Три способа взломать банкомат: удаленно, почти удаленно и с помощью дрели
“Лаборатория Касперского” расследует разные способы взлома банкоматов: с помощью удаленно контролируемого зловреда, а также с использованием Bluetooth-клавиатуры и дрели.
Вы, наверное, обращали внимание, что нам очень нравятся банкоматы. Сами мы их, конечно, не взламываем, за исключением наших собственных тестовых семплов, но, если это делает кто-то другой, с радостью беремся это расследовать. На SAS 2017, главной конференции года по кибербезопасности, специалисты «Лаборатории Касперского» Сергей Голованов и Игорь Суменков рассказали о трех интересных способах взломать банкомат.
ATMitch, вредоносное ПО с удаленным управлением
Итак, банкомат был пуст. Осмотрев машину, служба безопасности банка не нашла ни вредоносных программ, ни странных отпечатков пальцев, ни следов физического взлома или подключения каких-либо сторонних устройств, способных взять банкомат под контроль. Денег никто тоже не нашел.
Однако кое-что сотрудники банка все-таки обнаружили — текстовый файл kl.txt. Они предположили, что «kl» может быть как-то связано с KL, то есть с «Лабораторией Касперского», и обратились к нам с этим вопросом. Вот так мы и начали расследовать этот случай.
Получив данные из того самого log.txt, наши исследователи смогли сформулировать правило для YARA, инструмента для исследования вредоносных программ. Попросту говоря, они задали поисковый запрос для базы вредоносных файлов и стали ждать. Спустя день поиски принесли плоды: был обнаружен файл tv.dll, который успел всплыть аж дважды — в России и Казахстане. Этой ниточки хватило, чтобы распутать весь узел.
Тщательно исследовав DLL-файл, наши специалисты смогли понять, как проводилась атака, и даже воспроизвели ее на специальном банкомате, установленном в нашей лаборатории. И все получилось: тестируемый банкомат послушно выдал им загруженные в него банкноты.
ATMitch в деле
Атака началась с того, что преступники проникли на сервер банка, использовав для этого давно известную, но незакрытую уязвимость (мы, помнится, уже говорили, что обновлять программное обеспечение нужно, важно и полезно, — вот вам яркий пример).
Мошенники использовали открытый код и общедоступные программы, чтобы инфицировать банковские компьютеры. Однако зловред у них получился очень хитрый: он хранил свои данные в оперативной памяти системы, а не на жестком диске, так что для защитных решений он оставался незаметным. Более того, после перезагрузки исчезали какие-либо следы заражения.
Взяв под контроль компьютеры в банке, зловред подключается к командному серверу и позволяет мошенникам удаленно загрузить вредоносное ПО прямо в систему банкоматов.
Так ATMitch добирается собственно до банкомата. Благодаря настроенному туннелю от командного сервера в банк это все выглядит как вполне легитимное обновление ПО, так что ни одно средство защиты не поднимает тревогу. Попав внутрь, ATMitch отправляется на поиски файла по имени command.txt. В нем содержатся односимвольные команды, которые используются для управления банкоматом. Например, «О» означает «Открыть лоток для выдачи наличных».
Обнаружив файл, ATMitch первым делом интересуется, сколько денег есть в банкомате, а затем просит машину выдать определенное количество купюр. К этому моменту возле банкомата как раз оказывается сообщник преступников, который забирает наличные и исчезает как ни в чем не бывало.
Преступники постарались замести все следы, поэтому специалисты банка не нашли никаких сторонних исполняемых файлов на жестком диске ограбленного банкомата. После извлечения денег ATMitch стер даже файл command.txt.
ATMitch потенциально способен заразить любой банкомат, поддерживающий библиотеку XFS, а это умеют практически все современные банковские машины. Подробнее об этой афере вы можете прочитать на securelist.ru.
Bl@ckb0x_m@g1k: простой, но очень эффективный трюк
Эта история покороче. Все началось с еще одного звонка из банка. Классическая тупиковая ситуация: пустые логи, никаких подозрительных файлов на жестком диске, более того, мошенник даже заклеил объектив камеры наблюдения. Ну как отказаться от такого дела?
Мы попросили представителей банка доставить банкомат в наш офис. Разобрав его, мы обнаружили (что бы вы думали?) подключенный к USB-хабу банкомата Bluetooth-адаптер. А на жестком диске нашлись драйверы для Bluetooth-клавиатуры.
Этого хватило, чтобы реконструировать всю схему. Итак, сначала мошенник подключил Bluetooth-адаптер к банкомату, а потом подождал три месяца, чтобы логи очистились (они хранятся как раз столько времени). Затем преступник вернулся, заклеил камеру наблюдения, достал Bluetooth-клавиатуру, подключил ее и перезагрузил устройство в режим обслуживания. Так он смог запустить сервисную команду по опустошению кассет с деньгами. Вот, собственно, и вся история номер два.
Дрель. Самая настоящая электродрель
Удаленный взлом и подключение Bluetooth-клавиатуры — это даже в какой-то степени изящно, но бывают и куда более прямолинейные способы.
Эта история началась с еще одного обращения от банка: преступники взломали банкомат, оставив после себя идеально круглое отверстие диаметром около 4 сантиметров, прямо рядом с клавиатурой, с которой вводят PIN-код. Вы, скорее всего, думаете, что банкоматы сделаны из толстенной стали, но некоторые части пластиковые, и их довольно легко просверлить. Других улик специалисты банка не нашли.
Затем последовало несколько похожих происшествий в России и Европе, разве что отверстия были не такими круглыми. В конце концов полиция поймала подозреваемого, вооруженного ноутбуком и набором проводов.
Наши специалисты разобрали банкомат, установленный в тестовой лаборатории, чтобы понять, что же искали преступники рядом с клавиатурой. Там нашелся 10-контактный коннектор, подключенный к шине, которая связывала между собой практически все компоненты банкомата, от компьютера до кассет с купюрами.
Кроме того, в банкомате использовалось очень слабое шифрование, которое можно было без особого труда взломать. Итак, еще раз вкратце описываем ситуацию: шифрования практически нет, так что в командах разобраться не проблема; подключившись к любой части банкомата, можно управлять всеми его компонентами, между которыми нет никакой системы авторизации, так что любую часть можно заменить незаметно для всех остальных. Звучит ну очень безопасно, правда?
Мы сообщили об обнаруженной уязвимости в банк. К сожалению, как объяснил Игорь Суменков, банкоматы нельзя обновить удаленно — нужно менять «железо», то есть технический специалист должен добраться до каждого банкомата и сколько-то с ним повозиться. А банкоматов очень, очень много…
Банкоматы ломают. И что?
Сформулируем краткую мораль всех трех историй.
1. Идете снимать зарплату? Оставьте свою дрель и Bluetooth-клавиатуру дома, а то сотрудники банка могут неправильно вас понять. Эй, мы пошутили, но дрель все равно положите!
2. Если вы не сотрудник банка, ни одна из этих угроз не должна вас беспокоить. Это проблемы банка, а не его клиентов.
3. А вот если вы работаете в банке и можете как-то повлиять на уровень безопасности банкоматной сети, вам есть о чем подумать. Все решения «Лаборатории Касперского» распознают ATMitch — с этим мы вам легко поможем. Но вот антидрелевые металлические щиты мы не делаем. С другой стороны, для решения этой проблемы хватит и системы видеонаблюдения.
Как взломать банкоматы: 4 способа
Как преступники могут взломать банкоматы и извлечь из них деньги? На этих видео вы увидите сразу четыре способа.
Мы не раз рассказывали о том, как какие-нибудь киберпреступные группировки обчищают банкоматы. А теперь можем и показать — наши сотрудники сняли четыре видеоролика, в которых демонстрируются различные варианты атак на банкоматы. Уточним на всякий случай: при съемках роликов ни один банк не пострадал.
Способ первый: с помощью поддельного процессингового центра
Этот способ работает, если взломщик может получить доступ к сетевому кабелю, при помощи которого банкомат подключен к сети. Хакер отключает банкомат от банковской сети и подключает его к коробочке, имитирующей процессинговый центр.
С помощью этой коробочки он может управлять кассетами с деньгами и посылать банкомату команду выдать деньги из такой-то кассеты. Вуаля! При этом он может использовать любые карты и вводить любые PIN-коды, и все это будет выглядеть как вполне легитимные транзакции.
Способ второй: сетевая атака на несколько банкоматов
В этом случае взломщик покупает у недобросовестного работника банка через Интернет ключ, позволяющий открыть корпус банкомата. К кассетам с деньгами с помощью этого ключа не доберешься, а вот до сетевого кабеля — запросто. Взломщик отключает банкомат от банковской сети и подсоединяет к специальному устройству, которое посылает данные на сервер, принадлежащий злоумышленникам.
Сеть с банкоматами нередко не сегментирована, а сами банкоматы зачастую настроены неправильно, так что с помощью этого устройства хакер может получить контроль сразу над несколькими банкоматами в сети, даже если вредоносное устройство установлено только в одном из них.
Ну а дальше все почти как в предыдущем случае: на сервер устанавливается собственный центр обработки, который дает злоумышленнику полный контроль над банкоматами. Теперь с помощью любой карты хакер может снять все деньги из этих банкоматов, и конкретные модели здесь не важны: главное, чтобы протокол, с помощью которого они общаются с центром обработки, был общий.
Способ третий: атака с помощью «черного ящика»
Как и в предыдущем случае, атакующему понадобится ключик, с помощью которого он откроет корпус банкомата и переведет его в режим обслуживания. К USB-разъему банкомата хакер подключает «черный ящик» — небольшую коробочку, позволяющую контролировать устройство для выдачи наличных.
На экране банкомата будет написано что-то вроде «Обслуживание» или «Банкомат не работает», но на самом деле устройство для выдачи наличных работать будет. При этом «черный ящик» можно контролировать с помощью смартфона — по беспроводному соединению. Хакер просто нажимает кнопку на своем телефоне и забирает из банкомата деньги. А потом достает и коробочку — чтобы замести следы.
Способ четвертый: атака с помощью вредоносных программ
В этом случае злоумышленнику нужно как-то заразить банкомат. Сделать это можно двумя способами: либо, предварительно купив ключ от банкомата, воткнуть в USB-порт флешку, либо же можно провернуть все и удаленно, через Интернет, если банковская сеть скомпрометирована.
Если в банкомате нет защиты от вредоносных программ и не настроен список разрешенных приложений, хакер может запустить свою программу, которая попросту будет отдавать банкомату команду выдавать наличные. Атаку можно повторять, пока в устройстве не кончатся деньги.
Конечно, взломать можно не любой банкомат. Для того чтобы описанные выше атаки можно было реализовать, необходимо, чтобы что-нибудь было настроено не так. Или банковская сеть не сегментирована, или в самом банкомате не предусмотрена аутентификация при обмене данными между «железом» и управляющей программой. Не настроены списки приложений, которые можно запускать (а все остальные, соответственно, нельзя), или до заветного сетевого шнура слишком легко добраться.
К сожалению, подобные проблемы — не редкость. Например, именно из-за них злоумышленникам в свое время удалось заразить банкоматы трояном Tyupkin. Специалисты «Лаборатории Касперского» всегда готовы помочь банкам это исправить: они могут как проконсультировать сотрудников, так и протестировать защиту банковской инфраструктуры.
Как устроен банкомат
И что делать, если отключат свет
Две недели назад я снимал деньги в банкомате. Вставил карту, набрал пин, выбрал сумму. Но тут в торговом центре выключили свет, и я оказался в полной темноте перед выключившимся банкоматом. Через два часа у меня поезд, а единственная карточка в этой железяке. Я не знал, что делать.
Я решил разобраться, как устроен банкомат и как он защищен от непредвиденных обстоятельств. За консультации спасибо Павлу Юдаеву из «Си-норда».
Что такое банкомат
Банкомат — это сейф с компьютером.
Снизу в железном ящике хранятся деньги в кассетах. Еще есть механизм подачи: он забирает деньги из кассет и выдает их. Вы наверняка знаете его характерный приятный треск.
Над сейфом установлен экран и клавиатура. За ними — компьютер и служебное оборудование: устройство для считывания карт, принтер для чеков, системы безопасности.
Банкомат связан с банком защищенным каналом связи.
Как банкомат работает с деньгами
Банкноты хранятся в кассетах, обычно их 4—6. В каждой кассете примерно 2500 банкнот.
Кассеты заряжают в банке проверенными купюрами. Деньги проверяют несколько раз и разные сотрудники. Затем кассеты опечатывают. Банк гарантирует, что в банкомате нет поддельных банкнот.
Каждая кассета настроена под банкноту своего номинала. Вместо 50 Р не получится зарядить 5000 Р : банкомат просто откажется работать с такими купюрами. Не верьте байкам про то, как вместо сторублевок банкомат выдал пятитысячные.
Некоторые банкоматы умеют принимать деньги. Принятые купюры отправляются в отдельную кассету. Банкомат не выдаст их другим клиентам, даже если закончатся деньги в основных кассетах. Кассету с принятыми купюрами увезут в банк и тщательно проверят, прежде чем они попадут в оборот.
Банкомат сохраняет информацию по каждой операции, каждой купюре и каждой карте. Эта информация мгновенно отправляется в банк. Кроме того, в банкомате есть видеокамера, которая записывает лицо клиента. Всё это связывается автоматически и хранится в единой базе данных. Банк легко отследит любую мошенническую операцию.
Например, если человек смог каким-то чудом зачислить себе на счет поддельные деньги, то при проверке кассеты банк об этом узнает. Банк отследит операцию, поднимет фотографии с банкомата и, если захочет, обратится в полицию — ведь у него будут фотографии мошенника и паспортные данные владельца счета.
Банкомат знает, сколько денег осталось в каждой кассете. Если вы хотите снять 50 тысяч, а осталось только 30 — устройство откажет. Дополнительно банкомат пересчитывает все купюры перед выдачей.
У банкомата все купюры посчитаны
В банкомат заряжают больше миллиона рублей, иногда — сразу
2—3 миллиона. Однако в людных местах деньги быстро кончаются, а банкомат стоит пустым.
Если вам требуется регулярно снимать крупные суммы, делайте это
5 и 25 числа каждого месяца. В эти дни банки загружают в кассеты больше денег, рассчитывая на аванс и зарплату населения.
Как банкомат общается с банком
Между банкоматом и банком работает шифрованный канал связи. Банкомат сообщает банку данные карты, банк дает добро на снятие денег (или не дает).
Иногда банк одобряет операцию, но банкомат по какой-то своей причине не выдает деньги. Не пугайтесь, о такой ошибке уже знают в банке. Позвоните по телефону горячей линии (он указана на карте), опишите ситуацию. Скорее всего, вам вернут средства на карту сразу же. Другой вариант — вас попросят написать претензию, тогда деньги вернутся на счет после инкассации и пересчета купюр в кассетах. Обычно это происходит за неделю или быстрее.
Что будет с банкоматом без электричества
Банкомат работает от сети. Пропадает электричество — банкомат отключается.
Старый банкомат без электричества оставляет вашу карту в себе. Когда свет дадут, он выдаст карту обратно. Если за несколько секунд ее не забирают, то банкомат втягивает ее в специальное хранилище и отдает только инкассатору. Новые банкоматы отдают карту обратно даже без электричества.
Ни старый, ни новый банкоматы не выдадут деньги без света, даже если уже отсчитали их. Такая операция отменится.
Банкомат хорошо защищен от посягательств — неважно, есть электричество или нет.
Банкомат не выдаст деньги без электричества
Внутри сейфа и компьютерного отделения установлены датчики. Они сообщают о наклоне, шуме, повышении температуры. Датчики сработают, даже если со злости стукнуть по банкомату кулаком: через пару минут на место прибудет группа быстрого реагирования.
Как защититься от банкоматных мошенников
Злоумышленникам страшно лезть в банкоматы, и они придумывают другие способы украсть деньги. Например, устанавливают на банкомат накладки и скиммеры. Они пытаются украсть не деньги, а ваши личные данные: номер карты и пин.
Распознать скиммеры сложно, с каждым годом они становятся всё незаметнее и совершеннее. Чтобы не попасться, откажитесь от уличных банкоматов. Снимайте деньги в отделениях банков. Злоумышленники боятся ставить скиммеры в отделениях под камерами.
Памятка по безопасности
Избегайте банкоматов в подозрительных местах: на улицах, в убогих торговых центрах, на рынках. Сомневаетесь в надежности банкомата — не подходите.
Если недалеко от банкомата ошиваются подозрительные личности, не подходите к банкомату. Никто не отменял банальный грабеж.
Следите за окружением в выпуклое зеркало, которое стоит на большинстве банкоматов. В него вы увидите, что к вам кто-то подходит или вас кто-то поджидает.
Прикрывайте рукой цифровую панель, на которой вы вводите пин. На нее может быть направлена камера злоумышленника.
Если вы начали снимать деньги в банкомате, а сзади к вам подошел человек — попросите его отойти. Или нажмите кнопку «Отмена», заберите карту и уходите. Не снимайте деньги, если чувствуете опасность.
Если при работе с банкоматом что-то пошло не так, не отходите от банкомата и сразу звоните в банк. Сотрудник банка проинструктирует вас, что делать.
Если планируете совершить крупную покупку (например внести задаток за машину), предварительно позвоните в магазин и узнайте, принимают ли они карты. Оплатить крупную покупку картой безопаснее, чем снимать крупную сумму и возить ее с собой.
Способы хищений из банкоматов и как с ними бороться
Сергей Образцов
Директор по развитию ЗАО «РИЭЛТА»
Банки постоянно стремятся снизить собственные издержки и побудить клиентов к оплате товаров, услуг, налогов и т.д. не через кассира, а через банковские терминалы или с помощью интернет-банкинга. Тем не менее в России объем операций по снятию наличных из банкоматов превышает объем оплат товаров и услуг по банковским картам более чем в 2 раза и за 9 месяцев 2016 г. составляет более 19 млрд руб. И весь этот денежный поток проходит через банкоматы, которых более 200 тыс. по всей России.
Такой оборот наличных денег не может не привлекать злоумышленников, желающих ими завладеть. Участились случаи как нападений на инкассаторов, так и кражи денег из банкоматов и устройств самообслуживания. Если нападение на инкассаторов – это очень тщательно подготовленный, смертельно опасный путь, по которому идут в основном люди, которым уже нечего терять, то кража денег из банкоматов гораздо более распространена. Соблазн велик: несколько миллионов рублей лежат всего лишь за тонкой стенкой сейфа.
Усугубление ситуации
За 2015 г. зафиксировано более 4000 нападений на банкоматы. Такие преступления, совершаемые организованными и технически подготовленными преступными группами, ежедневно попадают в криминальные сводки.
Этот стремительный рост связан с тем, что:
Сразу несколько российских производителей технических средств охраны разрабатывают специализированные извещатели для охраны банкоматов. Они совмещают в себе несколько каналов обнаружения: вибрационный, положения и обнаружения взрывоопасного газа
Отдельно стоит отметить большое количество случаев краж денежных средств через платежные терминалы и банкоматы, такие как:
Препятствия при защите банкоматов
Специфика дистанционного банковского обслуживания состоит в необходимости обеспечения свободного доступа клиентов банка к банкомату или платежному терминалу даже в ночное время. Заранее определить, с какими намерениями человек подходит к банкомату или терминалу (снять свои деньги или совершить кражу) практически невозможно. Большая часть банкоматов устанавливается в бизнес-центрах, магазинах, предприятиях или учебных заведениях, то есть местах, где многолюдно днем и никого нет ночью. Проникнув в такое не оборудованное охранной сигнализацией место, злоумышленник на несколько часов гарантированно остается с банкоматом один на один.
Применение обычных технических средств охраны при необходимости обеспечения свободного круглосуточного доступа к банкомату неэффективно. Приставить охранника к каждому банкомату невозможно, а постоянный и качественный видеоконтроль, конечно, помогает в опознавании личности злоумышленника при расследовании осуществленного преступления, однако не способствует своевременному реагированию ДО совершения кражи.
Давайте рассмотрим способы хищения денег из банкоматов и средства защиты для каждого из них (см. таблицу).
Вскрытие с помощью ключей
Black Box и Drilled Box
Black Box – это устройство, подключаемое к внутренней шине банкомата, которое без вскрытия сейфа дает команду на выдачу наличных. Оно устанавливается в верхний кабинет банкомата, а команду на выдачу наличных может получить и удаленно. Человек просто подходит к банкомату, не трогает его, а банкомат начинает выдавать деньги. В связи с тем, что те, кто устанавливают Black Box и те, кто забирают деньги, могут быть разными людьми, то практически невозможно доказать что-либо при их задержании.
Drilled Box представляет собой разновидность Black Box, но для доступа к шине данных банкомата злоумышленник сверлит или прожигает отверстие в определенном месте. Эти способы эффективны лишь для достаточно старых устройств, так как в более современных применяется криптозащита передаваемых данных внутри банкомата. Но в любом случае допускать злоумышленников даже в верхний кабинет банкомата нельзя, и его также необходимо оснащать охранной сигнализацией.
Механическое разрушение оболочки, высверливание замка
Этот способ в настоящее время теряет популярность за счет того, что большинство банкоматов оборудованы специализированными извещателями, которые обнаруживают любые механические воздействия на начальной стадии. Стоит обратить внимание на то, что одного лишь датчика удара недостаточно – при воздействии термическим инструментом или сверлении удары отсутствуют. Кроме того, если чувствительным элементом извещателя является только акселерометр, то из-за ограниченной частотной характеристики он не будет обнаруживать газовую резку.
Применение датчиков температуры и дыма тоже неэффективно, так как они обнаруживают сквозное отверстие в оболочке с недопустимой задержкой. Хорошие вибрационные извещатели, которые присутствуют на российском рынке, достаточно надежно определяют любые механические воздействия на ранней стадии.
Кража банкомата целиком
Несколько лет назад резко выросло количество таких случаев. Если банкомат не закреплен, то его просто уносят, а если закреплен, то выдергивают с применением домкратов или автотранспортных средств. Простота реализации таких преступлений была связана с тем, что зачастую банку диктовали свои условия владельцы помещения, где размещается банкомат.
Многие арендодатели не разрешали организовывать надежное крепление банкомата к полу, беспокоясь за сохранность своего «заморского» керамогранита, и банки шли у них на поводу. Но сейчас банки стали более надежно крепить банкоматы к полу и применять технические средства охраны, обнаруживающие даже небольшое изменение положения и часто совмещенные с вибрационными извещателями.
Взрыв банкомата
Наиболее быстро набирающий обороты способ кражи денег из банкомата. К нам он пришел из стран Восточной Европы и Южной Америки. В Европе за 2016 г. насчитывается более 1000 взрывов банкоматов. Если еще несколько лет назад в РФ не было зафиксировано ни одного такого случая, то сейчас практически каждый день совершаются попытки подрывов банкоматов.
Процесс
В основном злоумышленники используют бытовые газы (пропан, бутан и их смеси), которые хорошо подходят для таких целей. Их очень легко раздобыть и практически невозможно отследить ввиду их доступности. Злоумышленник вставляет шланг и электровзрыватель в сейф банкомата, закачивает взрывоопасный газ и производит его поджиг. От энергии взрыва банкомат раскрывается, злоумышленник забирает кассеты с деньгами и скрывается. Этот способ отличается от всех других скоростью вскрытия сейфа: группы реагирования часто не успевают предотвратить кражу денежных средств. Информацию, видеоролики и инструкции по подрыву банкоматов можно легко найти на просторах Интернета.
Опасность для жизни
Взрыв банкомата опасен не только для денежных средств банков, но и для жизни людей. Уже зафиксированы случаи гибели самих преступников. Злоумышленники не являются специалистами-взрывотехниками, а банкоматы очень часто расположены на первых этажах жилых домов. Неправильно рассчитанное количество взрывоопасного газа может привести к разрушению не только сейфа банкомата, но и близлежащих построек и гибели непричастных людей. Банки начали оснащать свои банкоматы датчиками газа, но из-за скоротечности процесса вскрытия это не позволяет выиграть сколько-либо значимое время.
Решение
Гарантия безопасности
Выполнение требований инженерно-технической укрепленности при установке банкоматов, выбор банкоматов с сейфами высокого класса защиты и существующие на российском рынке технические средства охраны позволяют достаточно надежно защитить банкоматы и терминалы самообслуживания от всех известных способов кражи денег из них. Это способствует не только предотвращению хищений денежных средств банка, но к тому же лишает финансовой подпитки преступные группировки, промышляющие таким видом краж, а также сохраняет имущество и жизни людей.
Опубликовано: Каталог «Системы безопасности»-2017
