Банкомат приколов
Устаревшая модель безотказно принимала игрушечные деньги
Эксперты установили, что в атаках на банкоматы с использованием купюр «банка приколов» всегда были задействованы только устройства производства компании NCR. Проблема была в их программном обеспечении, и обновление могло бы ее решить. Однако его не предвидится, и ЦБ рекомендует банкам обновить парк банкоматов.
Как стало известно “Ъ”, во всех прошедших за последнее время атаках на банкоматы кредитных организаций, когда в устройство вносились купюры «банка приколов», использовались банкоматы одного производителя — NCR. И только с валидаторами (устройство, распознающее купюры) ABV, HBV и RBV. По словам собеседника “Ъ”, знакомого с ситуацией в NCR, производителю известно о фактах хищений с использованием данной уязвимости в четырех российских банках. Часть случаев стали публичными. Так, 23 августа СМИ сообщили о внесении 800 тыс. руб. купюрами «банка приколов» в банкомат Юникредит-банка. Ранее схожие кейсы были с банкоматами МКБ (хищение 565 тыс. руб.) и Райффайзенбанка (122 тыс. руб., см. “Ъ” от 23 мая). В прошлом году проходили сообщения о хищении в банкоматах Сбербанка (на 5 млн руб. в Санкт-Петербурге).
По данным ЦБ, на начало года в стране было более 200 тыс. банкоматов, из них 135 тыс.— с функцией приема наличных. Согласно информации на сайте NCR, в России 40 тыс. устройств производителя. Клиентами компании являются Сбербанк, ВТБ, Альфа-банк, Газпромбанк, Юникредит-банк, Райффайзенбанк, Росбанк.
По словам собеседника “Ъ”, знакомого с деталями расследования инцидентов, в данном случае проблема в программном обеспечении валидатора. По словам руководителя отдела исследований «Диджитал Секьюрити» Дмитрия Турченкова, валидаторы на банкоматах NCR — это по сути что-то вроде сканера с УФ-лампой. Шаблоны распознавания заливаются на валидатор обслуживающими сервисными центрами. «Банк весьма ограничен возможностями настроек и не может влиять на шаблоны»,— пояснил собеседник “Ъ” в крупном банке.
Эксперты отмечают, что проблема в использовании устаревших моделей. «Данная уязвимость связана с тем, что более точная настройка валидаторов ABV и HBV приводит к отказу приема денег банкоматами,— указывают в банке "Открытие".— Методами устранения этой ошибки может быть либо отказ от приема купюр определенных номиналов, либо замена валидаторов». Там подчеркнули, что банк не сталкивался с подобными кейсами.
Сегодня более половины парка его банкоматов относится к последним модификациям (не старше двух лет). Об отсутствии банкоматов NCR старых модификаций также сообщили в Альфа-банке, ВТБ и Почта-банке. В Сбербанке отметили, что банкоматов NCR c указанными валидаторами в сети менее 5%, в МКБ — менее 1%, в Росбанке — всего несколько устройств.
По словам Дмитрия Турченкова, «облегчить себе тестирование нарисованных денег злоумышленники могли, просто купив валидатор». Например, Агентство по страхованию вкладов (АСВ) периодически продает на торгах банкоматы банков-банкротов. «Ограничения для покупателей такого оборудования не установлены»,— отметили в АСВ. Так, модель банкомата, аналогичная атакованной, продавалась АСВ в составе имущества Промышленного энергетического банка.
Решением проблемы, по словам экспертов, могла бы стать своевременная информационная рассылка по банкам от ФинЦЕРТ ЦБ о выявленной уязвимости. Помогло бы и оперативное обновление программного обеспечения, инициированное NCR. Однако регулятор склоняется к мысли, что банкам просто необходимо отказаться от уязвимых моделей. В ответе на запрос “Ъ” ЦБ подчеркнул, что банкоматы должны распознавать не менее четырех машиночитаемых защитных признаков банкнот на всей площади банкноты. Кроме того, там отметили, что на сайте ЦБ опубликован перечень устройств, прошедших испытание и рекомендованных ЦБ. Среди банкоматов NCR регулятор рекомендует только устройства с валидаторами GBVE и BRM.
В NCR от комментариев отказались. Однако источники “Ъ” отмечают, что в настоящее время NCR отказался от сервисной поддержки банкоматов с уязвимыми валидаторами и также рекомендует обновить парк. Смогут ли банки оперативно избавиться от уязвимых моделей, неизвестно. Так, только Сбербанку надо поменять около 4000 подобных устройств. Проще ограничить прием купюр, считают эксперты.