Как защитить банкоматы от взлома: Vynamic Terminal Security
Еще в 2010 году известный компьютерный хакер Барнаби Джек впервые поделился прогнозом роста числа логических атак, нацеленных на банкоматы по всему миру. С легкой руки известного кибервзломщика, данный трюк, продемонстрированный на конференции Black Hat в Лас-Вегасе, стал называться «джекпоттинг» (“jackpotting”) и закрепился за любыми мошенническими действиями, в результате которых перепрограммированный банкомат выдавал злоумышленникам все содержимое своих кассет.
Восемь лет спустя волна «джекпоттинговых» атак прокатилась по всему миру: в Японии, Тайване, Таиланде и различных частях Латинской Америки (в частности, в Мексике). Вскоре список стран пополнился Арменией, Беларусией, Великобританией, Болгарией, Эстонией, Грузией, Кыргызстаном, Малайзией, Молдовой, Нидерландами, Польшей, Румынией, Россией и Испанией.
Настоящий джекпот для преступников
Технологии, используемые преступниками для организации логических атак банкоматов, постоянно совершенствуются: существует даже так называемый «котлетный набор» (“Cutlet Maker”), набор инструментов для взлома, который в готовом виде можно приобрести на просторах «даркнета».
По мнению экспертов использование таких инструментов практически не требует от преступника специальных знаний или навыков. Cutlet Maker взаимодействует с программным обеспечением и оборудованием банкомата, практически не сталкиваясь с препятствиями.
«Эта губительная программа очень сложна», — подтверждает Самир Агарвал, вице-президент по продуктам и генеральный директор, Security and Endpoint Accelerite. «Интересно, что даже лихим парням нужен код активации для этого хакерского ПО, чтобы управлять диспенсером банкомата. Получается этакий лицензионный ключ, как для обычного программного обеспечения».
Другой способ логических атак заключается в том, что преступники открывают верхнюю крышку терминала для удаления оригинального жесткого диска и устанавливают свой жесткий диск, который был подготовлен до взлома, и содержит иногда даже скопированное лого программного обеспечения банкомата конкретной модели. Часто для того, чтобы инициировать коммуникацию с диспенсером, необходимо нажать и удерживать кнопку внутри сейфа. Для этого хакеры используют кустарные приспособления или настоящий промышленный эндоскоп.
Через несколько минут после завершения манипуляций с банкоматом, второй соучастник, так называемый «мул», подходит к устройству самообслуживания. Первый хакер удаленно запускает сценарий выдачи наличных средств, а «мул» забирает все деньги из всех кассет и уходит. Вскоре после этого взломщики переключают банкомат на нормальную работу. Подобным образом в начале этого года в Соединенных Штатах было украдено свыше миллиона долларов. Местные правоохранительные органы объявили, что атаки были скоординированы международными преступными группами.
Так насколько велика угроза?
Почему банкоматы все еще так уязвимы для логических атак спустя восемь лет после того, как «джекпоттинг» привлек внимание производителей банкоматов?
По мнению Самира Агарвала, все упирается в необходимость дополнительных инвестиций. Удивительно, но далеко не все банки осознают важность использования решений, которые были разработаны специально для противодействия таким угрозам. Одни считают, что для защиты установленных в банкоматах компьютеров достаточно использовать стандартные антивирусы, другие надеются на оперативность реакции служб безопасности, наблюдающих за устройствами с помощью видеокамер. Анализ же последствий взлома подводит только к одному логичному выводу: защита устройств самообслуживания не бывает чрезмерной.
В своем бюллетене, выпущенном после серии логических атак, Diebold Nixdorf рекомендует ряд мер для противодействия взлому, включая ограничение доступа к банкомату, обновление оригинальной прошивки, контроль за ее поведением и подозрительными действиями, а также, что наиболее очевидно, обновление операционной системы, поскольку большинство скомпрометированных банкоматов по-прежнему работают на базе операционной системы Windows XP, поддержка которой прекратилась еще в 2014 году.
Решение Vynamic™ Security (Terminal Security Suite)
Diebold Nixdorf предлагает свое мультивендорное программное решение для защиты от логических и иных атак — Vynamic™ Security, ранее известное как Terminal Security Suite. Решение состоит из четырех модулей: Access Protection, Intrusion Protection, Hard Disk Encryption и Fraud Protection. Многоуровневая система защиты нейтрализует абсолютное большинство потенциальных угроз, включая «атаки нулевого дня» (zero-day), т.е. неизвестные на данный момент.
Программный комплекс Terminal Security обеспечивает защиту банкоматов и других устройств в режиме реального времени, реализуя принцип тотального ограничения на запуск любых процессов и действий. Декларируемый принцип работы ПО можно сформулировать так: запускаются только разрешенные и многократно проверенные процессы и никакие другие. Этот принцип (“whitelisting”) позволяет защитить компьютер устройства самообслуживания от несанкционированного использования внешних устройств: флэш-карт, жестких дисков и других потенциальных носителей вредоносного ПО.
Vynamic™ Security также устанавливает набор правил, используя современные технологии «песочницы» (“sandboxing”), когда программному обеспечению, имеющему конкретное назначение, предоставляется строго заданный набор ресурсов и регламентированный доступ на компьютере.
Кроме того, Vynamic™Security обеспечивает целостность рабочей среды устройства самообслуживания, то есть следит за отсутствием несанкционированных изменений в уникальной созданной «экосистеме» банкомата с конкретным набором технического оборудования и приложений. При попытке замены жесткого диска, извлеченный носитель, хранящий конфиденциальную информацию, придет в негодность, за что отвечает модуль Hard Disk Encryption, а на самом банкомате может быть запущен один из сценариев тревоги.
Отдельно стоит отметить, модуль Fraud Detection, который, используя технологии Big Data и машинного обучения, позволяет отслеживать отклонения в стандартных сценариях поведения программ, процессов и пользователей. Информация о подобных аномалиях в режиме реального времени доводится до сотрудников службы безопасности, после чего ответственный персонал может запустить один из сценариев для защиты информации, денежных средств и имущества банка.
Все эти характеристики позволяют утверждать преимущество Vynamic™ Security перед традиционными антивирусными программами, которые широко используются многими банками. Стандартные антивирусы не только менее эффективны против различного рода атак, но и могут быть, в отличии от Vynamic™, попросту отключены сервисным инженером во время обновления программного обеспечения банкомата, оставив без защиты наиболее уязвимую часть IT-инфраструктуры банка.
BS/2 является официальным поставщиком Vynamic™Security на территории стран СНГ и Балтии, а также в других регионах. Наши консультанты всегда готовы подробно объяснить все выгоды от использования этого решения, разработанного компанией Diebold Nixdorf.