Эволюция скимминга: от взлома до перехвата «на лету» - «Финансы»
Хакеры постоянно совершенствуют свои умения и навыки и давно поняли, что данные банковской карты передаются в открытом виде не только при считывании кардридером (когда требуется физическое вмешательство), но и при передаче по сети, а также в самой операционной системе банкомата. Такая механика позволяет злоумышленникам обойти любые физические средства защиты и незаметно снимать карточные данные из целой сети банкоматов, заражая сотни и тысячи устройств, как, например, произошло произошло в Тайланде в прошлом году.
Скимминг — один из самых популярных в Европе и Америке способов хищения денег: только с 2014 по 2015 год объем аппаратного и программного скимминга увеличился в 5,5 раза (по данным FICO Card Alert Service). Однако в России его популярность не настолько велика. Во-первых, в силу меньшего количества банкоматов в нашей стране в целом (в 2015-м в России было зафиксировано 200 тысяч устройств против 425 тысяч в США), а во-вторых, из-за малого числа платежных терминалов, принимающих карты только с магнитной полосой. В большинстве случаев в России используются универсальные терминалы, которые принимают карты с магнитной полосой и карты с чипом. Одна из вероятных причин этого в том, что чиповая карта была признана ЦБ более защищенной, и с 1 июля 2015 года ЦБ обязал банки выпускать расчетные и кредитные карты, оснащенные микропроцессором. Накладки уходят в прошлое
Механика кражи максимально проста: на кардридер банкомата накладывается скиммер, с помощью которого злоумышленник считывает все данные с магнитной полосы
Долгое время для совершения краж из банкоматов злоумышленники успешно пользовались физическими накладками. Их эволюцию можно проследить от тонких накладок внутри банкомата, до огромных искусственных панелей, полностью эмулирующих фронтальную панель банкомата. Механика кражи максимально проста: на кардридер банкомата накладывается скиммер, с помощью которого злоумышленник считывает все данные с магнитной полосы. При этом одни скиммеры работают по принципу накопления считанной информации о пользователях, другие же сразу передают информацию о картах мошенникам по радиоканалу (на миниатюрное принимающее устройство или непосредственно на свою принимающую аппаратуру). Кроме этого, к банкомату крепится фальшивая клавиатура, нажимая на которую владелец кредитной карты передает в руки мошенников PIN-код. Еще одно средство получения информации, которым пользуются злоумышленники,- скрытые видеокамеры, установленные неподалеку от банкомата.
Злоумышленникам далеко не всегда нужно узнавать сам PIN-код карты, так как основной дорожки магнитной банковской карты (Track2) достаточно для создания копии карты, которую часто можно использовать для оплаты в магазинах, POS-терминалах или при онлайн-платежах. Track2 содержит всю информацию о карте: PAN — номер карты, expiration date — срок ее действия, а также зашифрованный PIN-код.
Распространенность таких способов хищений привела к тому, что производители банкоматов и сторонние вендоры стали устанавливать активные или пассивные средства антискимминга, что позволяет эффективно бороться с воровством такого типа. Хотя кое-что антискимминговое оборудование все же пока не научилось определять: например, одну из самых незаметных накладок — ту, что стоит в шине между считывателем карт и компьютером банкомата и сохраняет у себя данные считаных карт.
Если сетевое соединение между банкоматом и процессингом не защищено шифрованием, то украсть номер карты не представляет большой трудности
Еще одной преградой для любителей физического скимминга стало введение уголовной ответственности за кражу данных карт в банкоматах. За незаконные действия преступникам теперь грозят наказания различного типа в зависимости от степени тяжести преступления (от штрафов до лишения свободы). Именно поэтому самые активные хакеры постепенно переходят на новый уровень.
Без контакта
Операции с картами в банкоматах зачастую предполагают передачу данных магнитной полосы Track2 в открытом виде. Например, если сетевое соединение между банкоматом и процессингом не защищено шифрованием, то украсть номер карты не представляет большой трудности: накладки, которые прослушивают трафик, передающийся от банкомата в процессинговый центр, организовать гораздо проще, чем вскрывать и модифицировать сам банкомат.
До трети сотрудников открывают письма с вложениями, способными заразить их компьютеры, для успешности атаки достаточно открыть одно-единственное письмо
В этом случае, к примеру, не сработают системы видеонаблюдения в банкомате, контроля открытия сервисной зоны и другие средства физической защиты.
Хакеры изобрели вредоносное ПО, способное незаметно снимать данные карточек на протяжении месяцев. И это ненамного сложнее, чем атаки с использованием другого вредоносного ПО, которое, например, «заставляет» банкомат выдать все содержащиеся в нем купюры по специальной команде.
В целом есть определенная зависимость: чем сложнее грабить банкоматы, тем больше злоумышленники склоняются к «долгой игре» (которая сейчас характерна для APT-атак). Злоумышленник ставит перед собой задачу максимально долго оставаться незамеченным и все это время снимать карточные данные в банкоматах, которые в дальнейшем будут использоваться для мошеннических операций. К слову, по статистике, в России на один банкомат в течение квартала приходится более 6000 операций. Если принять каждую операцию за потенциальную возможность «съема» карточных данных, то нехитрые математические действия (умножение на число охваченных банкоматов и время присутствия в сети злоумышленника) позволят спрогнозировать весьма существенный объем скомпрометированных данных.
Используя методики социальной инженерии или другие атаки на периметр банка, хакеры запросто проникают в банковскую сеть: по нашей статистике, в среднем до трети сотрудников открывают письма с вложениями, способными заразить их компьютеры, и это при том, что для успешности атаки достаточно открыть одно-единственное письмо. В 47% случаев периметр организации можно преодолеть, используя уязвимости веб-приложений.
После проникновения во внутреннюю сеть банка злоумышленникам остается получить доступ к определенной подсети банковского процессинга, где находятся данные всей сети банкоматов. Там же можно узнать, какие из банкоматов могут быть не защищены от критических уязвимостей или работают без межсетевого экрана. Это позволит заразить любой банкомат и извлечь деньги из каждого из них в любой момент. По схожему сценарию произошло ограбление государственного банка GSB в Тайланде. Кстати, чтобы остановить попытки незаконного снятия денег со случайного банкомата, в этом конкретном случае пришлось отключить половину всей банкоматной сети (более 3000 устройств).
Зри в корень
Реализация логической атаки на банкоматы почти всегда требует от злоумышленника либо доступа к сервисной зоне банкомата, либо организации взаимодействия по сети (подключения к кабелю или роутеру). Если, конечно, речь идет не о blackbox-атаках (атаки на кардридер, диспенсер или криптоклавиатуру), которые подразумевают взаимодействие только с аппаратной начинкой банкомата, не затрагивая операционную систему.
Может вестись как прицельная работа с предварительной идентификацией устройств, так и просто попытки обкатать одну и ту же методику получения денег на разных машинах
Далее злоумышленники преодолевают ряд защитных мер банкомата: например, обходят режим киоска, различные средства защиты и ограничения для его ОС, настроенные самим производителем. Жертвой хакеров в ходе таких атак становятся незащищенные банкоматы с устаревшими версиями железа или необновленным ПО. Причем может вестись как прицельная работа с предварительной идентификацией устройств, так и просто попытки обкатать одну и ту же методику получения денег на разных машинах. Как правило, доступ к банкоматам пробуждает в хакерах жажду наживы, и они стараются снять максимум возможных денег из максимума возможных банкоматов. Именно на этом этапе чаще всего они и оказываются на радарах служб безопасности банка.
Что делать?
Компания NCR, один из крупнейших производителей банкоматов, в своих оповещениях безопасности давно предупреждает об атаках, связанных с заражением банкоматов, бороться с которыми можно лишь внедряя соответствующие средства защиты и проводя глубокий аудит и анализ конфигураций устройств.
Самый первый шаг к эффективной защите — правильно разработанная модель угроз и модель нарушителя
Причем на сегодняшний день существует целый ряд мер защиты. Среди них, например, использование VPN для безопасной коммуникации банкомата, программ Application Control для запрета запуска стороннего недоверенного ПО и Device Control для запрета подключения мышек, клавиатуры и USB-носителей без соответствующих прав. Средства мониторинга безопасности (решения класса SIEM / Security Information and Event Management) позволяет с легкостью отслеживать атаки с применением USB-устройств, взаимодействием с оборудованием банкомата и др. Однако с точки зрения банка самый первый шаг к эффективной защите — правильно разработанная модель угроз и модель нарушителя, которые можно построить только по результатам практического аудита безопасности парка банкоматов.
Впрочем, самим держателям банковских карт не стоит полностью полагаться на работу служб информационной безопасности банков. Для повышения защищенности своих сбережений не рекомендуется пренебрегать подключением SMS-оповещений по банковским платежам и систем 3-D Secure: с их помощью можно отследить и оперативно среагировать на действия мошенников. А в целях повышения общей защищенности стоит помнить о самых простых правилах: не снимать деньги в подозрительных банкоматах, прикрывать рукой клавиатуру при вводе PIN-кода и ограничивать лимиты на банковские операции.