В России появился новый вирус, атакующий банкоматы. Особенность в том, что проникает он в банкомат без какого-либо физического контакта, а выявить и устранить проблему сложно. Цель вируса — не средства клиентов, а деньги в банкомате, который настраивается на выдачу всех самых крупных купюр любому, набравшему определенный код.
Пока простой механизм борьбы не найден, банкам остается лишь повышать общий уровень безопасности своих сетей. Однако большинству игроков проще и дешевле застраховать банкоматы, что только подстегнет к распространению мошенничества.
В пятницу замначальника ГУБЗИ ЦБ Артем Сычев сообщил о новом бесконтактном способе хищения денежных средств из банкоматов. "Мы всегда, когда говорили о скимминге, отмечали, что злоумышленник должен поставить что-то на банкомат, теперь новая технология появилась",— уточнил он, не раскрыв деталей, но сообщив, что информация о проблеме и возможности противодействия ей доведена до участников рынка (в рассылках FinCert),
Новый способ атак на банкоматы FinCert описал 15 марта. В ней сообщалось о так называемом бестелесном или бесфайловом вирусе, который "живет" в оперативной памяти банкомата. В рассылке отмечается, что в России в банкоматах он замечен впервые. Так как вирус не имеет файлового тела, его не видят антивирусы и он может жить в зараженном банкомате сколь угодно долго.
Вирус направлен на хищение средств непосредственно из банкомата, который при введении заданного кода выдает всю наличность из первой кассеты диспенсера, где хранятся самые крупные купюры (номиналом 1 тыс. или 5 тыс. руб.) — 40 штук. Получить средства может любой, кто введет код, но обычному человеку его подобрать сложно, слишком длительные попытки могут вызвать подозрение у служб безопасности банка.
Если в России данную схему мошенники применили впервые, то в мире подобные случаи уже были. "Хищение средств с помощью бесфайлового вируса под силу лишь профессиональным преступникам, поскольку тут необходимы достаточно серьезные технологии,— отмечает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.— Злоумышленники взламывают внешний контур сети банка, далее проникают в компьютер специалиста, отвечающего за банкоматную сеть, а оттуда вирус попадает в отдельный замкнутый контур банкоматной сети".
Банковские служащие получившие рассылку FinCert, рассказали, что в данном случае поражены были устройства крупнейшего производителя банкоматов — NCR. Но отказываться от этой марки банкиры не собираются, поскольку поражен таким образом может быть любой банкомат. "Выявленная уязвимость нехарактерна для конкретного производителя, так как все банкоматы работают под Windows".
Специалисты пока не нашли простого и эффективного способа борьбы с новым вирусом. "При перезагрузке банкомата вирус, по идее, должен без следа удаляться из оперативной памяти,— отмечает начальник управления информационной безопасности ОТП-банка Сергей Чернокозинский.— Однако он может прописывать себя в специальный раздел автозагрузки операционной системы и при каждом перезапуске компьютера "возрождаться" вновь".
Постоянно перезагружать банкоматы — не выход из ситуации, отмечают банкиры. По их словам, перезагрузка банкомата занимает порядка пяти минут, то есть подобную процедуру невозможно провести незаметно для клиентов, к тому же банкомату, как и любому компьютеру, частые перезагрузки вредны.
Пока противоядие не найдено, банкирам остается не допускать заражения банкоматов. "Чтобы уберечься от подобных проникновений, банки должны усилить защиту внешнего контура и банкоматной сети,— отмечает начальник управления по развитию систем самообслуживания Альфа-банка Максим Дарешин.— Однако особенность в том, что стоимость защиты хоста не зависит от количества банкоматов, подключенных к сети, сто или несколько тысяч". "В подобной ситуации банки с небольшими банкоматными сетями, сопоставив объем затрат и рисков, вряд ли охотно будут вкладывать средства в безопасность, предпочитая застраховать банкоматы от хищений",— указывает специалист в крупном банке, признавая, что такой подход, будет стимулировать мошенников и далее распространять новый вирус.
Компания «ИТ-Экспертиза» представила новую версию программного комплекса САКУРА — релиз 2.37. В обновлении есть улучшения в части безопасности, работы агентов, интеграции с инфраструктурой и оптимизации производительности, а также исправления ошибок.
Главные изменения версии 2.37:
Безопасность
Появилась возможность подключать агент САКУРА к серверу по HTTPS. Это повышает защищённость передачи метрик и управляющих команд.
Интеграция с OpenVPN
Обновили механизм учёта сеансов: теперь поддерживается двухфакторная аутентификация и информация о местоположении. В связке OpenVPN + САКУРА + САКУРА 2ФА корректно отображаются данные о локации пользователя в карточке рабочего места и в отчёте «Карта местоположения».
Изменения в работе агента:
Добавили возможность централизованно отключать сбор метрик с отдельных агентов — это помогает снижать нагрузку в пиковые периоды.
В логировании появились новые уровни — «Отладка» и «Все события», благодаря чему администраторы могут гибко выбирать степень детализации журналов.
Мобильные приложения и 2ФА
В Android-приложении реализовано скрытие пуш-уведомления после подтверждения входа кнопкой «Да, это я».
Оптимизация системы:
Ускорена синхронизация САКУРА с Active Directory за счёт сокращения количества запрашиваемых LDAP-атрибутов.
Снижена нагрузка на память при выгрузке отчётов — большие отчёты формируются быстрее и меньше нагружают сервер.
Оптимизировано массовое обновление агентов: процесс стал быстрее и устойчивее, добавлена возможность продолжить обновление после разрыва соединения.
Исправления ошибок:
Настройки frontend теперь может менять только авторизованный пользователь с нужными правами.
Исправлена ошибка проверки домена при входе через учётную запись AD.
Исправлено отображение адреса сервера в информации о рабочем месте.
Исправлено поведение, при котором иногда не сохранялись введённые настройки сервера.
Корректно работает фильтр «Метка РМ» в отчёте «Работа пользователей по дням».
Исправлена отображаемая дата установки обновлений ОС для Astra Linux.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
