7 причин, почему злоумышленникам так легко взламывать банкоматы

Банкоматы привлекали преступников всегда. Раньше для охоты на машины по выдаче денег злоумышленники использовали разные интересные инструменты, такие как автоген или взрывчатка. Но сейчас можно получить кругленькую сумму в банкомате, не прибегая к подобным спецэффектам.

На конференции SAS 2016 Ольга Кочетова, специалист отдела тестирования на проникновение в «Лаборатории Касперского», объяснила, почему банкоматы настолько уязвимы. Свои выкладки она представила в докладе «Вредоносное ПО и другие способы сорвать джекпот в банкомате».

1. Для начала надо понять, что каждый банкомат — это компьютер. Да, в нем, без сомнения, есть целый набор специализированных электронных подсистем и индустриальных контроллеров, но сердцем и мозгом всего этого зоопарка является обычный ПК. И, конечно же, как и любой компьютер, банкомат тоже уязвим.

2. Кроме того, весьма вероятно, что работает этот ПК под управлением какой-нибудь старой операционной системы вроде Windows XP. Банкоматов много, обновлять их дорого, поэтому банки экономят и выжимают максимум из имеющейся инфраструктуры.

Вы, наверное, знаете, что Microsoft больше не поддерживает Windows XP. Так что все уязвимости, найденные после окончания поддержки, так навсегда и останутся «уязвимостями нулевого дня» — для них никогда не выпустят заплатки. И уж поверьте, серьезных дыр в XP уже сейчас очень много.

Win XP всё. Давайте вспомним, что она нам дала за 12 лет, с чем оставляет и почему про нее нужно забыть: http://t.co/9WOMSKJyFL

— Kaspersky (@Kaspersky_ru) April 8, 2014

3. Кроме того, вполне вероятно, что и другое программное обеспечение, используемое в банкоматах, также уязвимо. К примеру, лазейку внутрь системы преступники могут найти в устаревшем Adobe Flash Player с уже сейчас известными 9 тыс. багов, или в инструментах удаленного управления устройством, или еще в каком-нибудь софте.

4. Производители банкоматов нередко уверены, что их машинки работают исключительно в «нормальных условиях» и в системе никогда не случается ничего экстраординарного. Поэтому зачастую в операционной системе банкомата нет контроля целостности ПО, система не защищена антивирусом и в ней не предусмотрен механизм авторизации приложений, посылающих команду на выдачу наличных.

5. Сейф внутри банкомата, в котором хранятся деньги, а также приспособление, которое их выдает, защищены неслабой броней и отличными замками — тут все серьезно, «как в швейцарском банке». А вот до компьютерной части банкомата добраться гораздо легче.

Чаще всего та часть банкомата, в которой размещена электроника, сделана из пластика, в лучшем случае — из тонкого металла и заперта на простые замки, которые едва ли надолго задержат преступников. Очевидно, производители банкоматов думают примерно так: раз в этой части устройства нет денег, то ее и защищать незачем.

Как три киберпреступные группировки украли миллионы долларов из десятков банков: https://t.co/cb11i3qiWy pic.twitter.com/Chc4XBEC2B

— Kaspersky (@Kaspersky_ru) February 8, 2016

6. Модули внутри банкоматов подключены друг к другу с помощью стандартных интерфейсов, таких как COM и USB. Иногда к некоторым из них можно получить доступ снаружи, но, даже если и нельзя, эта особенность все равно играет на руку преступникам.

Атака на бортовой компьютер Audi через USB. Звучит как фантастика, но это реальность: https://t.co/BhHYxgc4ei

— Евгений Касперский (@e_kaspersky_ru) October 26, 2015

7. Банкоматы так или иначе должны быть подключены к какой-нибудь системе коммуникации. А поскольку связь через Интернет сейчас самая дешевая, банки используют Всемирную паутину, чтобы подключать банкоматы к своим процессинговым центрам. И знаете что? Да, банкоматы можно найти на Shodan (это поисковик для Интернета вещей).

#Shodan shows thousands of exposed ATMs potentially vulnerable to a network attack @_endless_quest_ #TheSAS2016 pic.twitter.com/9E3SSYwG89

— Eugene Kaspersky (@e_kaspersky) February 9, 2016

С учетом всего вышесказанного у преступников есть уйма возможностей для взлома банкоматов. Например, они могут написать вредоносную программу, загрузить ее в систему банкомата и забрать все находящиеся в нем наличные. На самом деле такие троянцы уже неоднократно выпускались. Например, год назад мы обнаружили один из видов подобного вредоносного ПО под названием «Тюпкин».

Еще один способ для киберпреступников обзавестись легкой наличкой — это подключить к банкомату специальное оборудование по USB-порту. Ольга Кочетова и Алексей Осипов продемонстрировали, как это может быть проделано с помощью небольшого и недорогого одноплатного компьютера Raspberry Pi, оборудованного Wi-Fi-адаптером и батареей. В этом видеоролике показано, как было дело.

Удаленные атаки на сеть банкоматов через Интернет даже более опасны. Преступники могут создать виртуальный процессинговый центр или даже взломать настоящий. Например, именно это проделали члены банды Carbanak, чтобы украсть миллиард долларов: они проникли в ключевые компьютеры в банковских сетях и использовали их, чтобы напрямую командовать банкоматами.

APT-ограбления банков с использованием атак Metel, GCMAN и Carbanak 2.0 #bankingAPT #TheSAS2016 https://t.co/qfgi9A8vEt

— Securelist Russia (@securelist_ru) February 16, 2016

Поэтому банки и производители банкоматов должны уделять больше внимания защите своих устройств. Им нужно серьезно пересмотреть меры обеспечения безопасности как для программной, так и для аппаратной составляющей, а также для всей сетевой инфраструктуры. Кроме того, нужно быстрее реагировать на угрозы и взломы, а также активнее взаимодействовать с полицией и компаниями, специализирующимися на обеспечении безопасности.