Защита банкоматов Diebold Nixdorf от атак black box оказалась ненадежной

Татьяна Никитина 26 Октября 2021 - 14:24

Домашние пользователи

Корпорации

Банкоматы и платежные терминалы

Positive Technologies

Защита банкоматов

Взлом банкоматов

...

Защита банкоматов Diebold Nixdorf от атак black box оказалась ненадежной

Исследователи из Positive Technologies выявили уязвимости в банкоматах Wincor линейки Cineo (торговая марка принадлежит концерну Diebold Nixdorf). Как оказалось, их можно заставить выдать наличные, подав команду с внешнего устройства, — невзирая на защиту от подобных атак.

Проверка показала, что встроенную защиту от атак типа black box (сквозное шифрование управляющего трафика) можно обойти, подменив прошивку контроллера диспенсера. При наличии доступа к USB-порту искомый результат — принудительную выдачу наличных — можно получить за несколько минут.

Пробная атака, проведенная в лабораторных условиях, состояла из трех этапов: подключение стороннего устройства к банкомату, загрузка устаревшей и уязвимой прошивки, эксплуатация уязвимостей для получения доступа к содержимому кассет.

«На популярном сайте объявлений был куплен такой же контроллер, управляющий выдачей, какой установлен в серийных ATM Wincor, — рассказывает Владимир Кононович, старший специалист отдела PT по безопасности промышленных систем управления. — Найденные в контроллере ошибки в коде и старые ключи шифрования дали возможность подключиться к ATM с помощью собственного компьютера (как в случае с классической атакой black box), обойти шифрование и произвести выдачу наличных».

Проблема актуальна для Wincor Cineo с диспенсерами RM3/CRS и CMD v5 (CVE-2018-9100 и CVE-2018-9099 соответственно). Избавиться от нее можно обновлением прошивки, запросив последнюю версию у производителя банкоматов. Вендорам также рекомендуется включить физическую аутентификацию для оператора во время установки встроенного ПО.

Обе уязвимости были обнаружены и поставлены производителю на вид более трех лет назад. Компания Diebold Nixdorf заявила, что проблема уже устранена, поэтому авторы находок решили опубликовать свое исследование. Результаты будут также представлены 29 октября на конференции по безопасности аппаратных решений Hardwear.io, проходящей на этой неделе в Нидерландах.

В 2018 году специалисты Positive Technologies помогли избавиться от похожей уязвимости другому крупному производителю банкоматов — NCR. Этот вендор проявил большую оперативность и залатал брешь в сжатые сроки.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Яков Шпунт 16 Декабря 2025 - 12:58

Мошенничество Онлайн-мошенничество Домашние пользователи

УБК МВД предупреждает о риске демонстрации экрана

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) предупредило о мошеннической схеме, связанной с включением демонстрации экрана. Под этим предлогом злоумышленники похищают различные данные, включая персональную и платёжную информацию.

Как сообщил телеграм-канал УБК МВД, чаще всего такую схему разыгрывают под видом проверки кандидатов при трудоустройстве.

Просьба включить демонстрацию экрана обычно исходит от якобы представителя отдела кадров или службы безопасности. В качестве предлога используются формулировки вроде «проверка лояльности» или «отсутствие связей с конкурентами».

В рамках подобной «проверки» злоумышленники требуют продемонстрировать:

личные чаты в мессенджерах;
настройки конфиденциальности и активные сеансы;
местоположение через картографические сервисы.

Таким образом, как отмечают в профильном управлении МВД, мошенники получают доступ к переписке, данным аккаунтов, геолокации, а также кодам для авторизации в учётных записях. В дальнейшем эта информация используется для новых атак или перепродаётся третьим лицам.

Ранее, в ноябре, МВД предупреждало о многоступенчатой схеме вымогательства. Злоумышленники, представляясь сотрудниками силовых структур или военнослужащими Украины, запугивали граждан и вынуждали передавать деньги через курьеров либо переводить средства на подконтрольные счета. Одним из основных источников геоданных в этой схеме становились сервисы знакомств.

Геоданные также были одной из ключевых целей кибератаки, получившей название «Операция Триангуляция», жертвой которой стала «Лаборатория Касперского».