Kaip kinta bankomatų atakos ir kokia naujų grėsmių bankams kaina
Bankomatų atakų kasmet vis daugėja. Keičiasi jų pobūdis, jos sudėtingėja. Dar prieš kelerius metus pagrindinis piktavalių taikinys buvo bankų klientai, jų banko kortelių duomenys ir informacija apie sąskaitas, o dabar atakos vis dažniau nukreiptos į pačias finansines organizacijas. Juk iš banko galima pavogti kur kas daugiau nei iš jo kliento, mat jo sąskaitoje – milijonai.
Atakos, kai piktavaliai naudoja specialią techninę arba programinę įrangą, įprastai buvo vadinamos loginėmis. Tačiau pastaruoju metu ypač išaugo jų įvairovė, todėl bankinių technologijų apsaugos specialistai išskyrė atskirą grupę atakų, nukreiptų į bankinį įrenginį (angl. Terminal related fraud attacks).
Prie jų priskiriamos atakos, atliekamos naudojant papildomus išorinius prietaisus – įvairius kortelių duomenų nuskaitymo įrenginius, jungiamus prie bankomato kortelių skaitytuvo (angl. skimming ir shimming) arba į bankomatą įtaisant gaudyklę, „sugaunančią“ įkištą kortelę ar grynuosius pinigus (angl. trapping).
Europos saugių finansinių operacijų asociacijos (angl. European Association for Secure Transactions) duomenimis, palyginti su 2017 m., 2018 m. tokių atakų skaičius sumažėjo 36 proc., tačiau bendra pavogtų lėšų suma vis tiek milžiniška – 2018 m. siekė 247 mln. Eur (2017 m. – 353 mln. Eur).
Kas tas „skimingas“ ir „šimingas“? Kuris iš jų baisesnis?
Vadinamasis „skimming“ atakų būdas visuomet buvo populiarus. Internete piktavaliai nebrangiai gali įsigyti įrenginį, kuris lipnia juosta lengvai priklijuojamas prie bankomato kortelių skaitytuvo taip, kad vartotojas nė neįtaria jo egzistuojant. Prijungti ir atjungti tokiam įrenginiui tereikia minutės, be to, dažniausiai tokie veiksmai nesukelia jokių banko apsaugos tarnybos įtarimų.
Kaip vyksta vagystė? Prie bankomato pritaisytas įrenginys nuskaito duomenis nuo mokėjimo kortelės magnetinės juostos tuo metu, kai atliekama finansinė operacija, o jame įtaisyta vaizdo kamera arba ant klaviatūros dedama plokštelė padeda piktavaliui sužinoti PIN kodą. Tokia plokštelė gali būti klijuojama ir ant visos priekinės bankomato dalies.
Pavogtus duomenis piktavaliai asmenys perkelia į naują magnetinę juostą, kurią priklijuoja prie tuščio balto plastiko, ir pasigamina padirbtą kortelę, kuria naudodamiesi gali išsigryninti pinigus bankomate, atsiskaityti įprastoje ar interneto parduotuvėje.
Siekdami apsisaugoti nuo šio sukčiavimo būdo, bankai taiko skirtingus metodus. Pvz., bankomate įtaiso priemones, trukdančias priklijuoti minėtus įrenginius. Tačiau sukčiautojai greitai išmoksta apeiti šį apsaugos būdą. Dar vienas apsaugos būdas – įdiegti specialią programinę įrangą, kuri analizuoja kortelės naudotojo elgesį ir blokuoja operacijas, įtarusi netinkamus veiksmus. Deja, kai kurie tokie programiniai sprendimai paremti standartiniais scenarijais ir neatsižvelgia į daugybę kitų pašalinių veiksnių. Kortelės tokiu atveju gali būti blokuojamos klaidingai, suerzinant niekuo dėtus klientus, pvz., įtariami ir blokuojami užsienio klientai, besinaudojantys bankomatu ne savo šalyje.
Specialistų nuomone, šiuo metu geriausias sprendimas – kompleksinė apsauga, kai į bankomatą diegiama priemonė, sukurianti elektromagnetinius trikdžius, trukdančius nuskaityti duomenis nuo kortelės magnetinės juostos, ir papildomai diegiant sudėtingų algoritmų apsaugos kontrolės sistemą, analizuojančią didelę duomenų apimtį.
Prieš kelerius metus apsaugos specialistai rekomendavo atsisakyti magnetinių banko kortelių, pereinant prie kortelių su EMV lustais, manydami, kad tokių kortelių padirbti neįmanoma. Tačiau atsirado kitas kortelių duomenų vagystės būdas, vadinamas „shimming“.
Į bankomato kortelių skaitytuvą įdedamas specialus popieriaus storio įrenginys. Šioje plonytėje plokštelėje įtaisytas mikroprocesorius, įrašantis duomenis iš kortelės lusto, kai su kortele atliekama finansinė operacija. Aptikti šį piktavalių įrenginį dar sudėtingiau, nes jis įtaisomas kortelių skaitytuvo viduje ir visiškai nepastebimas bankomato naudotojams. Įtarti, kad viduje kažkas yra, galima tik pajutus, kad kortelę sunkiau, nei visada, įkišti į jai skirtą bankomato angą.
Pagaminti naujos mikroschemos su pavogtais kortelės duomenimis neįmanoma, tačiau įmanoma tuos duomenis perrašyti į magnetinę juostą.
Paprasčiausia priemonė kovoti su šiuo sukčiavimo būdu – dvipakopė kortelės naudotojo identifikacija (kai jis atpažįstamas PIN kodu ir biometriniu būdu). Jokių papildomų apsaugos priemonių ir nereikia, jei tik banko mokėjimo sistema pritaikyta šiems tarptautiniams apsaugos standartams. Deja, dauguma bankų rekomenduojamam standartui vis dar neteikia pakankamai dėmesio.
Dar vienas sukčiavimo būdas – vadinamoji gaudyklė, kai į bankomatą įtaisoma priemonė, „pagaunanti“ kortelę (angl. card-trapping) arba grynuosius pinigus (angl. cash-trapping). Tam dažnai naudojama susukta į kilpą fotojuostelės dalis. Tiesa, pastaruoju metu šis būdas praranda populiarumą, nes tokioms atakoms reikia daug pastangų, o naudos mažai.
Apsaugoti bankinę įrangą nuo minėtų pasikėsinimo į kortelių duomenis būdų padeda šiuolaikinės vaizdo stebėsenos ir apsaugos nuo sukčiavimo sistemos. Tokios sistemos stebi visas bankomate atliekamas operacijas, reaguoja į įtartinus veiksmus, užfiksuoja, jei užklijuojama vaizdo kamera ir iš karto apie tai praneša apsaugos tarnyboms.
Socialinė inžinerija ir žmogiškasis faktorius
Kaip jau buvo minėta, pagrindinė iš pastarųjų metų tendencijų – tai, kad piktavaliai nuo atakų į atskirus banko klientus nukrypo į pačias finansines įstaigas. Gavę prieigą prie bankinės sistemos jie gali užsidirbti gerokai daugiau pinigų, o taip sukčiaujančius juos dar sudėtingiau sučiupti. Tereikia įsilaužti į banko tarnautojo kompiuterį, o iš čia atsiveria kelias į vidines banko sistemas, taip pat ir bankomatų tinklus.
Kaip įsilaužti į kompiuterį? Populiariausias būdas – per el. paštą. Piktavalis siunčia el. laišką, pasirašydamas banko kliento, centrinio šalies banko ar valstybinių įstaigų vardu. Kai tik banko tarnautojas gauna tokį laišką ir nieko neįtardamas atidaro jame prikabintą dokumentą, į jo kompiuterį įsiskverbia piktybinė programa, kuri akimirksniu paplinta po visą finansinės įstaigos vidinį tinklą. Šis atakos būdas vadinamas „žvejyba“ (angl. fishing), mat auka tarsi užkimba ant kabliuko.
Bankinio tinklo viduje piktavaliai susiranda darbuotojo, turinčio prieigą prie bankomatų tinklo, kompiuterį, o tuomet per jį paleidžia piktybinę programą į bankomatus. Bankomatui duodama komanda išduoti visus pinigus. Beje, ši komanda bankinėje sistemoje lieka nepastebima, banko darbuotojai mano, kad bankomate vis dar yra pakankamai pinigų. Atlikusi savo funkciją programa pati išsitrina nepalikdama įkalčių.
Atsekti tokias atakas labai sudėtinga, o jų statistika netiksli. Nemažai bankų apie tokias vagystes netgi nepraneša, bijodami pakenkti savo reputacijai.
Dar vienas būdas gauti prieigą prie sistemos – pasinaudoti iš banko darbuotojo gautais duomenimis (su jo sutikimu ar jam nežinant).
Visas šias problemas galima išspręsti ribojant darbuotojų prieigos teises ir įvedus daugiapakopę identifikaciją.
Kaip apsaugoti bankomatus nuo atakų
Kad apsisaugotų nuo loginių ir į bankomatų techninę įrangą nukreiptų atakų bankai privalo būti gudresni už sukčiautojus, užbėgti jiems už akių.
Deja, nemažai finansinių įstaigų skiria neužtektinai dėmesio techninės įrangos apsaugai, reguliariai neatlieka bankomatų programinės įrangos atnaujinimo, nepasirūpina, kad vidiniai tinklai atitiktų būtiną konfigūraciją.
Užkirsti kelią rizikai ir esamoms spragoms galima tik taikant kompleksinius sprendimus. Šiuolaikinės vaizdo stebėsenos ir apsaugos nuo sukčiavimo sistemos sumažina fizinių ir loginių atakų riziką, taip pat saugo nuo atakų į bankinę infrastruktūrą per vidinį tinklą.
BS/2, bendradarbiaudama su bankinės ir mažmeninės prekybos sprendimų gamintoja „Diebold Nixdorf“, siūlo kompleksinę bankomatų apsaugą. Jai užtikrinti naudojama BS/2 sukurta vaizdo stebėsenos ir apsaugos nuo sukčiavimo sistema „ATMeye.iQ“ ir „Diebold Nixdorf“ sprendimas „Vynamic Security“, skirtas apsaugai nuo visų tipų įsilaužimo į bankomato kompiuterį ir atakų.
Daugiau informacijos apie „ATMeye.iQ“ ir „Vynamic Security“ galimybes suteiks mūsų įmonės atstovai.