Читаем Мошенничество в платежной сфере полностью

4 марта 2009 г. в г. Москве с поличным задержан злоумышленник при попытке получения наличных из банкомата Smartcash 107 (компании Europeum), оборудованного диспенсером DeLARue с интерфейсом RS-232. Он подключил к ноутбуку диспенсер банкомата и использовал программу NMDWTest (специализированная тестовая программа, созданная компанией — производителем банковского оборудования De La Rue для технического обслуживания и проверки функционирования модуля для выдачи банкнот NMD-100). С помощью данной программы возможно извлечение банкнот без вскрытия сейфовой части банкомата.

В 2013 г. банкоматы подверглись атаке вредоносным кодом под названием Ploutus. Распространяемый в текущей версии с помощью CD-дисков код направлен на перехват контроля над банкоматом с целью извлечения имеющихся в нем наличных денег. Анализ инцидентов показал, что злоумышленники, получив доступ к CD-приводу банкомата, помещали туда новый загрузочный диск. С этого диска загружались файлы вредоносной программы Ploutus на жесткий диск банкомата и отключались установленные в системе антивирусные программы. После успешной загрузки вредоносного кода в систему Ploutus активировался определенной комбинаций нажатий на функциональные клавиши устройства, после чего появлялась возможность отправлять команды на выдачу наличных денег с внешней клавиатуры. Атака была зафиксирована в Мексике, Китае, Франции, Бразилии, Малайзии на банкоматах NCR, Wincor Nixdorf.

Для защиты от вмешательства в работу программного обеспечения банкоматов предлагаются разные методы и способы. В большинстве случаев заражение или вмешательство в штатную работу происходит путем доступа к компьютеру банкомата через верхний кабинет. Обычно крышка верхнего кабинета открывается одним ключом для большой серии (типа) банкоматом данного производителя. Можно обеспечить защиту от несанкционированного доступа в верхний кабинет банкомата путем монтажа дополнительного замка. При реализации данной защитной меры необходимо учитывать следующие вопросы. Если монтируется механический замок, то это будет накладывать дополнительные сложности управления доступом к механическим ключам. При этом необходимо иметь ввиду, что остается вероятность изготовления дубликата механического ключа. Электронные системы контроля доступа более предпочтительны. Но и они обладают определенными недостатками. Необходимо обеспечить оперативное обновление базы идентификаторов, разрешающих открытие замка. Данная задача может быть решена удаленно, но при этом потребуется организация канала связи к системе контроля доступом, либо локально, но в таком случае необходимо будет каждый раз совершать объезд банкоматов. Важное значение будет иметь и тип запирающего механизма. Если используется нормально закрытый (при отсутствии электрического питания замок закрыт), то в случае какой-либо неисправности (обрыв, повреждение провода, электронных компонентов и т. п.) возникнет сложность санкционированного открытия крышки верхнего кабинета. В некоторых моделях банкоматов при этом невозможно будет получить доступ и к сейфу (открыть его). При использовании нормально открытого замка (при отсутствии электрического питания замок открыт) необходимо решить вопрос с источником бесперебойного питания и определиться с требованием по времени его работы (после окончания емкости такого источника крышка откроется). Дополнительно механический замок будет защищать и от установки скимминговых устройств внутри банкомата (потребуется разрушение корпуса).

Защиту от установки вредоносного программного обеспечения можно обеспечить и программными средствами. Как уже упоминалось выше, необходимо использовать решения по обеспечению контроля целостности программного обеспечения: Diebold — SEP 11 (Symantec Endpoint Protection 11), NCR — Solidcore for APTRA. Существуют также предложения сторонних производителей, например GMV — checker ATM security, SafenSoft — TPSecure.