсть средства со счетов держателей карт, так и заставить банкомат выдать злоумышленнику всю имеющуюся наличность. Эксперты по безопасности говорят, что ключевым моментом является то, умеет ли вирус передвигаться по банковским сетям или для заражения банкомата нужен физический доступ. По их мнению, защита от новой угрозы может обойтись банкам в 1,25 млрд руб.
Антивирусная компания «Доктор Веб» сообщила о вирусе, способном заражать банкоматы и считывать конфиденциальную информацию с кредитных карт. «Уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах пользователей - с помощью полученной информации злоумышленники получают возможность уводить со счетов людей все деньги, которыми они располагают», - говорят представители антивирусной компании. По их словам, вирус заражает только банкоматы производства американской компании Diebold.
В самой Diebold говорят, что обнаружили вирус в январе 2009 года и успели своевременно внести необходимые изменения в ПО и предупредить банки-клиенты. «Компания знает о существовании компьютерных вирусов, созданных для банкоматов. В январе 2009 года мы проинформировали об этом своих клиентов, банкам предоставлена специально разработанная компонента ПО и инструкция по безопасности. На данный момент случаев получения доступа к базам данных банковских клиентов не зафиксировано. Для того чтобы внедрить вредоносное ПО, мошенники должны иметь физический доступ к «начинке» конкретного банкомата», - говорится в сообщении Diebold. Представители Visa и MasterCard отказались от комментариев. «В настоящее время всеми заинтересованными сторонами проводится активная работа по анализу причин произошедшего, выявлению количества банкоматов, подвергнутых атаке со стороны мошенников, выработке технических и организационных мер, рекомендаций и требований по снижению уязвимости терминального оборудования», - говорится в сообщении Ассоциации российских членов Europay (членами ассоциации являются российские кредитные организации - участники платежной системы MasterCard).
Код вируса изучил эксперт компании Perimetrix Денис Зенкин. По его словам, создатель кода должен был обладать детальной информацией об операционной системе, используемой в банкоматах, при этом код может работать с рублевыми и долларовыми счетами или счетами в гривнах, что указывает на то, что код был создан или в России, или на Украине. В «Лаборатории Касперского» также проанализировали принцип действия вируса. Зараженные машины становятся уязвимыми для дальнейших действий злоумышленника; имея специальную карточку доступа, можно снять всю наличность, имеющуюся в банкомате, а также получить доступ к информации обо всех проведенных транзакциях. «Написать код мог либо сотрудник самой Diebold, либо бывший или действующий сотрудник банка - партнера компании», - говорит Денис Зенкин. «Вирусописателю в период создания вредоносной программы нужен был постоянный доступ к банкомату, для того чтобы «тестировать» свое творение», - добавляет Александр Гостев, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского». В Diebold отказались комментировать, проводилось ли в компании какое-то внутреннее расследование.
По словам начальника сектора платежных систем службы безопасности Газпромбанка Николая Пятиизбянцева, банковское сообщество столкнулось с хорошо организованной и высококвалифицированной группой мошенников. «Принципиальным является вопрос, может ли злоумышленник заразить банкомат по внутренней сети банка, - рассуждает г-н Зенкин, - тогда это может сделать сотрудник IT-службы банка, и надо ожидать, что подобные вирусы станут очень серьезной угрозой». «Сейчас на рынке представлено несколько антивирусов для банкоматов, в частности от McAfee и Trend Micro. Даже при самых оптовых закупках цену на софт вряд ли удастся снизить ниже 5 тыс. руб. В России сейчас имеется около 250 тыс. банкоматов. В итоге максимальные затраты на антивирусы могут составить 1,25 млрд руб.», - подсчитала Татьяна Менькова, аналитик ИК «Финам».
РБК daily
Хакеры добрались до банкоматов
Автор темы
Элли Камилали
, 26 мар 2009 08:39
Сообщений в теме: 7
#2
Алексей Шемшурин
-
- Супермодераторы
-
- 14 732 сообщений
Романтик
6 711
Очень хороший
Очень хороший
-
Страна, Город:
Москва - Пол:Мужчина
Отправлено 26 Март 2009 - 10:02
По-моему этот вирус больше действует как деструктивный психовирус. На деле же ИМХО все не так опасно.
Эту информацию я несколько дней назад на mail.ru читал, смотрю она быстро по инету разлетелась.
Эту информацию я несколько дней назад на mail.ru читал, смотрю она быстро по инету разлетелась.
#3
Отправлено 27 Март 2009 - 09:35
Раскрутка информации о «троянах» в банкоматах: забота о безопасности или погоня за дутой «сенсацией»?
Обсуждение в СМИ и профессиональных кругах факта обнаружения в ряде установленных на территории России банкоматов «трояна», способного компрометировать информацию держателей карт, набирает обороты. В связи с этим редакция журнала «ПЛАС» решила прокомментировать сложившуюся ситуацию.
Почему эта информация, появившаяся сразу в ряде СМИ, получила такой резонанс? Вначале рассмотрим те немногочисленные конкретные обстоятельства, которые сегодня активно муссируются журналистами. Итак, основной акцент делается на имени производителя ATM и том факте, что угроза безопасности была обнаружена именно в России. Однако наши внешние эксперты, с которыми редакция журнала обсудила проблему, полагают, что это всего лишь «его величество случай». Аналогичная ситуация могла возникнуть с любыми терминалами банковского самообслуживания, независимо от их производителя и типа, и в любой стране.
Почему эксперты придерживаются такого мнения? Дело в том, что в отличие от таких публичных сетей, как Интернет, банкоматная сеть абсолютно защищена от любых попыток заражения «вирусом» извне. Таким образом, возникновение подобных инцидентов невозможно без участия инсайдеров. В свою очередь, инсайд является сегодня одним из наиболее опасных и при этом весьма распространенных видов мошенничества, как, впрочем, и любых корыстных преступлений в целом, бороться с которым чрезвычайно проблематично.
Вывод о причастности к инциденту инсайдеров подтверждается мнениями множества специалистов в области безопасности, хотя эксперты, работающие в настоящее время в банках, насколько стеснены в своих официальных выводах в силу корпоративных обязательств. Высказывания специалистов, не ограниченных столь жесткими рамками, гораздо более определенны: «тот факт, что банкоматы большинства банков не связаны со «всемирной паутиной», но объединены в свои собственные изолированные сети, а также и то, какие приемы были использованы для написания вируса, позволяет предположить, что для создания и последующего заражения «вирусописатели» использовали сотрудника банка или сервисной компании, обслуживающей банк в рамках аутсорсинга».
К чести производителя банкоматов, имя которого фигурирует в данном инциденте, следует подчеркнуть, что он уже успел предпринять максимально эффективные меры, направленные на минимизацию ущерба как своих банков-клиентов, так и их клиентов – держателей карт. При этом любой вендор в подобной ситуации сразу после получения экстренной информации, касающейся проблем безопасности банкоматов, следует, как правило, определенному алгоритму в решении задач минимизации ущерба для всех участников процесса: для своих банков-клиентов, для держателей карт, пользующихся сервисами кредитных институтов и сервисных компаний, а также для самого вендора и его партнеров. В данном случае вендором было оперативно распространено официальное сообщение следующего содержания: «клиенты компании проинформированы о случившемся. С целью минимизации риска несанкционированного доступа к данным держателей, чьи карты обслуживаются в банкоматах, им предоставляется специально разработанная компонента ПО и подробная инструкция по безопасности». В своем сообщении вендор также напоминает своим клиентам «о необходимости следовать общепринятым в индустрии нормам безопасности, таким, как ограничение физического доступа к банкоматам, управление паролями и обновление ПО».
Теперь перейдем к еще одному упомянутому обстоятельству. Почему данная проблема возникла именно в России? Опять же, по воле случая. Ведь в других странах проблем с безопасностью банкоматов ничуть не меньше. Убедиться в этом можно, как минимум, ознакомившись с соответствующей информацией на любых специализированных ресурсах, включая http://www.plusworld.ru.
В заключение перейдем к вопросу, стоящему в заголовке настоящего материала. Почему эта информация до сих пор столь активно обсуждается на многих информационных ресурсах? Разумеется, нельзя отрицать, что кто-то действительно заботится таким образом о безопасности участников рынка. Однако более вероятными видятся несколько иные причины. С одной стороны, многочисленные блоггеры, получив доступ к конфиденциальной информации производителя ATM, направленной в банки, решили потешить собственные амбиции. С другой стороны, не исключено, что здесь сыграло свою роль обострение конкурентной борьбы на появившемся в России вторичном рынке ATM. Со своей стороны, журнал «ПЛАС», руководствуясь своим многолетним опытом, уверен, что уже через несколько недель информационный шум, поднятый недавним инцидентом, утихнет. Как, впрочем, это бывает с любой дутой «сенсацией».
ПЛАС-daily
Обсуждение в СМИ и профессиональных кругах факта обнаружения в ряде установленных на территории России банкоматов «трояна», способного компрометировать информацию держателей карт, набирает обороты. В связи с этим редакция журнала «ПЛАС» решила прокомментировать сложившуюся ситуацию.
Почему эта информация, появившаяся сразу в ряде СМИ, получила такой резонанс? Вначале рассмотрим те немногочисленные конкретные обстоятельства, которые сегодня активно муссируются журналистами. Итак, основной акцент делается на имени производителя ATM и том факте, что угроза безопасности была обнаружена именно в России. Однако наши внешние эксперты, с которыми редакция журнала обсудила проблему, полагают, что это всего лишь «его величество случай». Аналогичная ситуация могла возникнуть с любыми терминалами банковского самообслуживания, независимо от их производителя и типа, и в любой стране.
Почему эксперты придерживаются такого мнения? Дело в том, что в отличие от таких публичных сетей, как Интернет, банкоматная сеть абсолютно защищена от любых попыток заражения «вирусом» извне. Таким образом, возникновение подобных инцидентов невозможно без участия инсайдеров. В свою очередь, инсайд является сегодня одним из наиболее опасных и при этом весьма распространенных видов мошенничества, как, впрочем, и любых корыстных преступлений в целом, бороться с которым чрезвычайно проблематично.
Вывод о причастности к инциденту инсайдеров подтверждается мнениями множества специалистов в области безопасности, хотя эксперты, работающие в настоящее время в банках, насколько стеснены в своих официальных выводах в силу корпоративных обязательств. Высказывания специалистов, не ограниченных столь жесткими рамками, гораздо более определенны: «тот факт, что банкоматы большинства банков не связаны со «всемирной паутиной», но объединены в свои собственные изолированные сети, а также и то, какие приемы были использованы для написания вируса, позволяет предположить, что для создания и последующего заражения «вирусописатели» использовали сотрудника банка или сервисной компании, обслуживающей банк в рамках аутсорсинга».
К чести производителя банкоматов, имя которого фигурирует в данном инциденте, следует подчеркнуть, что он уже успел предпринять максимально эффективные меры, направленные на минимизацию ущерба как своих банков-клиентов, так и их клиентов – держателей карт. При этом любой вендор в подобной ситуации сразу после получения экстренной информации, касающейся проблем безопасности банкоматов, следует, как правило, определенному алгоритму в решении задач минимизации ущерба для всех участников процесса: для своих банков-клиентов, для держателей карт, пользующихся сервисами кредитных институтов и сервисных компаний, а также для самого вендора и его партнеров. В данном случае вендором было оперативно распространено официальное сообщение следующего содержания: «клиенты компании проинформированы о случившемся. С целью минимизации риска несанкционированного доступа к данным держателей, чьи карты обслуживаются в банкоматах, им предоставляется специально разработанная компонента ПО и подробная инструкция по безопасности». В своем сообщении вендор также напоминает своим клиентам «о необходимости следовать общепринятым в индустрии нормам безопасности, таким, как ограничение физического доступа к банкоматам, управление паролями и обновление ПО».
Теперь перейдем к еще одному упомянутому обстоятельству. Почему данная проблема возникла именно в России? Опять же, по воле случая. Ведь в других странах проблем с безопасностью банкоматов ничуть не меньше. Убедиться в этом можно, как минимум, ознакомившись с соответствующей информацией на любых специализированных ресурсах, включая http://www.plusworld.ru.
В заключение перейдем к вопросу, стоящему в заголовке настоящего материала. Почему эта информация до сих пор столь активно обсуждается на многих информационных ресурсах? Разумеется, нельзя отрицать, что кто-то действительно заботится таким образом о безопасности участников рынка. Однако более вероятными видятся несколько иные причины. С одной стороны, многочисленные блоггеры, получив доступ к конфиденциальной информации производителя ATM, направленной в банки, решили потешить собственные амбиции. С другой стороны, не исключено, что здесь сыграло свою роль обострение конкурентной борьбы на появившемся в России вторичном рынке ATM. Со своей стороны, журнал «ПЛАС», руководствуясь своим многолетним опытом, уверен, что уже через несколько недель информационный шум, поднятый недавним инцидентом, утихнет. Как, впрочем, это бывает с любой дутой «сенсацией».
ПЛАС-daily
#4
Отправлено 15 Май 2009 - 19:31
Эксперт: банкоматный вирус Skimer - фикция
Ряд антивирусных компаний России объявили в конце марта о выявлении вируса для банкоматов. Сообщалось, что программа, собирающая информацию о банковских картах и PIN-кодах к ним, обнаружена в банкоматах Росбанка, Бинбанка и "Петрокоммерца". "КоммерсантЪ-Телеком" выяснил, что обнаруженная программа не является вирусом в классическом понимании и не может нанести вреда держателям пластиковых карт.
История с заражением банкоматов Росбанка, "Петрокоммерца" и Бинбанка вирусом Skimer наделала немало шума в интернете с легкой руки антивирусных компаний и ищущих сенсаций СМИ. Сама тема вирусов в банкоматах отнюдь не нова: специалисты по информационной безопасности говорили об этом еще несколько лет назад. Один из первых случаев заражения банкомата был зафиксирован в 2003 году в США: от сетевого червя Nachi пострадало несколько банкоматов производства Diebold. А вскоре была зафиксирована "банкоматная эпидемия": сетевой червь Slammer проник в 13 тыс. банкоматов Bank of America и Imperial Bank of Commerce.
Тем не менее недавнее заражение — первый получивший широкую известность случай обнаружения вируса в банкоматах российских финансовых структур.
История одного вируса
Несмотря на обилие публикаций о происшествии, достоверной и достаточно подробной информации о нем не так много: известно, что в некоторых банкоматах Diebold был обнаружен вирус, названный антивирусными специалистами Skimer.
Разумеется, случайно оказаться он там не мог. По мнению руководителя аналитического центра компании Perimetrix Вадимира Ульянова, возможны три способа проникновения: через интернет, внутреннюю подсеть банка или непосредственно в момент доступа к банкомату. "Первый способ заражения практически исключен, поскольку, даже если банкомат подключен к интернету, он может выполнять в сети только строго определенный набор действий, при этом действие "подхватить вирус" в него не входит. Вирус мог бы попасть в банкомат в случае уязвимости операционной системы, но в данном случае речи об этом не идет",— считает господин Ульянов.
Если рассматривать возможность проникновения вируса двумя другими путями, то в этих случаях речь может идти о том, что вредоносный код был установлен инсайдером — человеком, имеющим легальный доступ к банковским сетям или непосредственно к банкоматам. Это соображение вполне согласуется с тем обстоятельством, что пострадало несколько банков: обслуживание банкоматов часто отдается сторонним компаниям. Вирус, который проник в банкоматы, не умел самостоятельно распространяться, а значит, он был инсталлирован в каждый терминал. "Во время обслуживания устройство практически беззащитно. Работу специалиста-техника "контролируют" лишь вооруженные охранники. И препятствий к тому, чтобы с обновлением стандартного ПО записать еще и вредоносный код, нет",— резюмировал Вадимир Ульянов.
Действовал Skimer следующим образом. Он изменял функционал встроенного программного обеспечения банкомата производства Diebold, которое отвечает за обработку всех трансакций. Данное обстоятельство, в частности, говорит о том, что создатель вируса хорошо знает архитектуру банкоматов, а также особенности именно этого, весьма специфического, ПО. А значит, тезис об инсайдерском происхождении вредоносного кода получает еще одно подтверждение.
Специалисты "Лаборатории Касперского" утверждают, что вирус сохранял всю информацию о трансакциях в незаметном для клиентов банкомата режиме. Чтобы получить доступ к этой информации, злоумышленник вставлял в банкомат специальную карту, которая позволяла распечатать сохраненные данные — исчерпывающую информацию о картах, побывавших в банкомате. В дальнейшем создатель вируса мог либо продать эти данные на черном рынке, либо самостоятельно залить их в "пластик" и снимать наличные.
А был ли вирус?
Эта, казалось бы, правдоподобная история на практике выглядит крайне маловероятной. Дело в том, что современные банкоматы не обрабатывают ни номер карты, ни ее PIN-код в открытом виде. Эта информация шифруется на клавиатуре и в таком защищенном виде передается в процессинговый центр. И даже если вирус смог получить доступ к зашифрованной информации о картах, он не смог бы ее расшифровать.
"Вся история с вирусом для банкоматов чрезмерно преувеличена. Технологически вероятность распространения такого вредоносного гада в сети банкоматов близка к нулю,— считает Григорий Васильев, технический директор российского представительства антивирусной компании ESET.— Скорее всего, Skimer был написан специально для того, чтобы спровоцировать шум в прессе, нанести репутационный ущерб либо пострадавшим банкам, либо производителю банкоматов. Реальной финансовой выгоды автор в принципе получить не мог из-за особенностей внутренней защиты данных".
Угроза вирусного заражения банкоматов, по сути, оказалась фикцией — информационной бомбой с исключительно маркетинговым содержимым. Однако она обнажила главную проблему, с которой сталкивается современная индустрия платежных карт.
Беззащитные держатели
После появления первых сообщений об инциденте в прессе промелькнула информация о том, что ни один из задействованных банков не собирается возмещать потенциальным пострадавшим возможный ущерб от действий вируса. И они абсолютно правы. Чтобы понять, почему банки заняли такую позицию, достаточно посмотреть на эту ситуацию с обратной стороны.
"Представим себе, что в банк приходит клиент, который говорит, что с его карты были незаконно списаны деньги,— рассказывает Тарас Пономарев, партнер консалтингового бюро "Практика безопасности".— Сотрудник банка смотрит историю трансакций и видит, что одна из них действительно выделяется из общей массы. Проблема заключается в том, что клиент никак не может доказать ее незаконность и причастность к этой трансакции третьих лиц. Ведь даже если трансакция произошла за океаном, он мог просто передать карту своему другу, который благополучно снял все лежащие на счете деньги".
Но даже если клиент сумеет доказать, что деньги были сняты посторонним человеком, банк не обязан возмещать ему ущерб. Понятно, что в этом случае где-то произошла утечка, однако в ней совершенно необязательно виноват банк. Возможно, клиент лично передал информацию о карте посторонним лицам, а значит, он сам должен отвечать за последствия своих действий. Доказать же, что он утечек не допускал, клиент, очевидно, не в состоянии.
Получается, что держатель банковской карты никак не может обезопасить себя от утечек по вине банков, розничных магазинов или любых других организаций, имевших доступ к информации о его карте. И мировая практика показывает, что количество таких утечек неуклонно растет, причем отнюдь не по вине каких-то банкоматных вирусов.
Стандарт не спас
Проблема беззащитных держателей давно беспокоит ведущие платежные системы — Visa и MasterCard, которые предпринимают некоторые шаги для ее решения. Сейчас основные усилия этих систем направлены на регулирование действий мерчантов — организаций, которые обрабатывают трансакции по картам. Чтобы эти организации не допускали утечек, был разработан специальный стандарт информационной безопасности PCI DSS, который, во-первых, является обязательным, а во-вторых, предусматривает весьма значительные штрафные санкции в случае нарушения условий.
Однако в конце прошлого года стало понятно, что выполнение требований PCI DSS не гарантирует отсутствия инцидентов. В это время произошло сразу две крупнейших утечки платежных данных из организаций с сертификатом PCI DSS Compliant.
В ноябре 2008 года об утечке объявило американское подразделение королевского шотландского банка RBS (RBS WorldPay). В результате хакерской атаки были потеряны сведения о 1,5 млн трансакций по картам клиентов. Хакеры сумели достаточно быстро распространить полученную информацию среди мошенников более мелкого пошиба, те залили ее в "пластик" и уже спустя несколько дней провели крупномасштабную и первую в своем роде акцию.
8 ноября сразу после полуночи со 137 банкоматов, расположенных в 49 городах мира, одновременно была снята наличность с помощью поддельных карт клиентов RBS WorldPay. Общий прямой ущерб только от этой вылазки составил $9 млн.
Однако инцидент в RBS WorldPay — это еще цветочки. Через два месяца о еще более крупной утечке заявила компания Heartland Payment Services — шестой по величине процессинговый центр США. Реальный масштаб инцидента неизвестен до сих пор, однако, по мнению ряда аналитиков, он рискует стать крупнейшей утечкой в истории.
Heartland Payment Services обрабатывает гигантское количество трансакций (более 100 млн в месяц) и обслуживает более 250 тыс. клиентов. Причиной инцидента стала вредоносная программа, которая, впрочем, работала на уровне сетевой инфраструктуры, а не на уровне банкоматов. Программа функционировала в течение нескольких месяцев и теоретически могла "украсть" до нескольких сотен миллионов трансакций.
Последствия утечки стали настоящей катастрофой для Heartland. На следующий день после публикации информации об инциденте акции компании на фондовой бирже Нью-Йорка упали на 42%. Репутация процессингового центра пострадала еще больше: через пару месяцев после утечки свыше 600 американских банков заявили о том, что они также пострадали в результате данного инцидента.
И Heartland, и RBS WorldPay успешно прошли аудит соответствия стандарту PCI DSS.
Что делать?
Ситуация, которая сложилась в индустрии платежных карт сегодня, не может не вызывать опасений. Во многих странах и даже некоторых регионах России платежные карты стали неотъемлемым атрибутом практически любого современного человека, и отказываться от них, естественно, никто не станет. Но как сделать использование платежных карт по-настоящему безопасным?
К сожалению, универсального рецепта не существует — ни один держатель карты не застрахован от утечки информации и появления незаконных трансакций. Конечно, можно ограничить использование карты, снимая наличность только в одном, надежном банкомате. Но ведь никто не покупает автомобиль, чтобы доехать на нем только до ближайшего магазина.
Минимизировать риски можно, установив оповещения (по SMS или электронной почте) обо всех трансакциях по карте. Конечно, этот способ не позволит избежать всех проблем, однако ущерб владельца карты от возможных действий мошенников будет ограничен размером одной трансакции. Если, конечно, он успеет оперативно сообщить банку о подозрительных трансакциях.
Что же касается мерчантов и финансовых организаций, то платежные системы выбрали стратегию, направленную на усиление регулирования и ужесточение стандартов безопасности. Стандарт PCI DSS, конечно, неидеален, однако он все-таки понижает вероятность утечки информации.
Денис Зенкин
КоммерсантЪ-Телеком
Ряд антивирусных компаний России объявили в конце марта о выявлении вируса для банкоматов. Сообщалось, что программа, собирающая информацию о банковских картах и PIN-кодах к ним, обнаружена в банкоматах Росбанка, Бинбанка и "Петрокоммерца". "КоммерсантЪ-Телеком" выяснил, что обнаруженная программа не является вирусом в классическом понимании и не может нанести вреда держателям пластиковых карт.
История с заражением банкоматов Росбанка, "Петрокоммерца" и Бинбанка вирусом Skimer наделала немало шума в интернете с легкой руки антивирусных компаний и ищущих сенсаций СМИ. Сама тема вирусов в банкоматах отнюдь не нова: специалисты по информационной безопасности говорили об этом еще несколько лет назад. Один из первых случаев заражения банкомата был зафиксирован в 2003 году в США: от сетевого червя Nachi пострадало несколько банкоматов производства Diebold. А вскоре была зафиксирована "банкоматная эпидемия": сетевой червь Slammer проник в 13 тыс. банкоматов Bank of America и Imperial Bank of Commerce.
Тем не менее недавнее заражение — первый получивший широкую известность случай обнаружения вируса в банкоматах российских финансовых структур.
История одного вируса
Несмотря на обилие публикаций о происшествии, достоверной и достаточно подробной информации о нем не так много: известно, что в некоторых банкоматах Diebold был обнаружен вирус, названный антивирусными специалистами Skimer.
Разумеется, случайно оказаться он там не мог. По мнению руководителя аналитического центра компании Perimetrix Вадимира Ульянова, возможны три способа проникновения: через интернет, внутреннюю подсеть банка или непосредственно в момент доступа к банкомату. "Первый способ заражения практически исключен, поскольку, даже если банкомат подключен к интернету, он может выполнять в сети только строго определенный набор действий, при этом действие "подхватить вирус" в него не входит. Вирус мог бы попасть в банкомат в случае уязвимости операционной системы, но в данном случае речи об этом не идет",— считает господин Ульянов.
Если рассматривать возможность проникновения вируса двумя другими путями, то в этих случаях речь может идти о том, что вредоносный код был установлен инсайдером — человеком, имеющим легальный доступ к банковским сетям или непосредственно к банкоматам. Это соображение вполне согласуется с тем обстоятельством, что пострадало несколько банков: обслуживание банкоматов часто отдается сторонним компаниям. Вирус, который проник в банкоматы, не умел самостоятельно распространяться, а значит, он был инсталлирован в каждый терминал. "Во время обслуживания устройство практически беззащитно. Работу специалиста-техника "контролируют" лишь вооруженные охранники. И препятствий к тому, чтобы с обновлением стандартного ПО записать еще и вредоносный код, нет",— резюмировал Вадимир Ульянов.
Действовал Skimer следующим образом. Он изменял функционал встроенного программного обеспечения банкомата производства Diebold, которое отвечает за обработку всех трансакций. Данное обстоятельство, в частности, говорит о том, что создатель вируса хорошо знает архитектуру банкоматов, а также особенности именно этого, весьма специфического, ПО. А значит, тезис об инсайдерском происхождении вредоносного кода получает еще одно подтверждение.
Специалисты "Лаборатории Касперского" утверждают, что вирус сохранял всю информацию о трансакциях в незаметном для клиентов банкомата режиме. Чтобы получить доступ к этой информации, злоумышленник вставлял в банкомат специальную карту, которая позволяла распечатать сохраненные данные — исчерпывающую информацию о картах, побывавших в банкомате. В дальнейшем создатель вируса мог либо продать эти данные на черном рынке, либо самостоятельно залить их в "пластик" и снимать наличные.
А был ли вирус?
Эта, казалось бы, правдоподобная история на практике выглядит крайне маловероятной. Дело в том, что современные банкоматы не обрабатывают ни номер карты, ни ее PIN-код в открытом виде. Эта информация шифруется на клавиатуре и в таком защищенном виде передается в процессинговый центр. И даже если вирус смог получить доступ к зашифрованной информации о картах, он не смог бы ее расшифровать.
"Вся история с вирусом для банкоматов чрезмерно преувеличена. Технологически вероятность распространения такого вредоносного гада в сети банкоматов близка к нулю,— считает Григорий Васильев, технический директор российского представительства антивирусной компании ESET.— Скорее всего, Skimer был написан специально для того, чтобы спровоцировать шум в прессе, нанести репутационный ущерб либо пострадавшим банкам, либо производителю банкоматов. Реальной финансовой выгоды автор в принципе получить не мог из-за особенностей внутренней защиты данных".
Угроза вирусного заражения банкоматов, по сути, оказалась фикцией — информационной бомбой с исключительно маркетинговым содержимым. Однако она обнажила главную проблему, с которой сталкивается современная индустрия платежных карт.
Беззащитные держатели
После появления первых сообщений об инциденте в прессе промелькнула информация о том, что ни один из задействованных банков не собирается возмещать потенциальным пострадавшим возможный ущерб от действий вируса. И они абсолютно правы. Чтобы понять, почему банки заняли такую позицию, достаточно посмотреть на эту ситуацию с обратной стороны.
"Представим себе, что в банк приходит клиент, который говорит, что с его карты были незаконно списаны деньги,— рассказывает Тарас Пономарев, партнер консалтингового бюро "Практика безопасности".— Сотрудник банка смотрит историю трансакций и видит, что одна из них действительно выделяется из общей массы. Проблема заключается в том, что клиент никак не может доказать ее незаконность и причастность к этой трансакции третьих лиц. Ведь даже если трансакция произошла за океаном, он мог просто передать карту своему другу, который благополучно снял все лежащие на счете деньги".
Но даже если клиент сумеет доказать, что деньги были сняты посторонним человеком, банк не обязан возмещать ему ущерб. Понятно, что в этом случае где-то произошла утечка, однако в ней совершенно необязательно виноват банк. Возможно, клиент лично передал информацию о карте посторонним лицам, а значит, он сам должен отвечать за последствия своих действий. Доказать же, что он утечек не допускал, клиент, очевидно, не в состоянии.
Получается, что держатель банковской карты никак не может обезопасить себя от утечек по вине банков, розничных магазинов или любых других организаций, имевших доступ к информации о его карте. И мировая практика показывает, что количество таких утечек неуклонно растет, причем отнюдь не по вине каких-то банкоматных вирусов.
Стандарт не спас
Проблема беззащитных держателей давно беспокоит ведущие платежные системы — Visa и MasterCard, которые предпринимают некоторые шаги для ее решения. Сейчас основные усилия этих систем направлены на регулирование действий мерчантов — организаций, которые обрабатывают трансакции по картам. Чтобы эти организации не допускали утечек, был разработан специальный стандарт информационной безопасности PCI DSS, который, во-первых, является обязательным, а во-вторых, предусматривает весьма значительные штрафные санкции в случае нарушения условий.
Однако в конце прошлого года стало понятно, что выполнение требований PCI DSS не гарантирует отсутствия инцидентов. В это время произошло сразу две крупнейших утечки платежных данных из организаций с сертификатом PCI DSS Compliant.
В ноябре 2008 года об утечке объявило американское подразделение королевского шотландского банка RBS (RBS WorldPay). В результате хакерской атаки были потеряны сведения о 1,5 млн трансакций по картам клиентов. Хакеры сумели достаточно быстро распространить полученную информацию среди мошенников более мелкого пошиба, те залили ее в "пластик" и уже спустя несколько дней провели крупномасштабную и первую в своем роде акцию.
8 ноября сразу после полуночи со 137 банкоматов, расположенных в 49 городах мира, одновременно была снята наличность с помощью поддельных карт клиентов RBS WorldPay. Общий прямой ущерб только от этой вылазки составил $9 млн.
Однако инцидент в RBS WorldPay — это еще цветочки. Через два месяца о еще более крупной утечке заявила компания Heartland Payment Services — шестой по величине процессинговый центр США. Реальный масштаб инцидента неизвестен до сих пор, однако, по мнению ряда аналитиков, он рискует стать крупнейшей утечкой в истории.
Heartland Payment Services обрабатывает гигантское количество трансакций (более 100 млн в месяц) и обслуживает более 250 тыс. клиентов. Причиной инцидента стала вредоносная программа, которая, впрочем, работала на уровне сетевой инфраструктуры, а не на уровне банкоматов. Программа функционировала в течение нескольких месяцев и теоретически могла "украсть" до нескольких сотен миллионов трансакций.
Последствия утечки стали настоящей катастрофой для Heartland. На следующий день после публикации информации об инциденте акции компании на фондовой бирже Нью-Йорка упали на 42%. Репутация процессингового центра пострадала еще больше: через пару месяцев после утечки свыше 600 американских банков заявили о том, что они также пострадали в результате данного инцидента.
И Heartland, и RBS WorldPay успешно прошли аудит соответствия стандарту PCI DSS.
Что делать?
Ситуация, которая сложилась в индустрии платежных карт сегодня, не может не вызывать опасений. Во многих странах и даже некоторых регионах России платежные карты стали неотъемлемым атрибутом практически любого современного человека, и отказываться от них, естественно, никто не станет. Но как сделать использование платежных карт по-настоящему безопасным?
К сожалению, универсального рецепта не существует — ни один держатель карты не застрахован от утечки информации и появления незаконных трансакций. Конечно, можно ограничить использование карты, снимая наличность только в одном, надежном банкомате. Но ведь никто не покупает автомобиль, чтобы доехать на нем только до ближайшего магазина.
Минимизировать риски можно, установив оповещения (по SMS или электронной почте) обо всех трансакциях по карте. Конечно, этот способ не позволит избежать всех проблем, однако ущерб владельца карты от возможных действий мошенников будет ограничен размером одной трансакции. Если, конечно, он успеет оперативно сообщить банку о подозрительных трансакциях.
Что же касается мерчантов и финансовых организаций, то платежные системы выбрали стратегию, направленную на усиление регулирования и ужесточение стандартов безопасности. Стандарт PCI DSS, конечно, неидеален, однако он все-таки понижает вероятность утечки информации.
Денис Зенкин
КоммерсантЪ-Телеком
#6
Отправлено 26 Август 2009 - 19:35
Это мне напоминает анекдот про "Неуловимого Джо"
Сидят два ковбоя в баре. Один другому говорит:
- Слушай, а что это за ковбой сидит вон в том углу?
- Это Неуловимый Джо.
- Его что, поймать никто не может?
- Нет, он никому не нужен
Сидят два ковбоя в баре. Один другому говорит:
- Слушай, а что это за ковбой сидит вон в том углу?
- Это Неуловимый Джо.
- Его что, поймать никто не может?
- Нет, он никому не нужен
#7
Отправлено 15 Октябрь 2009 - 08:30
Настоящий хакер - то тот, кто не может попастся Если попался, значит облажался, не всвё учел, патаму и поймали. Хакеры - просто люди. хорошо знающие компьтерные технологии. Между прочим все разработчики антивирусов - хакеры, иначе откуда они могли бы знать о всех лазейках вирусов
#8
Отправлено 17 Март 2010 - 11:15
сажают только ламеров, которые возомнили себя хакерами... настоящего хакера не поймают
ага конечно = ты имеешь какое- то отношение к компьютерной безопасности? Если нет, тогда лучше жевать... =. Нельзя думать, что те кто ловят хакеров глупее их
ага конечно = ты имеешь какое- то отношение к компьютерной безопасности? Если нет, тогда лучше жевать... =. Нельзя думать, что те кто ловят хакеров глупее их
Количество пользователей, читающих эту тему: 2
0 пользователей, 2 гостей, 0 скрытых пользователей
