Перейти к содержанию

Recommended Posts

AM_Bot

Специалистами по безопасности впервые обнаружена вредоносная программа для банкоматов. Судя по предварительному анализу, троян отслеживает транзакции в долларах США, российских рублях и украинских гривнах и ворует информацию о пластиковых картах, сообщает сотрудник компании Sophos Ваня Швайцер в корпоративном блоге.читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

В продолжение темы:

24 марта 2009 года

Компания «Доктор Веб» сообщает о появлении новой угрозы в закрытых сетях банкоматов некоторых российских банков. Уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах пользователей, которые ранее пользовались зараженным банкоматом. Тем самым, с помощью полученной информации злоумышленники получают возможность уводить со счетов людей все деньги, которыми они располагают.

Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они могли привести к некорректной работе данных устройств. Появившийся недавно вирус действует иначе и способен нанести серьезный ущерб клиентам российских банков, которые используют банкоматы.

Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера. Dr.Web классифицирует данную вредоносную программу как Trojan.Skimer. Троянский конь собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, - подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества.

В связи с тем, что, как правило, сети банкоматов не связаны с Всемирной Паутиной, единственный способ проникновения на них подобной вредоносной программы - участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода.

Все это подтверждает результаты проведенных ранее исследований, свидетельствующих о том, что причиной утечек информации в организациях финансовой сферы зачастую становятся их сотрудники. Тем не менее, особенностью данной угрозы является тот факт, что ущерб наносится не только репутации банков, но и их многочисленным клиентам, в частности физическим лицам.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Viktor, из изложенного в новости от "Доктора" и знания технологий работы банкоматов - многое из написанного чистой воды PR. Либо писавший весьма приблизительно представляет сии технологии.

В новости топикстартера все связно и более или менее понятно. Суровый удар по "Деболду". Занести такого зверька просто так крайне трудно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel_Of_War

Но поговаривают, что всего лишь в трех банках такая живность ( Росбанк, Петрокоммерц и Собин-Банк). Уверен, что специалисты РОСа и Петрокоммерца шиты не простыми нитками... Ну или кто-то прошляпил...

Да и вопще, про этого троянца Софос знал уже как неделю назад, а Доктор Веб фактически пропиарился

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Viktor, из изложенного в новости от "Доктора" и знания технологий работы банкоматов - многое из написанного чистой воды PR.

Оно понятно :)

Кстати, я так понимаю, что сети, в которых стоят банкоматы, полностью изолированы, и доступ к ним могут получить лишь избранные сотрудники банков. В связи с этим вопрос - как сэмпл был пойман онлайн-сканером и как он вообще попал в изолированные сети трех различных банков. Типа "заходите люди добрые" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

прокомментирую - Diebold Agilis действительно недоработанная и глючная софтина.

Теперь по большой новости:

1. "Банкоматы часто работают под управлением нестандартных операционных систем, а если даже это и Windows, то специализированная". неправда: Wincor работает на вполне стандартных WinXP, NT4.0; Diebold - WinXP , OS/2 (старые модели); NCR - WinXP, Linux. Банкоматы этих моделей составляют до 90% рынка у нас. Усли это про "прикрутку" софта для работы робота, так это не совсем то.

2. "Кроме того, программный и аппаратный интерфейс банкоматов считается недокументированным". Я знаю людей, у которых есть документация по Wincor + Diebold достаточная для написания драйверов карт-ридеров, принтеров, диспенсоров, изменения интерфейса и анализа протокола Diebold 912. Это представители авторизованных сервисных центров. Другое дело, зачем это им?

3. банкоматы обычно соединяются в изолированные частные сети, а физический доступ к ним без специального ключа затруднён из-за множества датчиков. :))))))))) Вот если б про доступ к изменению софта написали....А физический доступ к самому банкомату - как же деньги снимать тогда? Или это про сейф? Тогда неувязка - там только деньги. А так - для транспорта используется как правило некая физлиния от провайдера. Только на ней организуется туннель с шифрованием.

4. ПИн - код снимаемый с клавиатуры тут же аппаратно шифруется. Проще поставить WEB камеру или накладку - очень немногие банки в своих банкоматах предупреждают о них.

Реакция быстрая - ДиБолд теряет клиентов.

Про он-лайн сканер я тоже посмеялся - это надо было "вынуть" софт из банкомата, найти подозрительный файлик и проверить он-лайн сканером. Который его тут же определил???

Слишком много натяжек.

Ну, и последнее - многие банки для обслуживания банкоматов определенных вендоров нанимают сервисные компании, которые и следят за софтовой частью.

ИМХО - для удара по ДиБолду конкуренты нашли инсайдера, который "влил" трояна в дистрибутив, устанавливаемый в банкоматы. Соответственно, банки, купив такой банкомат, автоматически получают и "припарку"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Новость чистый фейк. Хотя на многих новостных сайтах уже отгремела...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

в смысле - фейк?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

alexgr

Можно назвать и пиаром.

Не логично получается, чтобы троян попал в банкомат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

с этим согласен. Примерный путь попадания я описал. А что сэпмл существует - я не сомневаюсь. Трояны и ранее попадали в банкоматы - как правило при замене\апгрейде ПО. НО это были классические компьютерные трояны. А тут вот такой - специализированный.

ДиБолду придется нелегко, особенно сейчас, при кризисе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

alexgr

очередная жертва заказной статьи...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

не совсем уверен в заказном характере статьи.... Diebold Agilis редкое поделие, а не устройство. Да и сэмпл трояна существует. Заточено - да, против ДиБолда. Но не было б такой продукции - не на него посыпалась атака

И последнее - все писатели этих новостей и статей ооочень далеко от банкомсатов, наверное, только деньги в них снимают :D А мне - поскольку я в банке работал, и сейчас "сижу" на банковских технологиях - понятно это "новостеделанье". Кроме неприличных слов - более никаких

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

может это вообще какой-нибудь смешной кодер, который решил проверить свои наработки на вирустотале и еще даже не успел залить, хотя готовился к этому+))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

да я думаю, уже все всем ясно. Пустьповисит Чтобы было понятно, как на старой новости от ДиБолд и на полученном сэмпле (думаю с ВирусТотала) делается пиар. При этом лепят море чуши, забывают сказать, что это не весь ДиБолд, а только некое семейство. Про комменты специалистов - хотелось плакать. Не зная матчасти - комментируем.

В общем, типичный розыгрыш шайбы после игры. Тут добавить то нечего

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
да я думаю, уже все всем ясно. Пустьповисит Чтобы было понятно, как на старой новости от ДиБолд и на полученном сэмпле (думаю с ВирусТотала) делается пиар. При этом лепят море чуши, забывают сказать, что это не весь ДиБолд, а только некое семейство. Про комменты специалистов - хотелось плакать. Не зная матчасти - комментируем.

В общем, типичный розыгрыш шайбы после игры. Тут добавить то нечего

Что-то мне это всё

напоминает, равно как и все вирусные новости. Сорри за оффтоп, просто, чтобы разрядить обстановку. :)
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

улыбнуло!

И что бы развеять еще один миф - про отказ банка от возмещения, которое в новостях проскочило. Это тоже из серии топоров в батонах. Поскольку корректная авторизация в процессинге ни о чем не говрит. Белый пластик, который постоянно изымается из банкоматов - тоже корректно авторизуется. Сразу в МПС - в международные платежные системы, поскольку карта есть материальное доказательство договора не с банком, а с платежной системой. Банк в этом случае только провайдер. Вот кто в итоге пострадает - отвечу ДиБолд, хотя первоначально может заплатить МПС, потом оштрафуют банк, ну а потом..... Но обычно компенсирует банк

может это вообще какой-нибудь смешной кодер, который решил проверить свои наработки на вирустотале и еще даже не успел залить, хотя готовился к этому+))

В поддержку - выборочная проверка, которую проводят международные платежные системы (а это удар и по ним, хоть и косвенный. Строят системы защиты, вставляют аппаратные шифраторы в клаву банкомата, требования к шифрованию выдвигают и т.д.) пока в нашем регионе случаев заражения не показала. Не факт, что по всей земле так, но уже наталкивает на мысли

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Основанный ни на чем пиар тех, кому видимо больше не о чем говорить и писать - вот что представляет из себя эта история. Вирус есть, однако кем и для чего он создан - большой вопрос, а уж про то, что в рядовые ATM устройства ему ну никак не попасть без человеческой помощи делает его просто ни на что не способным фантомом

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Можно назвать и пиаром.

Согласен. По большей части данная новость не что иное, как запугивание пользователей банкоматов.

Не логично получается, чтобы троян попал в банкомат.

С технической стороны "запустить" троян в банкомат не так уж и сложно. Для этого необходимо специальное устройство (схему устройства выкладывать не буду в этических соображениях, скажу лишь, что устройство собирается за 15 минут, не более), с помощью которого будет осуществляться несанкционированное подключение к оптоволоконному кабелю, затем "заливается" троян и по тому же оптоволоконному кабелю передается сигнал на запуск трояна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Прочитал новость и все комменаритарии, возникли четкие мысли о таргетированной атаке. Троян есть, это судя по всему факт, распространение весьма узкое. Как он туда мог в принципе попасть alexgr выше написал.

Судя по всему мы имеем дело с внутренней атакой кого-то из персонала банка. Решили парни бабла по быстрому срубить, написали троянца благо квалификация есть, но как-то все же спалились.

Кризис знаете ли ... кому-то кредиты надо возвращать, кому-то хочется отыграть потерянное на фондовом рынке или урезанную зарплату. А где у нас первым делом IT порезали? Правильно, в финансовом секторе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Рашевский Роман

Похоже что здесь был просто заказ на банк. Новость всплыла, да и еще как. В результате он может потерять клиентов. Но сделать это может только сотрудник банка. А возможно и как написал Сергей Ильин выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
...Суровый удар по "Деболду"...

Почему выбрана Россия, почему только она, почему именно эти три банка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Почему выбрана Россия, почему только она, почему именно эти три банка?

Потому что авторы наши

Потому что нужен физический доступ

А кто сказал что именно эти? Пресса? Вы склонны ей верить, точнее источнику информации?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Рашевский Роман

Похоже что здесь был просто заказ на банк. Новость всплыла, да и еще как. В результате он может потерять клиентов. Но сделать это может только сотрудник банка. А возможно и как написал Сергей Ильин выше.

Сотрудники СБ (собственной безопасности) банка видимо недоглядели, мягко говоря, т.к. в банках, как правило, сотрудники, имеющие доступ к какой-либо ценной/конфиденциальной информации, программному или аппаратному обеспечению находятся под пристальным "наблюдением" со стороны службы СБ. :)

А кто сказал что именно эти? Пресса? Вы склонны ей верить, точнее источнику информации?

Согласен. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
    • Зотов Тимур
      Заинтересовало предложение.
    • Зотов Тимур
      Все спецально и делают деньги на них
×