Пластиковый вирус
Ряд антивирусных компаний России объявили в конце марта о выявлении вируса для банкоматов. Сообщалось, что программа, собирающая информацию о банковских картах и PIN-кодах к ним, обнаружена в банкоматах Росбанка, Бинбанка и "Петрокоммерца". "Ъ-Телеком" выяснил, что обнаруженная программа не является вирусом в классическом понимании и не может нанести вреда держателям пластиковых карт.
История с заражением банкоматов Росбанка, "Петрокоммерца" и Бинбанка вирусом Skimer наделала немало шума в интернете с легкой руки антивирусных компаний и ищущих сенсаций СМИ. Сама тема вирусов в банкоматах отнюдь не нова: специалисты по информационной безопасности говорили об этом еще несколько лет назад. Один из первых случаев заражения банкомата был зафиксирован в 2003 году в США: от сетевого червя Nachi пострадало несколько банкоматов производства Diebold. А вскоре была зафиксирована "банкоматная эпидемия": сетевой червь Slammer проник в 13 тыс. банкоматов Bank of America и Imperial Bank of Commerce.
Тем не менее недавнее заражение — первый получивший широкую известность случай обнаружения вируса в банкоматах российских финансовых структур.
История одного вируса
Несмотря на обилие публикаций о происшествии, достоверной и достаточно подробной информации о нем не так много: известно, что в некоторых банкоматах Diebold был обнаружен вирус, названный антивирусными специалистами Skimer.
Разумеется, случайно оказаться он там не мог. По мнению руководителя аналитического центра компании Perimetrix Владимира Ульянова, возможны три способа проникновения: через интернет, внутреннюю подсеть банка или непосредственно в момент доступа к банкомату. "Первый способ заражения практически исключен, поскольку, даже если банкомат подключен к интернету, он может выполнять в сети только строго определенный набор действий, при этом действие "подхватить вирус" в него не входит. Вирус мог бы попасть в банкомат в случае уязвимости операционной системы, но в данном случае речи об этом не идет",— считает господин Ульянов.
Если рассматривать возможность проникновения вируса двумя другими путями, то в этих случаях речь может идти о том, что вредоносный код был установлен инсайдером — человеком, имеющим легальный доступ к банковским сетям или непосредственно к банкоматам. Это соображение вполне согласуется с тем обстоятельством, что пострадало несколько банков: обслуживание банкоматов часто отдается сторонним компаниям. Вирус, который проник в банкоматы, не умел самостоятельно распространяться, а значит, он был инсталлирован в каждый терминал. "Во время обслуживания устройство практически беззащитно. Работу специалиста-техника "контролируют" лишь вооруженные охранники. И препятствий к тому, чтобы с обновлением стандартного ПО записать еще и вредоносный код, нет",— резюмировал Владимир Ульянов.
Действовал Skimer следующим образом. Он изменял функционал встроенного программного обеспечения банкомата производства Diebold, которое отвечает за обработку всех трансакций. Данное обстоятельство, в частности, говорит о том, что создатель вируса хорошо знает архитектуру банкоматов, а также особенности именно этого, весьма специфического, ПО. А значит, тезис об инсайдерском происхождении вредоносного кода получает еще одно подтверждение.
Специалисты "Лаборатории Касперского" утверждают, что вирус сохранял всю информацию о трансакциях в незаметном для клиентов банкомата режиме. Чтобы получить доступ к этой информации, злоумышленник вставлял в банкомат специальную карту, которая позволяла распечатать сохраненные данные — исчерпывающую информацию о картах, побывавших в банкомате. В дальнейшем создатель вируса мог либо продать эти данные на черном рынке, либо самостоятельно залить их в "пластик" и снимать наличные.
А был ли вирус?
Эта, казалось бы, правдоподобная история на практике выглядит крайне маловероятной. Дело в том, что современные банкоматы не обрабатывают ни номер карты, ни ее PIN-код в открытом виде. Эта информация шифруется на клавиатуре и в таком защищенном виде передается в процессинговый центр. И даже если вирус смог получить доступ к зашифрованной информации о картах, он не смог бы ее расшифровать.
"Вся история с вирусом для банкоматов чрезмерно преувеличена. Технологически вероятность распространения такого вредоносного гада в сети банкоматов близка к нулю,— считает Григорий Васильев, технический директор российского представительства антивирусной компании ESET.— Скорее всего, Skimer был написан специально для того, чтобы спровоцировать шум в прессе, нанести репутационный ущерб либо пострадавшим банкам, либо производителю банкоматов. Реальной финансовой выгоды автор в принципе получить не мог из-за особенностей внутренней защиты данных".
Угроза вирусного заражения банкоматов, по сути, оказалась фикцией — информационной бомбой с исключительно маркетинговым содержимым. Однако она обнажила главную проблему, с которой сталкивается современная индустрия платежных карт.
Беззащитные держатели
После появления первых сообщений об инциденте в прессе промелькнула информация о том, что ни один из задействованных банков не собирается возмещать потенциальным пострадавшим возможный ущерб от действий вируса. И они абсолютно правы. Чтобы понять, почему банки заняли такую позицию, достаточно посмотреть на эту ситуацию с обратной стороны.
"Представим себе, что в банк приходит клиент, который говорит, что с его карты были незаконно списаны деньги,— рассказывает Тарас Пономарев, партнер консалтингового бюро "Практика безопасности".— Сотрудник банка смотрит историю трансакций и видит, что одна из них действительно выделяется из общей массы. Проблема заключается в том, что клиент никак не может доказать ее незаконность и причастность к этой трансакции третьих лиц. Ведь даже если трансакция произошла за океаном, он мог просто передать карту своему другу, который благополучно снял все лежащие на счете деньги".
Но даже если клиент сумеет доказать, что деньги были сняты посторонним человеком, банк не обязан возмещать ему ущерб. Понятно, что в этом случае где-то произошла утечка, однако в ней совершенно необязательно виноват банк. Возможно, клиент лично передал информацию о карте посторонним лицам, а значит, он сам должен отвечать за последствия своих действий. Доказать же, что он утечек не допускал, клиент, очевидно, не в состоянии.
Получается, что держатель банковской карты никак не может обезопасить себя от утечек по вине банков, розничных магазинов или любых других организаций, имевших доступ к информации о его карте. И мировая практика показывает, что количество таких утечек неуклонно растет, причем отнюдь не по вине каких-то банкоматных вирусов.
Стандарт не спас
Проблема беззащитных держателей давно беспокоит ведущие платежные системы — Visa и MasterCard, которые предпринимают некоторые шаги для ее решения. Сейчас основные усилия этих систем направлены на регулирование действий мерчантов — организаций, которые обрабатывают трансакции по картам. Чтобы эти организации не допускали утечек, был разработан специальный стандарт информационной безопасности PCI DSS, который, во-первых, является обязательным, а во-вторых, предусматривает весьма значительные штрафные санкции в случае нарушения условий.
Однако в конце прошлого года стало понятно, что выполнение требований PCI DSS не гарантирует отсутствия инцидентов. В это время произошло сразу две крупнейших утечки платежных данных из организаций с сертификатом PCI DSS Compliant.
В ноябре 2008 года об утечке объявило американское подразделение королевского шотландского банка RBS (RBS WorldPay). В результате хакерской атаки были потеряны сведения о 1,5 млн трансакций по картам клиентов. Хакеры сумели достаточно быстро распространить полученную информацию среди мошенников более мелкого пошиба, те залили ее в "пластик" и уже спустя несколько дней провели крупномасштабную и первую в своем роде акцию.
8 ноября сразу после полуночи со 137 банкоматов, расположенных в 49 городах мира, одновременно была снята наличность с помощью поддельных карт клиентов RBS WorldPay. Общий прямой ущерб только от этой вылазки составил $9 млн.
Однако инцидент в RBS WorldPay — это еще цветочки. Через два месяца о еще более крупной утечке заявила компания Heartland Payment Services — шестой по величине процессинговый центр США. Реальный масштаб инцидента неизвестен до сих пор, однако, по мнению ряда аналитиков, он рискует стать крупнейшей утечкой в истории.
Heartland Payment Services обрабатывает гигантское количество трансакций (более 100 млн в месяц) и обслуживает более 250 тыс. клиентов. Причиной инцидента стала вредоносная программа, которая, впрочем, работала на уровне сетевой инфраструктуры, а не на уровне банкоматов. Программа функционировала в течение нескольких месяцев и теоретически могла "украсть" до нескольких сотен миллионов трансакций.
Последствия утечки стали настоящей катастрофой для Heartland. На следующий день после публикации информации об инциденте акции компании на фондовой бирже Нью-Йорка упали на 42%. Репутация процессингового центра пострадала еще больше: через пару месяцев после утечки свыше 600 американских банков заявили о том, что они также пострадали в результате данного инцидента.
И Heartland, и RBS WorldPay успешно прошли аудит соответствия стандарту PCI DSS.
Что делать?
Ситуация, которая сложилась в индустрии платежных карт сегодня, не может не вызывать опасений. Во многих странах и даже некоторых регионах России платежные карты стали неотъемлемым атрибутом практически любого современного человека, и отказываться от них, естественно, никто не станет. Но как сделать использование платежных карт по-настоящему безопасным?
К сожалению, универсального рецепта не существует — ни один держатель карты не застрахован от утечки информации и появления незаконных трансакций. Конечно, можно ограничить использование карты, снимая наличность только в одном, надежном банкомате. Но ведь никто не покупает автомобиль, чтобы доехать на нем только до ближайшего магазина.
Минимизировать риски можно, установив оповещения (по SMS или электронной почте) обо всех трансакциях по карте. Конечно, этот способ не позволит избежать всех проблем, однако ущерб владельца карты от возможных действий мошенников будет ограничен размером одной трансакции. Если, конечно, он успеет оперативно сообщить банку о подозрительных трансакциях.
Что же касается мерчантов и финансовых организаций, то платежные системы выбрали стратегию, направленную на усиление регулирования и ужесточение стандартов безопасности. Стандарт PCI DSS, конечно, неидеален, однако он все-таки понижает вероятность утечки информации.