jackpotting
Мы не раз рассказывали о том, как какие-нибудь киберпреступные группировки обчищают банкоматы. А теперь можем и показать — наши сотрудники сняли четыре видеоролика, в которых демонстрируются различные варианты атак на банкоматы. Уточним на всякий случай: при съемках роликов ни один банк не пострадал.
Способ первый: с помощью поддельного процессингового центра
Этот способ работает, если взломщик может получить доступ к сетевому кабелю, при помощи которого банкомат подключен к сети. Хакер отключает банкомат от банковской сети и подключает его к коробочке, имитирующей процессинговый центр.
С помощью этой коробочки он может управлять кассетами с деньгами и посылать банкомату команду выдать деньги из такой-то кассеты. Вуаля! При этом он может использовать любые карты и вводить любые PIN-коды, и все это будет выглядеть как вполне легитимные транзакции.
Способ второй: сетевая атака на несколько банкоматов
В этом случае взломщик покупает у недобросовестного работника банка через Интернет ключ, позволяющий открыть корпус банкомата. К кассетам с деньгами с помощью этого ключа не доберешься, а вот до сетевого кабеля — запросто. Взломщик отключает банкомат от банковской сети и подсоединяет к специальному устройству, которое посылает данные на сервер, принадлежащий злоумышленникам.
Сеть с банкоматами нередко не сегментирована, а сами банкоматы зачастую настроены неправильно, так что с помощью этого устройства хакер может получить контроль сразу над несколькими банкоматами в сети, даже если вредоносное устройство установлено только в одном из них.
Ну а дальше все почти как в предыдущем случае: на сервер устанавливается собственный центр обработки, который дает злоумышленнику полный контроль над банкоматами. Теперь с помощью любой карты хакер может снять все деньги из этих банкоматов, и конкретные модели здесь не важны: главное, чтобы протокол, с помощью которого они общаются с центром обработки, был общий.
Способ третий: атака с помощью «черного ящика»
Как и в предыдущем случае, атакующему понадобится ключик, с помощью которого он откроет корпус банкомата и переведет его в режим обслуживания. К USB-разъему банкомата хакер подключает «черный ящик» — небольшую коробочку, позволяющую контролировать устройство для выдачи наличных.
На экране банкомата будет написано что-то вроде «Обслуживание» или «Банкомат не работает», но на самом деле устройство для выдачи наличных работать будет. При этом «черный ящик» можно контролировать с помощью смартфона — по беспроводному соединению. Хакер просто нажимает кнопку на своем телефоне и забирает из банкомата деньги. А потом достает и коробочку — чтобы замести следы.
Способ четвертый: атака с помощью вредоносных программ
В этом случае злоумышленнику нужно как-то заразить банкомат. Сделать это можно двумя способами: либо, предварительно купив ключ от банкомата, воткнуть в USB-порт флешку, либо же можно провернуть все и удаленно, через Интернет, если банковская сеть скомпрометирована.
Если в банкомате нет защиты от вредоносных программ и не настроен список разрешенных приложений, хакер может запустить свою программу, которая попросту будет отдавать банкомату команду выдавать наличные. Атаку можно повторять, пока в устройстве не кончатся деньги.
Конечно, взломать можно не любой банкомат. Для того чтобы описанные выше атаки можно было реализовать, необходимо, чтобы что-нибудь было настроено не так. Или банковская сеть не сегментирована, или в самом банкомате не предусмотрена аутентификация при обмене данными между «железом» и управляющей программой. Не настроены списки приложений, которые можно запускать (а все остальные, соответственно, нельзя), или до заветного сетевого шнура слишком легко добраться.
К сожалению, подобные проблемы — не редкость. Например, именно из-за них злоумышленникам в свое время удалось заразить банкоматы трояном Tyupkin. Специалисты «Лаборатории Касперского» всегда готовы помочь банкам это исправить: они могут как проконсультировать сотрудников, так и протестировать защиту банковской инфраструктуры.
Советы