Флэшбэк на два года назад. Ровно в 12:33 один банкомат где-то в городе Тайчжун на Тайване извергнул банкнотами 90 000 тайваньских долларов (новый тайваньский доллар) - около 2 900 долларов США на сегодняшний день.
В то время никто не обналичивал деньги в банкоматах. Фактически, этот, казалось бы, странный сбой в системе был на самом деле тестом: преступник, который успешно проник на один из серверов лондонского отделения First Commercial Bank, отдал распоряжение банкомату на расстоянии 7000 миль проверить, возможно ли дистанционно управляемое ограбление.
В течение 15 часов еще 41 банкомат в других филиалах в городах Тайчжун и Тайбэй выдал накопленные 83,27 миллиона тайваньских долларов, что на сегодняшний день составляет 2,7 миллиона долларов США.
И хотя тайваньская полиция смогла успешно задержать подозреваемых в этом ограблении на миллион долларов, большинство из которых были родом из европейских стран, многие неназванные преступники, воспользовавшись недостатками и слабостями банкоматов (даже финансовой системы в целом), все еще в большой.
Обычные пользователи банкоматов не могут бороться с такой атакой на свои банки. Но проявив бдительность, они могут помочь привлечь преступников к ответственности. Катализатором успешного поимки грабителей стала информация, предоставленная гражданами, которые, заметив подозрительные действия иностранных граждан и собрав соответствующую информацию - в данном случае номерной знак автомобиля и кредитную карту, случайно оставил один из подозреваемых - Об этом сообщили в правоохранительные органы.
Банкоматы-мошенники
Как и любое вычислительное устройство, банкоматы имеют уязвимости. И один из способов понять, почему они тянутся к плохим парням, - это понять его компоненты и то, как они взаимодействуют с банковской сетью.
Банкомат состоит из компьютера (и его периферийных устройств) и сейфа. Первый заключен в шкаф. Это то же самое, является ли банкомат автономным киоском или «дырой в стене». Сам шкаф не особенно безопасен или прочен, поэтому преступники могут использовать простые инструменты и ключ от замка, который можно купить в Интернете, чтобы взломать его и получить доступ либо к компьютеру, либо к сейфу.
Компьютер обычно работает под управлением Windows - версии, специально созданной для банкоматов. Пользователи банкоматов не видят знакомого интерфейса рабочего стола Windows, потому что доступ ограничен. На самом деле мы видим приложения, ориентированные на пользователя, которые помогают нам совершать транзакции с машиной.
Примерный список атак на банкоматы
До сих пор многие банкоматы все еще работали на Windows XP. Если ОС устарела, ожидайте, что программное обеспечение в них также может нуждаться в обновлении. При этом злоумышленники могут выбирать, какие эксплойты использовать, чтобы максимально использовать уязвимости программного обеспечения и получить контроль над удаленной системой.
В некоторых случаях общедоступные интерфейсы, такие как USB-порт, могут побудить пользователей со злым умыслом внедрить вредоносное ПО на машину через портативное устройство. Поскольку в них может не быть установлено программное обеспечение безопасности, а аутентификация между периферийными устройствами и ОС практически отсутствует, вероятность заражения повышается. На сегодняшний день обнаружено уже 20 известных вредоносных программ для банкоматов.
Банкомат прикреплен непосредственно к сейфу, в котором хранятся наличные. Скомпрометированный компьютер может легко предоставить злоумышленникам доступ к интерфейсу между компьютером и сейфом, чтобы дать ему команду на выдачу наличных без использования информации украденной карты клиента.
Трафик между банкоматом и сервером обработки транзакций обычно не шифруется, поэтому хакерам очень легко перехватить данные, передаваемые от клиента к серверу банка. Хуже того, банкоматы, как известно, плохо защищены брандмауэром, что делает их уязвимыми для сетевых атак.
Другими заметными недостатками являются отсутствие или неправильно настроенное программное обеспечение Application Control, отсутствие шифрования жесткого диска и практически полная защита от доступа пользователей к интерфейсу Windows и подключения других аппаратных устройств к банкомату.
Типы атак на банкоматы и мошенничества
Взлом банковского сервера - лишь один из многих известных способов, которыми преступники могут получить доступ к реквизитам карт владельцев счетов и их кровно заработанным деньгам. Некоторые методы умны и тактичны. Некоторые могут быть грубыми. А другие более разрушительны и опасны. Какой бы ни была цена, мы можем поспорить, что преступники сделают все возможное, чтобы осуществить успешное ограбление.
Здесь мы выделили типы атак на банкоматы в зависимости от их классификации: взлом терминала, физические атаки, логические атаки и социальная инженерия.
В этом посте мы углубимся в первые два. (Вторые две атаки будут представлены во второй части этой серии.)
Взлом терминала
Большинство кампаний по мошенничеству с банкоматами включают физическое манипулирование частями машины или подключение к ней устройств, чтобы схема работала.
Скимминг банкоматов. Это тип мошенничества - реального кардинга, когда скимминг-устройство, обычно тандем кард-ридера (скиммера) и оверлея клавиатуры или камеры-обскуры, вводится в машину, помещая ее в слот для карты и клавиатуру соответственно. Чем больше он будет похож на компьютерный, тем лучше он будет работать (и с меньшей вероятностью вызовет подозрения).
Второй считыватель предназначен для копирования данных с магнитной полосы карты и ПИН-кода, чтобы преступник мог подделать карту.
Скиммеры для банкоматов.
Конечно, существует множество способов тайного перехвата данных карты и PIN-кода. Все они подпадают под эту схему. Примеры включают скимминговые устройства, которые подключаются к сетевым кабелям банкомата и могут перехватывать передаваемые данные.
Преступники могут повысить ставку своей кампании скимминга, купив подержанный банкомат (по выгодной цене) и затем сфальсифицировав его для записи данных. В них не выдаются наличные. Это, безусловно, наиболее убедительный метод, потому что осторожные держатели счетов не подумают, что весь банкомат является подделкой. К сожалению, никакое покачивание слота для карт не может спасти от этого данные их карты.
Скимминговые устройства также могут быть установлены в торговых точках (POS) в магазинах или внутри бензоколонок. Некоторые скиммеры достаточно малы, чтобы их можно было спрятать в руке, чтобы, если кому-то с недобрыми намерениями вручили платежную карту, он мог быстро провести по ней скиммером после проведения по POS-терминалу. Это видео бывшего сотрудника McDonald's, стоящего у окна проезда, пойманного на этом.
Шимминг. Можно назвать прокладку усовершенствованной формой скимминга. Хотя он по-прежнему нацелен на карты, его основное внимание уделяется записи или краже конфиденциальных данных со встроенных чипов.
В слот для карты банкомата вставлено тонкое, как бумага, регулировочное устройство, которое находится между картой и считывателем чипов банкомата. Таким образом, мерцание записывает данные с чипа карты, в то время как устройство считывания чипов устройства считывает их. В отличие от более ранних скиммеров, мерцание может быть практически незаметным, если оно правильно вставлено, что затрудняет их обнаружение. Однако одним из признаков того, что в банкомате может быть установлено регулировочное устройство, является узкий слот, когда вы вставляете свою банковскую карту.
Данные, украденные с чип-карт (также известных как карты EMV), можно преобразовать в данные с магнитной полосой, которые, в свою очередь, можно использовать для создания поддельных версий наших традиционных карт с магнитной полосой.
Мерцающее устройство.
Если вы помните, эмитенты однажды сказали, что карты EMV обеспечивают лучшую защиту от мошенничества по сравнению с традиционными банковскими картами.
Поскольку все больше пользователей и продавцов отдают предпочтение чип-картам из-за удобства или соответствия отраслевым требованиям, ожидалось, что преступники в конечном итоге найдут способ обойти защиту чипа и прочитать с него данные. К сожалению, они не разочаровали.
Захват карты банкомата. Хотя о других схемах атак на банкоматы не так широко сообщается, перехват карт жив и, к сожалению, эффективен. Стал жертвой бывший детектив Данди из Шотландии, который потерял все свои сбережения.
Захват карты - это метод, при котором преступники физически захватывают дебетовую или кредитную карту своей жертвы через банкомат. Они делают это, внедряя устройство, обычно это ливанская петля, которая предотвращает выброс карты после завершения транзакции. Преступники крадут ПИН-код своей цели, занимаясь серфингом по плечу или используя небольшую скрытую камеру, аналогичную тем, которые используются при скимминге.
Ловушка для карт.
Еще одна известная ловушка для карт называется пружинной ловушкой.
Денежный ловушка. Это похоже на захват карты, только преступники ищут деньги, которые только что сняла их цель. Инструмент - либо инструмент в виде когтя, либо огромное вилкообразное устройство, которое удерживает слот для наличных денег открытым после снятия наличных в банкомате, либо «клеевую ловушку» - вводится в слот для наличных денег в банкомате, чтобы уловить хотя бы часть наличных или почти все это.
Для захвата наличных, не использующего клещи, обычно используется так называемый ложный предъявитель банкомата. Это поддельный банкомат, помещенный перед настоящим.
Фальшивый предъявитель банкомата, использованный для снятия наличных.
Физические атаки на банкоматы
Если остроумия недостаточно для успешного ограбления банкомата, может помочь грубая сила. Какими бы грубыми, бесхитростными и неряшливыми они ни казались, преступники добились определенных успехов на этом пути.
Крукс, который предпочел бы быть громким, чем тихо в своей деятельности решил с использованием взрывчатых веществ -Solid и газом, alike-цепи лассо машины выкорчевать и уволокли, набегающее рейдерство, и используя копатель рыть настенный банкомат вне здания. Кувалда, лом и молот тоже творили чудеса.
Эта кража банкомата заняла менее четырех минут.
По данным Европейской ассоциации безопасных транзакций (EAST), четвертый год подряд общее количество физических атак на банкоматы в Европе продолжает расти. С 2020 по 2021 год общий объем убытков увеличился на 16 процентов (с 34,6 миллиона долларов США до 40,2 миллиона долларов США) и на 27 процентов увеличился количество зарегистрированных инцидентов (с 3584 до 4549). Основная часть потерь пришлась на взрывные или газовые атаки, за которыми последовали грабежи и тараны.
«Уровень успешности атак с применением сплошных взрывных устройств вызывает особую озабоченность», - сказал в отчете исполнительный директор EAST Лахлан Ганн. «Такие атаки продолжают географически распространяться, и две страны впервые сообщили о них в начале 2019 года».
Рабочая группа по безопасности банкоматов (ATMSWG) опубликовала документ о передовых методах борьбы с физическими атаками на банкоматы [PDF], который финансовые учреждения, банки и продавцы банкоматов могут использовать в своих планах для повышения физической безопасности своих машин. Аналогичным образом, Ассоциация индустрии банкоматов (ATMIA) имеет удобное руководство о том, как предотвратить атаки с использованием газа и взрывчатых веществ в банкоматах [PDF].
Знайте, когда вы имеете дело с взломанным банкоматом
Финансовые учреждения и поставщики банкоматов знают, что им предстоит пройти долгий путь, чтобы полностью решить проблему мошенничества и краж, и они находят и применяют способы усиления своих мер безопасности. Конечно, не стоит терять бдительность и пользователям банкоматов.
Сведите к минимуму вероятность взлома банкомата или других скрытых опасностей, прочитав и следуя этим советам:
Перед посещением банкомата
При использовании банкомата
После снятия в банкомате
Рассмотрение других вариантов оплаты
Не всегда нужно постоянно снимать деньги в банкомате. Если есть способы, которыми потребители могут оплачивать товары без использования наличных в банкомате, им следует хотя бы рассмотреть эти варианты.
Многие утверждают, что использование функции бесконтактной оплаты или оплаты с помощью карты или смартфона является эффективным способом борьбы с мошенничеством со счетами (и банкоматами) в целом.
Во 2 части этой серии мы рассмотрим логические атаки и атаки социальной инженерии, которые преступники используют против банкоматов и их пользователей. А пока будьте начеку и оставайтесь в безопасности!
Это вторая и последняя часть нашей серии из двух частей об атаках на банкоматы и мошенничестве.
В части 1 мы определили причины уязвимости банкоматов - от внутренних слабых сторон их корпуса до программного обеспечения - и углубились в два из четырех видов атак на них: взлом терминала и физические атаки.
Взлом терминала имеет много типов, но он включает либо физическое манипулирование компонентами банкомата, либо подключение к нему других устройств в рамках мошеннической схемы. Физические атаки, с другой стороны, вызывают разрушение банкомата и здания или прилегающей территории, где он расположен.
Мы также предоставили пользователям инструкции - до, во время и после - которые помогут обезопасить их при использовании банкомата.
Во второй части мы сосредоточимся на двух последних типах атак: логических атаках и использовании социальной инженерии.
Логические атаки на банкоматы
Поскольку банкоматы по сути являются компьютерами, мошенники могут использовать и используют программное обеспечение в рамках скоординированных усилий для получения доступа к компьютеру банкомата вместе с его компонентами или сетью его финансового учреждения (ФИ). Они делают это, во-первых, для получения наличных денег; во-вторых, для извлечения конфиденциальных данных из самой машины и для снятия изоляции или чип-карт; и, наконец, перехват данных, которые они могут использовать для проведения мошеннических транзакций.
Введите логические атаки - термин, синонимичный для атак с использованием джекпота или обналичивания банкоматов. Логические атаки включают использование и манипулирование системой банкомата с помощью вредоносного ПО или другого электронного устройства, называемого черным ящиком. Как только киберпреступники получают контроль над системой, они направляют ее, по сути, извергать наличные, пока сейф не опустеет, как если бы это был игровой автомат.
Концепция «джекпота» стала общепринятой после того, как ныне покойный известный исследователь безопасности Барнаби Джек представил и продемонстрировал свое исследование на эту тему на конференции по безопасности Black Hat в 2010 году. Многие ожидали, что с тех пор джекпот в банкоматах станет реальной проблемой. И действительно, в форме логических атак.
Для успешной логической атаки необходим доступ к банкомату. Простой способ сделать это - использовать инструмент, например дрель, чтобы проделать отверстие в корпусе, чтобы преступники могли ввести другое оборудование (например, USB-накопитель) для доставки полезной нагрузки. Некоторые инструменты также могут использоваться для определения уязвимых мест в раме или корпусе банкомата, например, эндоскоп, который представляет собой медицинское устройство с крошечной камерой, которое используется для исследования внутри человеческого тела.
Если вы считаете, что логические атаки слишком сложны для среднего киберпреступника, подумайте еще раз. За существенную цену любой, у кого есть лишние деньги, может посетить форумы Dark Web и приобрести вредоносное ПО для банкоматов с простыми инструкциями. Поскольку менее компетентные мошенники, работающие с банкоматами, могут использовать вредоносное ПО, созданное и используемое профессионалами, различие между ними размывается.
Типы логических атак
На сегодняшний день существует две подкатегории логических атак, которые могут выполнять мошенники: атаки на основе вредоносных программ и атаки с использованием черного ящика.
Атаки на основе вредоносного ПО. Как следует из названия, этот вид атаки может использовать несколько различных типов вредоносных программ, включая Ploutus, Anunak / Carbanak, Cutlet Maker и SUCEFUL, о которых мы расскажем ниже. Как они попадают на компьютер банкомата или в его сеть - это вопрос, с которым мы все должны ознакомиться.
Установлено на ПК банкомата:
Установлено в сети банкомата:
Устанавливается с помощью тактики Man-in-the-Middle (MiTM):
Атаки черного ящика. Черный ящик - это электронное устройство - другой компьютер, мобильный телефон, планшет или даже модифицированная печатная плата, подключенная к USB-кабелю, - которое выдает команды банкомата по запросу мошенника. Физическое отключение банкомата от компьютера банкомата для подключения черного ящика позволяет злоумышленникам обойтись без использования карты или получения авторизации для подтверждения транзакций. Внешние розничные банкоматы, вероятно, станут мишенью для этой атаки.
Атака черного ящика может включать в себя тактику социальной инженерии, такую как переодевание техника по банкоматам, чтобы развеять подозрения, пока злоумышленник физически вмешивается в банкомат. Иногда мошенники используют эндоскоп - медицинский инструмент, используемый для исследования человеческого тела, чтобы определить местонахождение и отсоединить провод банкомата от компьютера банкомата и подключить его к своему черному ящику. Затем это устройство выдает команды диспенсеру на выталкивание денег.
Поскольку этот тип атаки не использует вредоносное ПО, атака «черного ящика» обычно практически не оставляет никаких доказательств - если, конечно, мошенники не оставили оборудование, которое они использовали.
Эксперты отметили, что по мере того, как количество сообщений об атаках «черных ящиков» уменьшается, количество атак вредоносных программ на банкоматы увеличивается.
Семейства вредоносных программ для банкоматов
Как упоминалось в части 1, существует более 20 разновидностей известных вредоносных программ для банкоматов. Мы составили профили четырех из этих штаммов, чтобы дать читателям обзор разнообразия семейств вредоносных программ, разработанных для атак на банкоматы. Мы также включили ссылки на внешние ссылки, которые вы можете прочитать, если хотите узнать больше.
Ploutus. Это вредоносное семейство бэкдоров для банкоматов, которое было впервые обнаружено в 2013 году. Ploutus специально разработан, чтобы заставить банкомат выдавать наличные, а не красть информацию о держателе карты. Более ранний вариант был представлен банкоматному компьютеру путем вставки зараженного загрузочного диска в его привод CD-ROM. Также использовалась внешняя клавиатура, поскольку вредоносная программа реагировала на команды, выполняемые нажатием определенных функциональных клавиш (клавиши от F1 до F12 на клавиатуре). В более новых версиях также используются мобильные телефоны, они устойчивы, нацелены на наиболее распространенные операционные системы банкоматов и могут быть изменены, чтобы сделать их независимыми от производителя.
Даниэль Регаладо, главный исследователь безопасности Zingbox, отметил в своем блоге, что модифицированный вариант Ploutus под названием Piolin использовался в первых преступлениях по сбору джекпота в банкоматах в Северной Америке, и что за этими атаками стоят не одни и те же участники инцидентов с джекпотом. в Латинской Америке.
Ссылки на Ploutus:
Преступники сорвали джекпот банкомата (Источник: Symantec)
Новый вариант вредоносного ПО для банкоматов Ploutus, обнаруженный в дикой природе в Латинской Америке (Источник: FireEye)
Анунак / Карбанак. Впервые эта продвинутая стойкая вредоносная программа была обнаружена в украинских и российских банках. Это бэкдор, основанный на известном троянце, ворующем информацию, Carberp. Carbanak, однако, был разработан для перекачивания данных, шпионажа и удаленного управления системами.
Панель администратора Anunak / Carbanak.
Он поступает в сети финансовых учреждений как вложение к целевому фишинговому письму. Попав в сеть, он ищет интересующие конечные точки, например, принадлежащие администраторам и банковским служащим. Поскольку актеры APT, стоящие за кампаниями Carbanak, не имеют предварительных знаний о том, как работает система их цели, они тайно записывают на видео, как администратор или клерк ее использует. Полученные знания можно использовать для перевода денег из банка на счета преступников.
Ссылки на Анунак / Карбанак:
Anunak: APT против финансовых организаций [PDF] (Источник: Group-IB и For-IT)
Великое ограбление банка: APT Carbanak (Источник: Касперский)
Котлетница. Это одно из нескольких семейств вредоносных программ для банкоматов, которые продаются на подпольных хакерских форумах. На самом деле это набор, состоящий из (1) самого файла вредоносной программы, который называется Cutlet Maker; (2) c0decalc, инструмент для создания паролей, который преступники используют для разблокировки Cutlet Maker; и (3) Стимулятор, еще один безвредный инструмент, предназначенный для отображения информации о кассетах с наличными в целевом банкомате, такой как тип валюты, стоимость банкнот и количество банкнот для каждой кассеты.
Интерфейс Cutlet Maker.
Ссылка на Cutlet Maker:
Вредоносное ПО для банкоматов продается на рынке Darknet (Источник: Securelist)
НАСЫЩЕННЫЙ. Известная как первая вредоносная программа для банкоматов от различных производителей, SUCEFUL была разработана для захвата банковских карт в слот для зараженных банкоматов, считывания данных с магнитной полосы и / или чипа карты и отключения датчиков банкоматов для предотвращения немедленного обнаружения.
Название вредоносной программы получено из опечатки - предположительно «успешной» - ее создателем, как вы можете видеть из этого интерфейса тестирования.
Ссылка на SUCEFUL:
БЕЗОПАСНО: вредоносное ПО для банкоматов нового поколения (Источник: FireEye)
Социальная инженерия
Непосредственное нацеливание на банкоматы путем компрометации их слабых мест, независимо от того, находятся ли они на поверхности или внутри, - не единственный эффективный способ для мошенников легко получить наличные. Они также могут воспользоваться людьми, использующими банкоматы. Вот способы, которыми пользователи могут быть вовлечены в социальную инженерию,чтобы передать с трудом заработанные деньги преступникам, часто даже не зная об этом.
Обман пожилых людей. Это стало тенденцией в Японии. Мошенники, изображающие из себя родственников, нуждающихся в чрезвычайных деньгах, или государственных чиновников, собирающих плату, нацелены на пожилых жертв. Затем они «помогают» им, инструктируя, как переводить деньги через банкомат.
Помощь в мошенничестве. К кому-то где-то в прошлом, возможно, подошел доброжелательный незнакомец в той же очереди банкомата и протянул руку помощи. Мошенники используют эту тактику, чтобы запомнить номер карты и ПИН-код своей цели, которые затем используют для инициирования незаконных денежных транзакций.
Вероятные цели этой атаки - также пожилые люди, а также сбитые с толку новые пользователи, которые, вероятно, впервые являются владельцами банкоматных карт.
Серфинг через плечо. Это процесс, когда кто-то наблюдает за вами, когда вы вводите свой PIN-код с клавиатуры банкомата. Украденные PIN-коды особенно удобны для серфингистов, особенно если их цель рассеянно покидает зону после получения наличных, но не полностью завершила сеанс. Некоторые пользователи банкоматов уходят, даже не успев ответить автомату, когда он спрашивает, есть ли у них еще одна транзакция. И прежде чем подсказка исчезнет, мошенник вводит украденный PIN-код, чтобы продолжить сеанс.
Подслушивание. Как и в предыдущем пункте, цель подслушивания - украсть PIN-код цели. Это делается путем прослушивания и запоминания сигналов, которые издают ключи банкомата, когда кто-то вводит свой PIN-код во время сеанса транзакции.
Мошенничество с отвлечением внимания. Эта тактика распространилась по Британии пару лет назад. И сценарий выглядит следующим образом: ничего не подозревающий пользователь банкомата отвлекается на звук падающих за ним монет, когда он берет деньги. Он или она поворачивается, чтобы помочь человеку, уронившему монеты, не зная, что кто-то уже либо крадет наличные, которые только что выдал банкомат, либо меняет поддельную карту на его настоящую. Пользователь банкомата оглядывается на терминал и убеждается, что все выглядит нормально, и продолжает свой путь. С другой стороны, человек, которому они помогли, либо получает украденную карту, либо сообщает своему сообщнику PIN-код украденной карты, который он / она запомнил, когда его цель ударила его, и перед тем, как умышленно уронить монеты.
Кадр из видео кампании Barclay по информированию общественности о мошенничестве с отвлечением внимания.
Постоянная бдительность для пользователей и производителей банкоматов
Кампании вредоносного ПО, атаки с использованием черных ящиков и социальная инженерия - это проблемы, которые активно решаются как производителями банкоматов, так и их финансовыми учреждениями. Однако это не означает, что пользователи банкоматов должны ослабить бдительность.
Помните о тактике социальной инженерии, которую мы описали выше, при использовании банкомата, и не забывайте следить за тем, чтобы что-то «не подходило» к машине, с которой вы взаимодействуете. Хотя маловероятно, что пользователь может сказать, взломал ли злоумышленник его банкомат (пока он не увидит расхождения в записях транзакций позже), существуют некоторые типы вредоносных программ, которые могут физически захватывать карты.
В этом случае не выходите из помещения банкомата. Вместо этого запишите каждую деталь относительно того, что произошло, например, время, когда оно было снято, отделение банкомата, которое вы используете, и какие транзакции вы совершили до того, как осознаете, что карта не будет извлечена. Сфотографируйте окрестности, сам банкомат и попытайтесь незаметно сфотографировать людей, которые потенциально могут задержаться поблизости. Наконец, позвоните в свой банк и / или эмитент карты, чтобы сообщить об инциденте и запросить аннулирование карты.
Мы также хотели бы снова направить вас к первой части этой серии статей, где мы включили полезные рекомендации о том, на что обращать внимание, прежде чем броситься к банкомату.
Как всегда, оставайтесь в безопасности! Кардеры не дремлют!
blog.malwarebytes.com
В то время никто не обналичивал деньги в банкоматах. Фактически, этот, казалось бы, странный сбой в системе был на самом деле тестом: преступник, который успешно проник на один из серверов лондонского отделения First Commercial Bank, отдал распоряжение банкомату на расстоянии 7000 миль проверить, возможно ли дистанционно управляемое ограбление.
В течение 15 часов еще 41 банкомат в других филиалах в городах Тайчжун и Тайбэй выдал накопленные 83,27 миллиона тайваньских долларов, что на сегодняшний день составляет 2,7 миллиона долларов США.
И хотя тайваньская полиция смогла успешно задержать подозреваемых в этом ограблении на миллион долларов, большинство из которых были родом из европейских стран, многие неназванные преступники, воспользовавшись недостатками и слабостями банкоматов (даже финансовой системы в целом), все еще в большой.
Обычные пользователи банкоматов не могут бороться с такой атакой на свои банки. Но проявив бдительность, они могут помочь привлечь преступников к ответственности. Катализатором успешного поимки грабителей стала информация, предоставленная гражданами, которые, заметив подозрительные действия иностранных граждан и собрав соответствующую информацию - в данном случае номерной знак автомобиля и кредитную карту, случайно оставил один из подозреваемых - Об этом сообщили в правоохранительные органы.
Банкоматы-мошенники
Как и любое вычислительное устройство, банкоматы имеют уязвимости. И один из способов понять, почему они тянутся к плохим парням, - это понять его компоненты и то, как они взаимодействуют с банковской сетью.
Банкомат состоит из компьютера (и его периферийных устройств) и сейфа. Первый заключен в шкаф. Это то же самое, является ли банкомат автономным киоском или «дырой в стене». Сам шкаф не особенно безопасен или прочен, поэтому преступники могут использовать простые инструменты и ключ от замка, который можно купить в Интернете, чтобы взломать его и получить доступ либо к компьютеру, либо к сейфу.
Компьютер обычно работает под управлением Windows - версии, специально созданной для банкоматов. Пользователи банкоматов не видят знакомого интерфейса рабочего стола Windows, потому что доступ ограничен. На самом деле мы видим приложения, ориентированные на пользователя, которые помогают нам совершать транзакции с машиной.
Примерный список атак на банкоматы
До сих пор многие банкоматы все еще работали на Windows XP. Если ОС устарела, ожидайте, что программное обеспечение в них также может нуждаться в обновлении. При этом злоумышленники могут выбирать, какие эксплойты использовать, чтобы максимально использовать уязвимости программного обеспечения и получить контроль над удаленной системой.
В некоторых случаях общедоступные интерфейсы, такие как USB-порт, могут побудить пользователей со злым умыслом внедрить вредоносное ПО на машину через портативное устройство. Поскольку в них может не быть установлено программное обеспечение безопасности, а аутентификация между периферийными устройствами и ОС практически отсутствует, вероятность заражения повышается. На сегодняшний день обнаружено уже 20 известных вредоносных программ для банкоматов.
Банкомат прикреплен непосредственно к сейфу, в котором хранятся наличные. Скомпрометированный компьютер может легко предоставить злоумышленникам доступ к интерфейсу между компьютером и сейфом, чтобы дать ему команду на выдачу наличных без использования информации украденной карты клиента.
Трафик между банкоматом и сервером обработки транзакций обычно не шифруется, поэтому хакерам очень легко перехватить данные, передаваемые от клиента к серверу банка. Хуже того, банкоматы, как известно, плохо защищены брандмауэром, что делает их уязвимыми для сетевых атак.
Другими заметными недостатками являются отсутствие или неправильно настроенное программное обеспечение Application Control, отсутствие шифрования жесткого диска и практически полная защита от доступа пользователей к интерфейсу Windows и подключения других аппаратных устройств к банкомату.
Типы атак на банкоматы и мошенничества
Взлом банковского сервера - лишь один из многих известных способов, которыми преступники могут получить доступ к реквизитам карт владельцев счетов и их кровно заработанным деньгам. Некоторые методы умны и тактичны. Некоторые могут быть грубыми. А другие более разрушительны и опасны. Какой бы ни была цена, мы можем поспорить, что преступники сделают все возможное, чтобы осуществить успешное ограбление.
Здесь мы выделили типы атак на банкоматы в зависимости от их классификации: взлом терминала, физические атаки, логические атаки и социальная инженерия.
В этом посте мы углубимся в первые два. (Вторые две атаки будут представлены во второй части этой серии.)
Взлом терминала
Большинство кампаний по мошенничеству с банкоматами включают физическое манипулирование частями машины или подключение к ней устройств, чтобы схема работала.
Скимминг банкоматов. Это тип мошенничества - реального кардинга, когда скимминг-устройство, обычно тандем кард-ридера (скиммера) и оверлея клавиатуры или камеры-обскуры, вводится в машину, помещая ее в слот для карты и клавиатуру соответственно. Чем больше он будет похож на компьютерный, тем лучше он будет работать (и с меньшей вероятностью вызовет подозрения).
Второй считыватель предназначен для копирования данных с магнитной полосы карты и ПИН-кода, чтобы преступник мог подделать карту.
Скиммеры для банкоматов.
Конечно, существует множество способов тайного перехвата данных карты и PIN-кода. Все они подпадают под эту схему. Примеры включают скимминговые устройства, которые подключаются к сетевым кабелям банкомата и могут перехватывать передаваемые данные.
Преступники могут повысить ставку своей кампании скимминга, купив подержанный банкомат (по выгодной цене) и затем сфальсифицировав его для записи данных. В них не выдаются наличные. Это, безусловно, наиболее убедительный метод, потому что осторожные держатели счетов не подумают, что весь банкомат является подделкой. К сожалению, никакое покачивание слота для карт не может спасти от этого данные их карты.
Скимминговые устройства также могут быть установлены в торговых точках (POS) в магазинах или внутри бензоколонок. Некоторые скиммеры достаточно малы, чтобы их можно было спрятать в руке, чтобы, если кому-то с недобрыми намерениями вручили платежную карту, он мог быстро провести по ней скиммером после проведения по POS-терминалу. Это видео бывшего сотрудника McDonald's, стоящего у окна проезда, пойманного на этом.
Шимминг. Можно назвать прокладку усовершенствованной формой скимминга. Хотя он по-прежнему нацелен на карты, его основное внимание уделяется записи или краже конфиденциальных данных со встроенных чипов.
В слот для карты банкомата вставлено тонкое, как бумага, регулировочное устройство, которое находится между картой и считывателем чипов банкомата. Таким образом, мерцание записывает данные с чипа карты, в то время как устройство считывания чипов устройства считывает их. В отличие от более ранних скиммеров, мерцание может быть практически незаметным, если оно правильно вставлено, что затрудняет их обнаружение. Однако одним из признаков того, что в банкомате может быть установлено регулировочное устройство, является узкий слот, когда вы вставляете свою банковскую карту.
Данные, украденные с чип-карт (также известных как карты EMV), можно преобразовать в данные с магнитной полосой, которые, в свою очередь, можно использовать для создания поддельных версий наших традиционных карт с магнитной полосой.
Мерцающее устройство.
Если вы помните, эмитенты однажды сказали, что карты EMV обеспечивают лучшую защиту от мошенничества по сравнению с традиционными банковскими картами.
Поскольку все больше пользователей и продавцов отдают предпочтение чип-картам из-за удобства или соответствия отраслевым требованиям, ожидалось, что преступники в конечном итоге найдут способ обойти защиту чипа и прочитать с него данные. К сожалению, они не разочаровали.
Захват карты банкомата. Хотя о других схемах атак на банкоматы не так широко сообщается, перехват карт жив и, к сожалению, эффективен. Стал жертвой бывший детектив Данди из Шотландии, который потерял все свои сбережения.
Захват карты - это метод, при котором преступники физически захватывают дебетовую или кредитную карту своей жертвы через банкомат. Они делают это, внедряя устройство, обычно это ливанская петля, которая предотвращает выброс карты после завершения транзакции. Преступники крадут ПИН-код своей цели, занимаясь серфингом по плечу или используя небольшую скрытую камеру, аналогичную тем, которые используются при скимминге.
Ловушка для карт.
Еще одна известная ловушка для карт называется пружинной ловушкой.
Денежный ловушка. Это похоже на захват карты, только преступники ищут деньги, которые только что сняла их цель. Инструмент - либо инструмент в виде когтя, либо огромное вилкообразное устройство, которое удерживает слот для наличных денег открытым после снятия наличных в банкомате, либо «клеевую ловушку» - вводится в слот для наличных денег в банкомате, чтобы уловить хотя бы часть наличных или почти все это.
Для захвата наличных, не использующего клещи, обычно используется так называемый ложный предъявитель банкомата. Это поддельный банкомат, помещенный перед настоящим.
Фальшивый предъявитель банкомата, использованный для снятия наличных.
Физические атаки на банкоматы
Если остроумия недостаточно для успешного ограбления банкомата, может помочь грубая сила. Какими бы грубыми, бесхитростными и неряшливыми они ни казались, преступники добились определенных успехов на этом пути.
Крукс, который предпочел бы быть громким, чем тихо в своей деятельности решил с использованием взрывчатых веществ -Solid и газом, alike-цепи лассо машины выкорчевать и уволокли, набегающее рейдерство, и используя копатель рыть настенный банкомат вне здания. Кувалда, лом и молот тоже творили чудеса.
По данным Европейской ассоциации безопасных транзакций (EAST), четвертый год подряд общее количество физических атак на банкоматы в Европе продолжает расти. С 2020 по 2021 год общий объем убытков увеличился на 16 процентов (с 34,6 миллиона долларов США до 40,2 миллиона долларов США) и на 27 процентов увеличился количество зарегистрированных инцидентов (с 3584 до 4549). Основная часть потерь пришлась на взрывные или газовые атаки, за которыми последовали грабежи и тараны.
«Уровень успешности атак с применением сплошных взрывных устройств вызывает особую озабоченность», - сказал в отчете исполнительный директор EAST Лахлан Ганн. «Такие атаки продолжают географически распространяться, и две страны впервые сообщили о них в начале 2019 года».
Рабочая группа по безопасности банкоматов (ATMSWG) опубликовала документ о передовых методах борьбы с физическими атаками на банкоматы [PDF], который финансовые учреждения, банки и продавцы банкоматов могут использовать в своих планах для повышения физической безопасности своих машин. Аналогичным образом, Ассоциация индустрии банкоматов (ATMIA) имеет удобное руководство о том, как предотвратить атаки с использованием газа и взрывчатых веществ в банкоматах [PDF].
Знайте, когда вы имеете дело с взломанным банкоматом
Финансовые учреждения и поставщики банкоматов знают, что им предстоит пройти долгий путь, чтобы полностью решить проблему мошенничества и краж, и они находят и применяют способы усиления своих мер безопасности. Конечно, не стоит терять бдительность и пользователям банкоматов.
Сведите к минимуму вероятность взлома банкомата или других скрытых опасностей, прочитав и следуя этим советам:
Перед посещением банкомата
- Выберите банкомат, который кажется безопасным в использовании. Он хорошо освещен, его могут видеть прохожие, и на него направлена камера видеонаблюдения. В идеале используйте внутренний банкомат, который можно найти в отделениях банков, торговых центрах, ресторанах, магазинах и т. Д. Избегайте машин, которые были запущены или подверглись вандализму.
- Если вы окажетесь в незнакомой местности, попробуйте приобрести банкоматы, которые соответствуют большинству физических требований, о которых мы упоминали.
- Ограничьте посещение банкоматов в одиночку, особенно если вы делаете это в нерабочее время банка. Ваш друг или родственник может помочь, если сделка пойдет не так. Кроме того, их простое присутствие могло отпугнуть грабителей и / или незнакомцев.
- Проверьте банкомат. Ищите устройства, которые могут торчать из-за него или из его периферийных устройств. Ищите фальшивые лицевые панели (над прорезями для карточек и денег, клавиатуру или, что еще хуже, по всей поверхности машины), крошечные дыры, через которые могут наблюдать камеры, трещины, несоответствующие цвета клавиш и т.д. тогда ищите другой банкомат.
- Наконец, обратите внимание на всех, кто, по вашему мнению, слоняется поблизости или ведет себя подозрительно. Не противостоять им. Вместо этого, если их поведение вызывает достаточно беспокойства, сообщите о них в полицию.
При использовании банкомата
- Уберите все, что будет отвлекать вас при использовании банкомата. Да, мы имеем в виду ваш телефон и ваш Nintendo Switch. Из-за этого можно легко упустить из виду свое окружение, что преступники могут использовать в своих интересах.
- Потяните за считыватель карт и банкомат, чтобы убедиться, что к ним не подключены дополнительные устройства.
- При вводе ПИН-кода стоит прикрыть клавиатуру, вне зависимости от того, стоите вы в очереди один или нет. Возможно, вы проверили банкомат на наличие признаков физического вмешательства, но всегда можно что-то пропустить. Кроме того, если следующий в очереди человек находится слишком близко, либо напомните ему, чтобы он отодвинулся дальше, либо закройте панель ввода PIN-кода как можно глубже.
- Всегда распечатывайте копию квитанции банкомата и убирайте ее в целях безопасности. Таким образом, у вас будет на что сослаться и сравнить с выпиской по счету.
После снятия в банкомате
- Уберите карту, наличные и квитанцию быстро и незаметно.
- Если банкомат не выдал вашу карту, оставайтесь рядом с банкоматом и позвоните в круглосуточную службу поддержки вашего банка, чтобы аннулировать вашу карту, чтобы преступники попытались ее использовать. Сообщите другим, кто стоит за вами в очереди, что ваша карта застряла, и они не смогут использовать автомат, пока вы ее не извлечете.
- Если банкомат не выдал деньги, запишите точную дату, время и место, где это произошло, и позвоните в круглосуточную службу поддержки банка. Сделайте несколько снимков с помощью телефона и отправьте копию себе (по SMS или электронной почте), чтобы у вас была цифровая запись.
- Также позвоните в банк или эмитент вашей карты, чтобы подать иск, заявив, что банкомат, который вы используете, не будет выдавать наличные. Требование было бы намного проще и быстрее, если бы вы использовали банкомат своего собственного банка в здании банка.
- Если это произошло в магазине, немедленно сообщите об этом сотруднику. У них может быть процесс, чтобы двигаться дальше. Они также могут помешать другим покупателям в магазине использовать проблемный автомат.
- Регулярно просматривайте свою банковскую выписку на предмет возможного снятия средств и / или использования карты, которые вы не делали сами. Сообщите о мошенничестве в свой банк, если заметите его.
Рассмотрение других вариантов оплаты
Не всегда нужно постоянно снимать деньги в банкомате. Если есть способы, которыми потребители могут оплачивать товары без использования наличных в банкомате, им следует хотя бы рассмотреть эти варианты.
Многие утверждают, что использование функции бесконтактной оплаты или оплаты с помощью карты или смартфона является эффективным способом борьбы с мошенничеством со счетами (и банкоматами) в целом.
Во 2 части этой серии мы рассмотрим логические атаки и атаки социальной инженерии, которые преступники используют против банкоматов и их пользователей. А пока будьте начеку и оставайтесь в безопасности!
Это вторая и последняя часть нашей серии из двух частей об атаках на банкоматы и мошенничестве.
В части 1 мы определили причины уязвимости банкоматов - от внутренних слабых сторон их корпуса до программного обеспечения - и углубились в два из четырех видов атак на них: взлом терминала и физические атаки.
Взлом терминала имеет много типов, но он включает либо физическое манипулирование компонентами банкомата, либо подключение к нему других устройств в рамках мошеннической схемы. Физические атаки, с другой стороны, вызывают разрушение банкомата и здания или прилегающей территории, где он расположен.
Мы также предоставили пользователям инструкции - до, во время и после - которые помогут обезопасить их при использовании банкомата.
Во второй части мы сосредоточимся на двух последних типах атак: логических атаках и использовании социальной инженерии.
Логические атаки на банкоматы
Поскольку банкоматы по сути являются компьютерами, мошенники могут использовать и используют программное обеспечение в рамках скоординированных усилий для получения доступа к компьютеру банкомата вместе с его компонентами или сетью его финансового учреждения (ФИ). Они делают это, во-первых, для получения наличных денег; во-вторых, для извлечения конфиденциальных данных из самой машины и для снятия изоляции или чип-карт; и, наконец, перехват данных, которые они могут использовать для проведения мошеннических транзакций.
Введите логические атаки - термин, синонимичный для атак с использованием джекпота или обналичивания банкоматов. Логические атаки включают использование и манипулирование системой банкомата с помощью вредоносного ПО или другого электронного устройства, называемого черным ящиком. Как только киберпреступники получают контроль над системой, они направляют ее, по сути, извергать наличные, пока сейф не опустеет, как если бы это был игровой автомат.
Концепция «джекпота» стала общепринятой после того, как ныне покойный известный исследователь безопасности Барнаби Джек представил и продемонстрировал свое исследование на эту тему на конференции по безопасности Black Hat в 2010 году. Многие ожидали, что с тех пор джекпот в банкоматах станет реальной проблемой. И действительно, в форме логических атак.
Для успешной логической атаки необходим доступ к банкомату. Простой способ сделать это - использовать инструмент, например дрель, чтобы проделать отверстие в корпусе, чтобы преступники могли ввести другое оборудование (например, USB-накопитель) для доставки полезной нагрузки. Некоторые инструменты также могут использоваться для определения уязвимых мест в раме или корпусе банкомата, например, эндоскоп, который представляет собой медицинское устройство с крошечной камерой, которое используется для исследования внутри человеческого тела.
Если вы считаете, что логические атаки слишком сложны для среднего киберпреступника, подумайте еще раз. За существенную цену любой, у кого есть лишние деньги, может посетить форумы Dark Web и приобрести вредоносное ПО для банкоматов с простыми инструкциями. Поскольку менее компетентные мошенники, работающие с банкоматами, могут использовать вредоносное ПО, созданное и используемое профессионалами, различие между ними размывается.
Типы логических атак
На сегодняшний день существует две подкатегории логических атак, которые могут выполнять мошенники: атаки на основе вредоносных программ и атаки с использованием черного ящика.
Атаки на основе вредоносного ПО. Как следует из названия, этот вид атаки может использовать несколько различных типов вредоносных программ, включая Ploutus, Anunak / Carbanak, Cutlet Maker и SUCEFUL, о которых мы расскажем ниже. Как они попадают на компьютер банкомата или в его сеть - это вопрос, с которым мы все должны ознакомиться.
Установлено на ПК банкомата:
- Через USB-накопитель. Преступники загружают USB-накопитель с вредоносным ПО и затем вставляют его в USB-порт компьютера банкомата. Порт либо открыт для публики, либо находится за панелью, которую можно легко снять или пробить дыру. Поскольку эти фреймы банкоматов не являются прочными и недостаточно безопасными, чтобы противостоять этому типу физического вмешательства, заражение через USB и внешний жесткий диск всегда будет эффективным вектором атаки. В статье 2014 года SecurityWeek описывалось мошенничество с банкоматом, при котором успешно использовался USB-накопитель с вредоносным ПО.
- Через внешний жесткий диск или привод CD / DVD. Тактика аналогична USB-накопителю, но с внешним жестким диском или загрузочным оптическим диском.
- Через заражение собственного жесткого диска банкомата. Мошенники либо отключают жесткий диск банкомата, чтобы заменить его зараженным, либо извлекают жесткий диск из банкомата, заражают его трояном, а затем снова вставляют.
Установлено в сети банкомата:
- Через инсайдера. Мошенники могут принуждать или объединяться с сотрудником банка со злым умыслом против своего работодателя, чтобы позволить им делать за них грязную работу. Инсайдер получает часть обналиченных денег.
- С помощью социальной инженерии. Мошенники могут использовать целевой фишинг для нацеливания на определенных сотрудников в банке, чтобы заставить их открыть вредоносное вложение. После запуска вредоносная программа заражает всю сеть финансового учреждения и ее конечные точки, в том числе банкоматы. Банкомат становится подчиненным. Злоумышленники могут отправлять инструкции непосредственно подчиненной машине, чтобы она выдавала деньги и заставляла их собирать деньги.
Устанавливается с помощью тактики Man-in-the-Middle (MiTM):
- Через поддельные обновления. Как объяснил Бенджамин Кунц-Мейри, генеральный директор и основатель Vulnerability Lab, вредоносное ПО может быть внедрено в системы банкоматов через поддельное обновление программного обеспечения, после того как он обнаружил (случайно), что банкоматы в Германии публично отображают конфиденциальную системную информацию в процессе обновления программного обеспечения. В интервью Кунц-Меджри сказал, что мошенники потенциально могут использовать эту информацию для выполнения атаки MiTM, чтобы проникнуть в сеть местного банка, запустить вредоносное ПО, которое выглядело как законное обновление программного обеспечения, а затем контролировать зараженный банкомат.
Атаки черного ящика. Черный ящик - это электронное устройство - другой компьютер, мобильный телефон, планшет или даже модифицированная печатная плата, подключенная к USB-кабелю, - которое выдает команды банкомата по запросу мошенника. Физическое отключение банкомата от компьютера банкомата для подключения черного ящика позволяет злоумышленникам обойтись без использования карты или получения авторизации для подтверждения транзакций. Внешние розничные банкоматы, вероятно, станут мишенью для этой атаки.
Атака черного ящика может включать в себя тактику социальной инженерии, такую как переодевание техника по банкоматам, чтобы развеять подозрения, пока злоумышленник физически вмешивается в банкомат. Иногда мошенники используют эндоскоп - медицинский инструмент, используемый для исследования человеческого тела, чтобы определить местонахождение и отсоединить провод банкомата от компьютера банкомата и подключить его к своему черному ящику. Затем это устройство выдает команды диспенсеру на выталкивание денег.
Поскольку этот тип атаки не использует вредоносное ПО, атака «черного ящика» обычно практически не оставляет никаких доказательств - если, конечно, мошенники не оставили оборудование, которое они использовали.
Эксперты отметили, что по мере того, как количество сообщений об атаках «черных ящиков» уменьшается, количество атак вредоносных программ на банкоматы увеличивается.
Семейства вредоносных программ для банкоматов
Как упоминалось в части 1, существует более 20 разновидностей известных вредоносных программ для банкоматов. Мы составили профили четырех из этих штаммов, чтобы дать читателям обзор разнообразия семейств вредоносных программ, разработанных для атак на банкоматы. Мы также включили ссылки на внешние ссылки, которые вы можете прочитать, если хотите узнать больше.
Ploutus. Это вредоносное семейство бэкдоров для банкоматов, которое было впервые обнаружено в 2013 году. Ploutus специально разработан, чтобы заставить банкомат выдавать наличные, а не красть информацию о держателе карты. Более ранний вариант был представлен банкоматному компьютеру путем вставки зараженного загрузочного диска в его привод CD-ROM. Также использовалась внешняя клавиатура, поскольку вредоносная программа реагировала на команды, выполняемые нажатием определенных функциональных клавиш (клавиши от F1 до F12 на клавиатуре). В более новых версиях также используются мобильные телефоны, они устойчивы, нацелены на наиболее распространенные операционные системы банкоматов и могут быть изменены, чтобы сделать их независимыми от производителя.
Даниэль Регаладо, главный исследователь безопасности Zingbox, отметил в своем блоге, что модифицированный вариант Ploutus под названием Piolin использовался в первых преступлениях по сбору джекпота в банкоматах в Северной Америке, и что за этими атаками стоят не одни и те же участники инцидентов с джекпотом. в Латинской Америке.
Ссылки на Ploutus:
Преступники сорвали джекпот банкомата (Источник: Symantec)
Новый вариант вредоносного ПО для банкоматов Ploutus, обнаруженный в дикой природе в Латинской Америке (Источник: FireEye)
Анунак / Карбанак. Впервые эта продвинутая стойкая вредоносная программа была обнаружена в украинских и российских банках. Это бэкдор, основанный на известном троянце, ворующем информацию, Carberp. Carbanak, однако, был разработан для перекачивания данных, шпионажа и удаленного управления системами.
Панель администратора Anunak / Carbanak.
Он поступает в сети финансовых учреждений как вложение к целевому фишинговому письму. Попав в сеть, он ищет интересующие конечные точки, например, принадлежащие администраторам и банковским служащим. Поскольку актеры APT, стоящие за кампаниями Carbanak, не имеют предварительных знаний о том, как работает система их цели, они тайно записывают на видео, как администратор или клерк ее использует. Полученные знания можно использовать для перевода денег из банка на счета преступников.
Ссылки на Анунак / Карбанак:
Anunak: APT против финансовых организаций [PDF] (Источник: Group-IB и For-IT)
Великое ограбление банка: APT Carbanak (Источник: Касперский)
Котлетница. Это одно из нескольких семейств вредоносных программ для банкоматов, которые продаются на подпольных хакерских форумах. На самом деле это набор, состоящий из (1) самого файла вредоносной программы, который называется Cutlet Maker; (2) c0decalc, инструмент для создания паролей, который преступники используют для разблокировки Cutlet Maker; и (3) Стимулятор, еще один безвредный инструмент, предназначенный для отображения информации о кассетах с наличными в целевом банкомате, такой как тип валюты, стоимость банкнот и количество банкнот для каждой кассеты.
Интерфейс Cutlet Maker.
Ссылка на Cutlet Maker:
Вредоносное ПО для банкоматов продается на рынке Darknet (Источник: Securelist)
НАСЫЩЕННЫЙ. Известная как первая вредоносная программа для банкоматов от различных производителей, SUCEFUL была разработана для захвата банковских карт в слот для зараженных банкоматов, считывания данных с магнитной полосы и / или чипа карты и отключения датчиков банкоматов для предотвращения немедленного обнаружения.
Название вредоносной программы получено из опечатки - предположительно «успешной» - ее создателем, как вы можете видеть из этого интерфейса тестирования.
Ссылка на SUCEFUL:
БЕЗОПАСНО: вредоносное ПО для банкоматов нового поколения (Источник: FireEye)
Социальная инженерия
Непосредственное нацеливание на банкоматы путем компрометации их слабых мест, независимо от того, находятся ли они на поверхности или внутри, - не единственный эффективный способ для мошенников легко получить наличные. Они также могут воспользоваться людьми, использующими банкоматы. Вот способы, которыми пользователи могут быть вовлечены в социальную инженерию,чтобы передать с трудом заработанные деньги преступникам, часто даже не зная об этом.
Обман пожилых людей. Это стало тенденцией в Японии. Мошенники, изображающие из себя родственников, нуждающихся в чрезвычайных деньгах, или государственных чиновников, собирающих плату, нацелены на пожилых жертв. Затем они «помогают» им, инструктируя, как переводить деньги через банкомат.
Помощь в мошенничестве. К кому-то где-то в прошлом, возможно, подошел доброжелательный незнакомец в той же очереди банкомата и протянул руку помощи. Мошенники используют эту тактику, чтобы запомнить номер карты и ПИН-код своей цели, которые затем используют для инициирования незаконных денежных транзакций.
Вероятные цели этой атаки - также пожилые люди, а также сбитые с толку новые пользователи, которые, вероятно, впервые являются владельцами банкоматных карт.
Серфинг через плечо. Это процесс, когда кто-то наблюдает за вами, когда вы вводите свой PIN-код с клавиатуры банкомата. Украденные PIN-коды особенно удобны для серфингистов, особенно если их цель рассеянно покидает зону после получения наличных, но не полностью завершила сеанс. Некоторые пользователи банкоматов уходят, даже не успев ответить автомату, когда он спрашивает, есть ли у них еще одна транзакция. И прежде чем подсказка исчезнет, мошенник вводит украденный PIN-код, чтобы продолжить сеанс.
Подслушивание. Как и в предыдущем пункте, цель подслушивания - украсть PIN-код цели. Это делается путем прослушивания и запоминания сигналов, которые издают ключи банкомата, когда кто-то вводит свой PIN-код во время сеанса транзакции.
Мошенничество с отвлечением внимания. Эта тактика распространилась по Британии пару лет назад. И сценарий выглядит следующим образом: ничего не подозревающий пользователь банкомата отвлекается на звук падающих за ним монет, когда он берет деньги. Он или она поворачивается, чтобы помочь человеку, уронившему монеты, не зная, что кто-то уже либо крадет наличные, которые только что выдал банкомат, либо меняет поддельную карту на его настоящую. Пользователь банкомата оглядывается на терминал и убеждается, что все выглядит нормально, и продолжает свой путь. С другой стороны, человек, которому они помогли, либо получает украденную карту, либо сообщает своему сообщнику PIN-код украденной карты, который он / она запомнил, когда его цель ударила его, и перед тем, как умышленно уронить монеты.
Кадр из видео кампании Barclay по информированию общественности о мошенничестве с отвлечением внимания.
Постоянная бдительность для пользователей и производителей банкоматов
Кампании вредоносного ПО, атаки с использованием черных ящиков и социальная инженерия - это проблемы, которые активно решаются как производителями банкоматов, так и их финансовыми учреждениями. Однако это не означает, что пользователи банкоматов должны ослабить бдительность.
Помните о тактике социальной инженерии, которую мы описали выше, при использовании банкомата, и не забывайте следить за тем, чтобы что-то «не подходило» к машине, с которой вы взаимодействуете. Хотя маловероятно, что пользователь может сказать, взломал ли злоумышленник его банкомат (пока он не увидит расхождения в записях транзакций позже), существуют некоторые типы вредоносных программ, которые могут физически захватывать карты.
В этом случае не выходите из помещения банкомата. Вместо этого запишите каждую деталь относительно того, что произошло, например, время, когда оно было снято, отделение банкомата, которое вы используете, и какие транзакции вы совершили до того, как осознаете, что карта не будет извлечена. Сфотографируйте окрестности, сам банкомат и попытайтесь незаметно сфотографировать людей, которые потенциально могут задержаться поблизости. Наконец, позвоните в свой банк и / или эмитент карты, чтобы сообщить об инциденте и запросить аннулирование карты.
Мы также хотели бы снова направить вас к первой части этой серии статей, где мы включили полезные рекомендации о том, на что обращать внимание, прежде чем броситься к банкомату.
Как всегда, оставайтесь в безопасности! Кардеры не дремлют!
Malwarebytes Labs - The Security Blog From Malwarebytes | Malwarebytes Labs
The Security Blog From Malwarebytes
blog.malwarebytes.com
