Новая волна логических атак на банкоматы: чему учит опыт Бельгии
В июне и июле 2020 года банкоматы бельгийского банка Argenta подверглись атаке хакеров. С помощью специального ПО преступники захватывали контроль над денежным модулем устройств самообслуживания и снимали все находившиеся там наличные деньги. Банк не только понес финансовые и репутационные потери, но и был вынужден вывести из эксплуатации 143 банкоматов, имеющих схожий набор программных компонентов со взломанными устройствами, чтобы избежать повторения инцидентов.
Что же случилось в Бельгии?
Как только стало известно об атаках на банкоматы в Бельгии, Diebold Nixdorf начал собственное расследование случившегося. Оказалось, что во всех случаях атаке подвергались банкоматы ProCash 2050xe c модулем выдачи наличных CMD-v4. Злоумышленники повреждали часть лицевой панели, чтобы получить физический доступ к компьютеру банкомата, затем отсоединяли USB-кабель, соединяющий диспенсер и компьютер банкомата, и подключали этот кабель к «черному ящику» (собственному компьютеру или ноутбуку), который напрямую посылал диспенсеру команду выдать все имевшиеся в банкомате наличные. Такой тип атак получил название атаки black box, или атаки «черного ящика» (от англ. black box – черный ящик). Атаки «черного ящика» являются одной из разновидностей джекпоттинга (англ. jackpotting) – взлома системы защиты банкомата с помощью специального программного обеспечения, позволяющего захватить управление выдачей наличных.
Как правило, при джекпоттинге хакеры используют уже готовое вредоносное ПО или пишут собственный код. Однако, как полагает следствие, во время атак в Бельгии взломщики установили на «черный ящик» отдельные компоненты программного обеспечения банкомата, которое и использовали для взаимодействия с устройствами самообслуживания во время атак. Такой способ взлома не уникален, однако раньше в Европе он не встречался.
Как ПО банкомата оказалось в руках мошенников, следствию еще только предстоит узнать. По одной из версий следствия, преступники просто скачали его с одного из терминалов, где эти компоненты хранились на незашифрованном жестком диске. Использовать же данное ПО для кражи наличных из других устройств самообслуживания стало возможным, поскольку на этих устройствах были установлены устаревшие версии базового ПО и отсутствовали дополнительные средства шифрования канала передачи данных.
Что можно сделать, чтобы защитить банкоматы от джекпоттинга?
Специалисты BS/2 в сфере безопасности устройств самообслуживания изучили ситуацию, рекомендации вендора и составили список действий, которые можно выполнить прямо сейчас, чтобы защитить банкоматы от джекпоттинга.
— Чтобы свести к минимуму риск джекпоттинга, в большинстве случаев достаточно обеспечить шифрование канала связи между компьютером банкомата и диспенсером и использовать актуальные версии системного ПО банкомата, однако мы рекомендуем комплексный подход к безопасности устройств самообслуживания, — говорит глава технического департамента BS/2 Андрей Смирнов.
Комплексный подход к безопасности банкоматов включает следующие меры.
1. Обеспечить шифрование канала связи между компьютером банкомата и диспенсером.
2. Регулярно обновлять программное обеспечение, необходимое для работы банкомата, до актуальных версий.
- Операционная система (Windows 10)
- Программное обеспечение банкомата на XFS-уровне (ProBase не ниже 1.2/00)
- Прошивки отдельных периферийных устройств
3. Обеспечить соответствие IT-инфраструктуры банка требованиям PCI DSS.
- Построение защищенной сети и обеспечение ее безопасной работы.
- Ограничение доступа к данным в соответствии со служебной необходимостью.
4. Обеспечить физическую безопасность банкомата
- Использовать системы видеонаблюдения (например, программное решение ATMeye.iQ).
- Использовать специальные замки для сейфов банкоматов.
5. Использовать специализированные программные решения для безопасности банкоматов.
Одним из примеров такого программного решения является платформа Vynamic Security от Diebold Nixdorf, которая не только защищает устройства самообслуживания от вредоносного ПО, но и обеспечивает безопасность данных, передаваемых терминальными устройствами.
Как Vynamic Security защищает от джекпоттинга?
Программное решение Vynamic Security состоит из нескольких модулей, каждый из которых имеет свою зону ответственности. Так, один из них – модуль Intrusion Protection – запрещает запуск стороннего ПО на компьютере банкомата, делая установку вредоносного ПО невозможным. Другой модуль решения – Hard Disk Encryption – не позволяет подменить жесткий диск банкомата и обеспечивает безопасность устройства, когда оно выключено.
Кроме того, полный пакет Vynamic Security защищает банкоматы от проникновения вредоносного программного обеспечения по сети. Это значит, что любые попытки злоумышленников загрузить вредоносное ПО на терминальное устройство через сеть потерпят неудачу. Также решение позволяет ограничить доступ к данным в зависимости от группы пользователей и обеспечивает эффективный контроль доступа при помощи управления правами отдельных учетных записей и групп пользователей с возможностью логирования всех их действий.
Чтобы узнать больше о возможностях программного решения Vynamic Security, свяжитесь с представителями нашей компании.