В апреле резко участились атаки злоумышленников на банкоматы с целью хищения средств. Если в 2017 году, по данным ЦБ, был зафиксирован 21 такой инцидент, то только за последний месяц, по данным источников “Ъ”, правоохранители получили информацию примерно о 10 атаках. Злоумышленники используют проверенную схему, процесс поставлен на поток за счет привлечения низкоквалифицированных сообщников. В ЦБ о массовых атаках на банкоматы либо не знают, либо предпочитают не волновать рынок. Банкиры же настаивают, что для них критически важны нюансы атак для эффективной защиты.
О том, что в апреле активизировались злоумышленники, похищающие средства из банкоматов с использованием технологии BlackBox, “Ъ” рассказали источники в правоохранительных органах и подтвердили участники рынка. «BlackBox основана на подключении стороннего устройства к диспенсеру — устройству для выдачи денег,— поясняет ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов.— Такое устройство подключают либо через просверленное отверстие в банкомате, либо используют ключи инженеров для открытия сервисной части банкомата, где находится компьютер». «В течение последнего месяца подобные атаки на банкоматы идут через день, действуют злоумышленники в Москве и области,— рассказывает собеседник “Ъ” в правоохранительных органах.— Объем одного хищения составляет 2–5 млн руб., за помощью в правоохранительные органы обратились уже три банка».
Сравнение этих данных с официальной статистикой ЦБ, которую ведет специализированное подразделение по кибербезопасности ФинЦЕРТ, вызывает серьезные вопросы. Так, за весь 2017 год, по данным ФинЦЕРТ, банки сообщили лишь о 21 инциденте, связанном с покушением на хищение денег из банкоматов. Правоохранители, по словам источников “Ъ”, только за апрель получили информацию примерно о 10 атаках.
Хотя устройства BlackBox сами по себе не новы, апрельские атаки имеют ряд особенностей. По словам Сергея Голованова, сейчас между установкой оборудования и выдачей денег может проходить от нескольких часов до нескольких дней. «Подобные атаки нетипичны,— отмечает заместитель директора исследовательского центра Digital Securuty Роман Бажин.— Как правило, они производятся за один прием и занимают менее пяти минут, и самое долгая процедура — получение купюр из диспенсера».
«Интересны атаки и тем, что в данном случае явно работают хакеры на подряде, — рассказывают “Ъ” знакомые с ходом расследования эксперты.— То есть опытные злоумышленники обучают желающих хищению средств из банкоматов, получая за это процент с удачно проведенной операции». «Мошенники выбрали схемы, которые успешно масштабируются и легкодоступны»,— отмечает старший эксперт отдела исследования безопасности банковских систем Positive Technologies Ярослав Бабин.
При этом ФинЦЕРТ, по словам участников рынка, о подобных инцидентах в апреле их не информировал. «ЦБ предупреждал нас о возможном росте атак на банкоматы во время ЧМ-2018, в феврале давал рекомендации по повышению безопасности банкоматов, и мы отчитались перед регулятором об их выполнении, сейчас же никаких рассылок от ФинЦЕРТ не было»,— отметил собеседник “Ъ” в банке топ-50. «Хотелось бы знать, какую уязвимость эксплуатируют злоумышленники, они выбрали какую-то конкретную модель банкомата, или же машины с определенным ПО,— говорит представитель банка из топ-20.— Мы бы хотели получить данную информацию от ЦБ, но ее нет».
В Банке России подтвердили, что рассылок ФинЦЕРТ по данным атакам не было. «Речь не идет о появлении нового типа атак,— пояснили там.— Безусловно, в случае обнаружения новых параметров атак и специфических характеристик используемых вредоносных программ ФинЦЕРТ обязательно предупредит участников информационного обмена». Впрочем, регулятор может не знать всех подробностей — банки не обязаны сообщать о подобной атаке в ЦБ: физическое воздействие на банкомат не связано с осуществлением перевода денежных средств, вследствие чего банки могут не включать эту информацию в свою отчетность, указывают эксперты. В ЦБ не ответили, получали ли в апреле данные от банков об атаках на банкоматы.
Пока регулятор молчит, эксперты предлагают способы защиты от участившихся атак на банкоматы. По мнению руководителя направления по борьбе с мошенничеством «Инфосистемы Джет» Алексея Сизова, сигнализация на банкомате и контроль подключения устройств и целостности данных — достаточно надежная защита. «Надежным и дорогостоящим способом защиты от атак такого типа является шифрование передачи информации от компьютера банкомата к диспенсеру»,— добавляет Сергей Голованов. Хотя, по словам Романа Бажина, 100% гарантии нет — надлежащей защитой была бы подробная информация об атаках и эксплуатируемых уязвимостях.
Оружие массового заражения
По данным ЦБ, в 2017 году суммы потерь от кибератак сократились во всех категориях — при хищениях у банков, граждан и компаний. Впрочем, это обнадеживает лишь на первый взгляд: частота результативных атак выросла, а сами подходы к хищению средств усовершенствовались.