Как можно незаметно потрошить банкоматы

На правах рекламы

Скачайте детальное сравнение «Продвинутая защита конечных станций» от экспертов «Инфосистемы Джет», чтобы выбрать подходящее решение для защиты вашего бизнеса от киберугроз.

Как можно незаметно потрошить банкоматы

В текущем году СМИ активно освещали инциденты, связанные с ИБ и иной безопасностью, уделяя особое внимание финансовому сектору. Например, с начала года чуть ли не каждую неделю злодеи или просто отчаявшиеся люди предпринимали незаконные манипуляции с банкоматами, и информация об этом не сходила с лент новостей – просто не успевала сойти. Банкоматы вывозили, взрывали, взламывали, раскурочивали… А кое-кто при атаках на банкоматы использовал методы и инструменты, связанные с высокими технологиями.

Вот – одна из таких историй от ведущего эксперта по информационной безопасности InfoWatch - Марии Вороновой.

В один прекрасный или, скорее, не очень хороший день сотрудники банка выявили при инкассации его банкомата нехватку денежных средств. Размер недостачи был сопоставим с суммой закладываемой в банкомат денежной наличности, то есть оказался довольно значительным. Сотрудники не поверили своим глазам и актам выгрузки из банкомата, «скинули» недостачу на невыясненные обстоятельства и решили разобраться со счетчиками позже. Об этом происшествии они не поставили в известность ни службу экономической безопасности, ни отдел информационной безопасности. В банкомат снова загрузили денежные средства, а на следующий день он опять оказался пустым.

То же самое обнаружилось во время инкассаций в нескольких других офисах банка, территориально распределенных по регионам страны, – всего около 10 случаев. При этом во время инкассаций проводился визуальный осмотр, но каких-либо физических повреждений ни на одном из банкоматов выявлено не было.

РеагированиеСлужбы экономической, физической и информационной безопасности банка начали тщательно отрабатывать произошедшие инциденты. В спектр версий вошли как внешние атаки, так и инсайдерство. Меры принимались сразу в нескольких направлениях:- задача №1 – минимизация вероятности продолжения серии атак для предотвращения дальнейших убытков;- задача №2 – внутреннее расследование и сбор информации для подачи заявлений о возникновении страховых случаев в страховую компанию; - задача №3 – подача заявлений в правоохранительные органы и взаимодействие с ними.

Действовать требовалось одновременно по всем фронтам и максимально оперативно. Кроме того, было решено безотлагательно провести инкассацию всех банкоматов банка (в первую очередь, тех, которые, по данным мониторинга, попали в «зону риска») на предмет подтверждения или опровержения факта мошеннических действий. В ряде регионов по согласованию с руководством было намечено снизить лимиты загрузки, в других – полностью разинкассировать банкоматы. Были временно закрыты для доступа 24-часовые зоны, в срочном порядке менялись на банкоматах пароли локальных администраторов и удаленных подключений.

Правда, несколько  региональных управляющих все же решили банкоматы не трогать, аргументировав это тем, что паника населения – страшнее. А в неспокойный кризисный год, когда банки закрываются один за другим, не работающие во всем регионе банкоматы станут поводом для слухов и «черного» пиара. А риск «обрушения» филиала банка из-за паники населения, подогреваемой слухами о скором отзыве его лицензии, – выше, чем риск потери денежных средств как таковых.

РасследованиеВо время просмотра первой же записи с камер видеонаблюдения выяснилось, что банкомат выдавал деньги практически «добровольно» и большими пачками. Человек в надвинутой на лоб шапке с прижатым к уху телефоном подходил к банкомату, но не дотрагивался ни до его корпуса, ни до PIN-пада. Он просто подходил, и банкомат начинал выдавать деньги, которые человек с телефоном складывал в спортивную сумку. Сам он выглядел… как лицо неопределенной национальности среднего возраста и роста – что называется, без особых примет.

Примерно такая же картина была получена сотрудниками служб безопасности и правоохранительных органов по другим эпизодам. Различия состояли лишь во времени  реализации инцидентов (где-то они произошли в районе полуночи, где-то – ближе к 4–5 часам утра) и в количестве злоумышленников (от одного до нескольких человек, раз в 15–20 мин сменявших друг друга).  Каждая процедура изъятия денежной наличности занимала от 1 до 3 ч.

Одновременно шла работа в других направлениях. Были сняты образы с пострадавших банкоматов, и их исследованиями занялась служба информационной безопасности банка. Группа расследования запрашивала и уточняла данные по скомпрометированным банкоматам – марки, модели, места установки, IP-адреса. Кроме того, поднимались журналы системы мониторинга состояния банкоматов, лог-файлы сетевого взаимодействия.

Исследование снятых с банкоматов образов показало, что все лог-файлы на банкоматах были затерты. Но – не полностью. Обнаруженные остатки утилиты, предназначенной для затирания данных и, соответственно, следов преступления, а также заполнение файловой системы «мусором» показали, что отработала эта утилита почему-то не до конца – данные удалось частично восстановить.

P.S. Продолжение последует...уже совсем скоро!

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru