На сайте компании «Ансер Про» есть схема, на которой показан вариант такой атаки. Злоумышленники осуществляют ее с помощью мини-компьютера со шлейфом проводов для подключения к банкомату. Этот мини-компьютер специалисты по безопасности называют Black Box. Поэтому Пастухов удивляется термину «drilled box», озвученному зампредом Сбербанка.
При помощи сверла злоумышленник получает доступ к шине управления периферийными устройствами банкомата, в том числе диспенсером — устройством, которое управляет выдачей наличных. По словам Пастухова, отверстие чаще делают рядом с клавиатурой банкомата, на которой пользователи обычно вводят PIN-код. В этом месте легче вытащить разъем и подключить к Black Box, объясняет он.
Подключенное устройство подает управляющие команды на выдачу наличных, банкомат исполняет их и сам выдает деньги, рассказывает директор операционного департамента ВТБ24 Валерий Чулков. «Это своего рода нейрохирургическая операция. И для того чтобы «в поле» она прошла быстро и успешно, требуется практика», — добавляет руководитель отдела безопасности банковских систем компании Positive Technologies Тимур Юнусов.
Со сверлом в атаку
Специалисты по компьютерной безопасности и банкиры говорят, что такой способ вскрывать банкоматы известен давно. Первые упоминания о сверлах для проникновения к разъему управления диспенсером банкомата датированы еще 2013 годом, вспоминает Юнусов. До этого, говорит он, сверло использовали для того, чтобы заполнить банкомат газом и взорвать.
По словам Чулкова из ВТБ24, тип мошенничества, о котором сообщил Сбербанк, активно обсуждается в профессиональном межбанковском сообществе с 2015 года, а единичные случаи атак Black Box появлялись в России еще в 2010 году. Пастухов из «Ансер Про» говорит, что атаки с использованием Black Box начались с конца 2015 года и их количество с тех пор увеличилось в разы.
По данным Европейской группы по обеспечению безопасности банкоматов (European ATM Security Team, EAST), общие потери банков, которые те несут из-за вредоносного программного обеспечения и скиммеров (считывающих данные карты устройств), в этом году составили приблизительно €174 млн.
Старые банкоматы
По данным ЦБ, всего в России на 1 июля 2016 года было 203,5 тыс. банкоматов. Самыми популярными производителями у российских банков являются компании NCR, Diebold, Wincor Nixdorf, говорит Юнусов. «У каждого вендора найдется по две-три самые популярные модели. К каждой из них можно теоретически применить ту или иную атаку, все зависит от модели, настроек безопасности, недостатков конкретной сборки и человеческого фактора», — считает он.
Станислав Кузнецов в своем выступлении утверждал, что производитель банкоматов был информирован о случившемся, но реакции сразу не последовало. Сбербанк, по его словам, был вынужден поставить ультиматум: «либо мы не будем покупать ваши банкоматы, либо примите какие-то меры».
По словам вице-президента по продажам компании NCR Константина Хоткина, атаке Black Box могут подвергаться банкоматы всех производителей, при этом чаще злоумышленники выбирают наиболее популярные и почти всегда не самые последние модели.
«Что касается банкоматов нашего производства, атакам подвергаются устройства, которые выпускались до 2009 года. Система защиты была разработана более 15 лет назад и полностью отвечала требованиям того времени», — говорит он. После того как устройства стали списывать, не утилизируя должным образом, они стали доступны для злоумышленников, продолжает он, а те смогли создать для них программы и устройства для получения наличных. В новых банкоматах, которые выпускаются с 2008 года, по словам Хоткина, система защиты от таких атак уже была встроена.
Хоткин говорит, что его компания выпускала специальные обновления против Black Box для предыдущих моделей банкоматов, а на рынке существует несколько IT-решений по противодействию таким атакам. «К сожалению, о безопасности вспоминают только тогда, когда происходит потеря денег от действий злоумышленников», — резюмирует он.
Хоткин не уточнил, какое количество действующих банкоматов является морально и физически устаревшими и какие банки их используют. Не назвал эти цифры и Сбербанк. Как отметил Кузнецов, у Сбербанка сейчас примерно 80 тыс. банкоматов. Раньше, по его словам, их было 90 тыс., но банк сократил сеть почти на 10 тыс. устройств. По данным представителя одной из IT-компаний, Сбербанк и NCR ведут переговоры об обновлении ПО для старых банкоматов. Хоткин это не комментирует.
Возможные потери
Объемы возможных потерь Сбербанка от подобного рода атак никто из опрошенных РБК экспертов оценить не смог. По данным годовой отчетности Сбербанка за 2015 год, банк в прошлом году предотвратил свыше 154 тыс. попыток хищения средств граждан на 2,8 млрд руб. Но речь идет в основном о скимминге, об атаках Black Box банк не упоминает.
«Потери банков при отсутствии защиты могут быть серьезными. В банкомате в среднем находятся от 3 млн до 5 млн руб. Все их можно снять при помощь этой штуки. Если мы говорим о действии нескольких преступных групп, то потери могут составлять сотни миллионов рублей», — отметил руководитель блока электронного бизнеса Бинбанка Алексей Дегтярев.
Авторы
Игорь Орлов, Павел Миледин
