Чтобы ограбить клиентов банка преступникам сегодня не обязательно врываться в здание с автоматами. Злоумышленники давно уже научились заражать банкоматы и затем красть деньги с кредитных карт. При этом если раньше для этого им приходилось все же взламывать сам «ящик с деньгами», то в последние годы преступники предпочитают вообще не приближаться к своему источнику дохода, прибегая к хакерским атакам.
Компания Trend Micro, специализирующаяся на компьютерной безопасности, и Европейский центр по борьбе с киберпреступностью (European Cybercrime Centre, EC3, входящий в систему Европола) опубликовали совместный отчет «Зарабатывая на вредоносных программах для банкоматов» (Cashing in on ATM Malware). Его составители проанализировали данные о взломах банкоматов по всему миру и пришли к выводу, что преступники все чаще прибегают к взлому интернет-сетей банков, чтобы добраться до сбережений граждан.
«Ранее основной способ заражения банкоматов был преимущественно физическим: злоумышленникам необходимо было получить доступ к устройству и загрузить вредоносную программу с помощью USB или CD. Несмотря на то, что эта схема сегодня все еще используется, злоумышленники нашли новую точку входа — интернет. Этому способствует, в частности то, что сотни тысяч банкоматов работают на операционных системах, которые больше не получают обновлений для исправления уязвимостей или для которых скоро перестанут выпускать патчи»,— говорится в отчете.
В докладе Европола и Trend Micro описаны как физические, так и сетевые виды атак на банкоматы с использованием вредоносных программ, а также рассказывается, где создают такие программы. Первые и самые простые способы кражи средств из банкоматов появились еще десять лет назад. С тех пор техника преступников совершенствовалась, и сегодня они научились выводить куда более значительные суммы денег со счетов клиентов банков, при этом даже не появляясь рядом с банкоматами.
При физическом взломе злоумышленники зачастую получают информацию о том, как можно взломать банкомат и получить доступ к его управлению от кого-то, кто работает в самом банке. При этом зачастую взломать защитный корпус можно с помощью типичного механического ключа. Как только злоумышленники получают доступ к USB-порту или CD/DVD приводу, они могут вставить в него носитель с вредоносным ПО, перезапустить компьютер и дать ему загрузиться. С этого момента у злоумышленников есть полный контроль над банкоматом.
Самым первым вариантом вредоносного ПО, нацеленным на физический способ ограбления банкоматов, был Skimer, давший название всей технике грабежа — скиммингу. Скиммер — миниатюрное считывающее переносное устройство, которое крепится к банкомату и считывает с магнитной ленты карты все ее реквизиты. Первые скиммеры были замечены в июле 2007 года в России и на Украине. С тех пор техника физического взлома банкоматов постоянно совершенствовалась, а последним из известных вирусов стал Alice. Его ключевыми особенностями являются минимальный набор функций, направленный исключительно на кражу денег из хранилища в банкомате; это ПО не нуждается в установке, может быть использовано на банкоматах любого производителя, и нуждается в подключении клавиатуры для ввода команд.
Сетевой взлом банкоматов требует куда больше усилий и подготовки со стороны злоумышленников. Тем не менее этот способ приносит куда большую прибыль по сравнению с физическим взломом отдельных банкоматов. Потому преступники со временем стали все чаще прибегать именно к хакерским атакам и взлому банковских сетей.
При этом, как отмечается в докладе, банки сами облегчают жизнь злоумышленникам. Большинство банкоматов, установленных по всему миру, до сих пор работают на операционных системах Windows XP или Windows XP Embedded. А более старые банкоматы все еще используют Windows NT, Windows CE или Windows 2000. Microsoft перестала поддерживать Windows XP 8 апреля 2014 года, а Windows XP Embedded перестал обслуживаться 12 января 2016 года. Это значит, что сотни тысяч банкоматов работают на операционных системах, которые больше не получают обновлений для исправления уязвимостей или для которых скоро перестанут выпускать патчи.
«Защита от современных киберугроз и соответствие стандартам безопасности требуют от компаний определенных ресурсов, которыми они не всегда обладают, в том числе в сфере финансовых услуг»,— заявил Макс Ченг (Max Cheng), директор по информационным технологиям Trend Micro.
Итогом столь халатного отношения банков к собственной безопасности становятся кибератаки, приносящие злоумышленникам миллионы долларов.