Текст книги "Мошенничество в платежной сфере. Бизнес-энциклопедия"

Автор книги: авторов Коллектив

сообщить о нарушении

Текущая страница: 19 (всего у книги 22 страниц)

7.2. Некоторые виды атак на банкоматы и средства защиты

7.2.1. Физические атаки

Основные способы – это либо взлом сейфа на месте установки банкомата, либо хищение банкомата и его последующий взлом.

Проблема характеризуется тем, что большинство банкоматов оснащено сейфами первого класса устойчивости к взлому, что позволяет относительно просто и быстро их взламывать. В качестве инструментов используются шлифовальные машины типа «болгарка», газовые резаки, гидравлические инструменты для отжима дверей и др. Некоторое время назад по России прокатилась волна взломов банкоматов NCR, когда использовалась технологическая слабость запирающего механизма ригеля замка. В боковой стенке сейфа напротив середины ригеля с помощью фрезы высверливалось небольшое отверстие, в которое вставлялся прочный металлический стержень, по нему наносился сильный удар, и запорный механизм ломался. В последнее время, в том числе и в России (17 апреля 2013 г., Долгопрудный, ул. Гранитная, отделение Сбербанка), сейфы банкоматов стали взламывать, используя газообразные взрывчатые вещества. Ацетилен или бутан закачиваются в сейф, после чего производится детонация. Достаточно часто банкомат просто похищают и уже после этого вскрывают сейф, что дает больше времени для взлома и не требует какой-либо квалификации.

Штатная защита от хищений банкоматов – это их крепление:

1) к бетонному полу четырьмя анкерными болтами, закрепляемыми в скважине при помощи синтетической смолы, диаметром не менее 12 мм и глубиной не менее 150 мм;

2) к деревянному полу четырьмя анкерными болтами к стальной плите, которая крепится не менее чем четырьмя болтами к балкам перекрытия (рекомендации ATMIA). К сожалению (для банков), не каждый собственник помещения разрешит таким образом закрепить банкомат.

Предложение от производителей банкоматов по усилению устойчивости к взлому – это банкоматы с сейфами третьего класса. Такие банкоматы существенно тяжелее, что, с одной стороны, дополнительно затрудняет хищение самого банкомата, но с другой – накладывает определенные требования по обеспечению соответствующей стойкости к нагрузкам для перекрытий, на которые устанавливается банкомат. К тому же такие банкоматы дороже по стоимости.

Для предотвращения хищения и взлома банкоматов некоторые компании предлагают различные инженерно-технические средства.

Охранные системы. Банкомат оборудуется различными датчиками и выводом тревожного сигнала на пульт охранных структур. Рассмотрим некоторые недостатки данных систем. Во-первых, охранные системы значительно удорожают стоимость владения банкоматами: цена оборудования охранного комплекта и монтажных работ (разовые затраты), стоимость технического обслуживания и услуг оперативного реагирования на срабатывание сигнализации (ежемесячные затраты). Затраты на охранные системы могут превысить потери от хищений и взломов банкоматов. Во-вторых, у банкоматов отсутствует надежный канал передачи тревожного сигнала. Для этой цели обычно используют комплекс из проводной и беспроводной (сотовой) связи. Оба канала достаточно легко нейтрализуются: проводной канал легко обнаруживается и повреждается, для сотовой связи используют «глушилки» или повреждают антенну. В охранных системах исчезновение связи с объектом охраны воспринимается как срабатывание сигнала тревоги. Но для банкоматов пропадание канала связи по различным техническим причинам довольно частая ситуация. Дополнительно злоумышленники могут использовать имитацию обрыва связи как ложных срабатываний охранной сигнализации. Третья проблема – это реагирование на тревожный сигнал. Штатное время прибытия тревожной группы с момента поступления сигнала составляет 10–20 минут. Но в случае срабатывания, например, датчика открытия дверей сейфа банкомата прибытие тревожной группы в любом случае будет запоздалым, так как время между открытием сейфа (срабатывание датчика) и изъятием из него кассет с денежными купюрами составляет всего несколько секунд. Таким образом, установка данного датчика оказывается практически неэффективной. Для обеспечения более раннего реагирования на взлом сейфа банкомата используют другие типы датчиков: вибрации, нагревания, открытия верхнего кабинета, фальшпанели. Но даже они могут не дать ожидаемый результат. Если сейф банкомата (первой категории) вскрывает специалист, то время взлома составит менее пяти минут, что меньше расчетного времени прибытия тревожной группы. Если для взлома сейфа используют газообразные взрывчатые смеси, то указанные датчики также оказываются неэффективными. Даже если установить в сейф датчики-газоанализаторы, то время закачки газа и его взрыва окажется меньше времени прибытия тревожной группы. Для защиты от данной угрозы предлагается совместно с газоанализаторами, которые обнаруживают взрывоопасную смесь, использовать специальное устройство, которое распыляет специальный химикат и изменяет состав взрывчатой смеси, делая взрыв невозможным. Однако такая система может быть нейтрализована, если закачать газ в оболочку. Для того чтобы увеличить время с момента срабатывания сигнала тревоги до момента изъятия денежных средств, на рынке существуют предложения, затрудняющие действия злоумышленников. В качестве таких средств может использоваться стробоскопическая вспышка, безопасный туман (гликоль и вода), пиропатроны с красящими веществами и (или) перцовым газом. На использование таких систем необходимо разрешение собственника помещения. Также нужно иметь в виду, что система может сработать нештатно (ложное срабатывание). Если в дневное время в каком-либо торговом центре из банкомата пойдет слезоточивый газ, то, вероятно, у банка в связи с этим возникнут определенные проблемы. Дополнительные трудности для групп реагирования составляют места расположения банкоматов. Предположим, охранная сигнализация сработала на банкомате, который находится внутри здания (помещения) закрытого (под сигнализацией) в данное время (ночь). Группа реагирования прибывает к месту установки банкомата, но попасть в помещение не может. Необходимо дополнительное соглашение либо с собственником, либо с охранной структурой данного помещения, при этом срабатывание сигнализации на банкомате может быть ложным. В итоге получается, что охранная сигнализация на банкоматах, с одной стороны, достаточно дорогостоящее средство, а с другой – не может обеспечить 100 % безопасности денежных средств.

Для предотвращения хищений со стороны сотрудников инкассации производители банкоматов предлагают кассеты с функцией контроля открытия шторки кассеты.

В качестве универсального средства безопасности, которое должно сделать бессмысленным любое хищение денежных средств из банкоматов, предлагается использование специальных кассет, в случае несанкционированного вскрытия которых происходит окрашивание банкнот специальной краской. Нормативные документы Банка России позволяют использовать данное оборудование (см. Положение ЦБР от 24.04.2008 № 318-П и Указание ЦБР от 05.06.2009 № 2248-У). Но на сегодняшний день они не нашли применения в российских банках. Помимо общего увеличения стоимости банкомата, данные кассеты требуют определенного обращения со стороны служб инкассации для предотвращения ложных срабатываний. Помимо этого, нет гарантии, что купюры, залитые краской, не будут приняты банкоматами с функцией приема наличных в качестве платежеспособных. Прецеденты приема окрашенных евро российскими банкоматами уже были.

В качестве средства безопасности также предлагаются системы видеонаблюдения. Хотя необходимо заметить, что это скорее средство фиксации, которое не может затруднить хищение или взлом банкомата. При выборе данных систем необходимо учитывать следующие моменты:

1. Система работает в автономном режиме – видеоархив хранится локально на банкомате, удаленный доступ для проверки, настройки системы и получения видеозаписей отсутствует. Такая система не требует дополнительного канала подключения, что упрощает и удешевляет ее стоимость. Но для получения видеозаписи необходим выезд сотрудников к банкомату. В случае неисправности такой системы об этом может стать известно только после ее локальной проверки.

2. Система имеет удаленное подключение. Может быть реализован режим только удаленного контроля работоспособности либо дополнительно обеспечена возможность настройки системы и получения видеозаписей. Режим удаленного контроля работоспособности может быть реализован путем интеграции программного обеспечения системы видеорегистрации и банкомата и передачи статусов компонентов системы видеорегистрации по стандартному протоколу подключения банкомата. Удаленное получение видеозаписей требует дополнительного канала подключения.

3. Система видеорегистрации интегрирована с программным обеспечением банкомата. На видеозапись накладываются (в виде титров и записи в базу) системные события работы банкомата (карта вставлена, денежные средства выданы и др.). Интеграция может быть осуществлена по согласованию с производителем банкомата либо без такого согласования (информация в систему видеорегистрации поступает с уровня XFS). В последнем случае банк может иметь определенные проблемы с гарантийным и постгарантийным обслуживанием со стороны производителя банкомата.

4. Видеорегистратор выполнен в виде отдельного устройства или в виде платы видеозахвата, встроенной в системный блок компьютера банкомата. Второй вариант дешевле, но значительно уступает по надежности первому, так как проблемы одного устройства могут привести к проблемам на другом (одна операционная система, «зависание» и др.)

5. При выборе системы видеорегистрации также имеет значение, какие используются видеокамеры, качество видеозаписи, глубина архива.

6. При большом парке банкоматов и удаленном подключении системы видеорегистрации необходимо рассмотреть характеристики автоматизированного рабочего места оператора (контроль, мониторинг, настройка).

Необходимо отметить, что в настоящий момент наиболее востребованным средством минимизации потерь от физических атак на банкоматы является страхование самих банкоматов и находящихся в них наличных денежных средств. Остальные меры безопасности (охранная сигнализация, окрашивание купюр) на сегодняшний день являются для банков слишком затратными – потери от хищений меньше затрат на технические средства безопасности.

7.2.2. Интеллектуальные атаки

Наибольшие потери платежная индустрия несет от всевозможных скимминговых устройств, целью которых является получение информации с магнитной полосы платежной карты и ПИН-кода держателя. Скимминговые устройства могут либо накапливать информацию, либо сразу же передавать ее по беспроводным каналам.

Интересно, что в третьей версии стандарта PCI DSS (Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.0 November 2013) появились требования по отношению к скиммингу. Пункт 9.9 указывает, что необходимо защищать устройства, которые получают данные платежной карты через прямое физическое взаимодействие с картой, от вмешательства и замены (skimming). Однако в примечаниях оговаривается, что эти требования применяются к устройствам, используемым в транзакциях с присутствием карты в торговой точке. То есть требования предъявляются только к ПОС-терминалам, для банкоматов требований по защите от скимминговых устройств нет! (Требование 9.9 является рекомендацией, передовой практикой до 30 июня 2015 г., после становится обязательным.)

Рис. 7.1. Количество скимминговых устройств, выявленных в России. Данные АРЧЕ/АУМ

Копирование магнитной полосы осуществляется такими способами, как:

– установка скиммингового устройства на ридер банкомата;

– установка скиммингового устройства на штатную антискимминговую накладку ридера банкомата;

– установка скиммингового устройства на входной двери в помещение, где установлен банкомат;

– установка скиммингового устройства внутри банкомата;

Копирование ПИН осуществляется следующими способами:

– накладная ПИН-клавиатура;

– pinhole-камера;

– внешняя (вне банкомата) камера;

– ИК-камера.

Производители банкоматов, обеспокоенные данным явлением, стали предлагать дополнительные устройства для защиты банкоматов от этого вида угроз. На первоначальном этапе противодействия скиммингу использовались пассивные антискимминговые устройства, которые просто затрудняли физическую установку скимминга. Однако достаточно быстро появились скимминговые устройства, разработанные специально под пассивные антискимминговые накладки. В результате чего держатели не могли отличить, какое устройство установлено на банкомате.

Вскоре на рынке появились компании, предлагающие активные антискимминговые решения. Данные устройства делятся на две группы:

1. Обнаруживающие скимминговое оборудование: Intelligent Fraud Detection (NCR), secure anti-fraud enhancements (Diebold), Anti-Skimming Module (Wincor Nixdorf), ATMantiskim (ООО «ЛАН АТМсервис»).

2. Подавляющие работу скимминговых устройств: АЕРВ.468200.053 торговая марка «Цербер» (ООО «Ансер ПРО»), StopSkimmer® (ООО «ПиБиэФ Труп»), TMD Security (ЗАО «Новый город», ЗАО «СмартКард-Сервис»), Anti Skimming Solutions ASD (ООО «ПиЭсТи Компани»), Антискиммер-СБ (ООО «Код безопасности»), CardGuard (ООО «БТЕ-Сервис»).

Принципиальное отличие принципов работы первой группы от второй состоит в том, что устройства первой группы, обнаружив скимминговое оборудование, вынуждены либо оставить банкомат работающим и послать сигнал тревоги эквайреру, при этом подвергая риску компрометации карты держателей, либо отключить банкомат, при этом держатели не обслуживаются, эквайрер несет убытки. Устройства второй группы оставляют банкомат работоспособным, а карты держателей в безопасности, несмотря на установку скимминговых устройств. Дополнительно такие устройства могут комплектоваться также датчиками обнаружения скиммеров. Поэтому для банков на первый взгляд такие устройства выглядят более предпочтительными. Но какое конкретное решение выбрать, задача для банка не простая. Диапазон цен на один комплект может колебаться от $300 до $2000. Причем каких-либо методик испытаний либо заключений независимых испытательных лабораторий на сегодняшний момент нет. Каждый производитель заявляет, что его изделие выявляет или подавляет все виды существующих скимминговых устройств. Банк может либо поверить производителю, либо самостоятельно приобрести скиммер и проверить работу антискиммингового устройства. Однако это будет означать только то, что испытуемое оборудование эффективно на конкретном скиммере, какой результат будет на каком-либо другом – неизвестно. При этом необходимо отметить, что конструктивное исполнение излучающих электромагнитные волны (подавляющее излучение) антенн иногда требует очень точных монтажных работ. Смещение антенны на несколько миллиметров может привести к потере эффекта подавления. Дополнительно приходится учитывать и развитие технологий скимминга. Например, использование стереоголовок для считывания магнитной полосы. Такая стереоголовка настраивается таким способом, что одна дорожка читает второй трек магнитной полосы платежной карты, а другая – третий. При стандартном решении, когда третий трек на магнитной полосе пустой, получается стереоэффект (если на третьем треке записана какая-либо информация, то данная схема работает некорректно). Результирующий стереосигнал с двух дорожек обрабатывается, например, с использованием преобразования Фурье. Таким образом, возможно выделение полезного сигнала (информации с магнитной полосы платежной карты), который по амплитуде меньше электромагнитного шума. Эффективность скиммера можно усилить, используя различные материалы для электромагнитного экранирования (пермаллой, метглассы, др.).

Поэтому в настоящий момент банки иногда сталкиваются с ситуацией, когда банкомат был оборудован активным антискимминговым устройством, а компрометация карт все равно произошла. Подобная ситуация возникает не только из-за неэффективной работы антискиммингового устройства, но и в случае установки скимминга вне зоны ридера банкомата. Например, на входных дверях зоны обслуживания банкомата или внутри самого банкомата. Скимминговые устройства устанавливались в межстенные банкоматы путем вырезания отверстия в лицевой панели в районе ридера. Далее скиммер, изготовленный из бытового аудио/видео плеера, подключали к электрическим контактам ридера. В России такая атака была в первые зафиксирована в Москве в январе 2009 г. Во Франции в 2013 г. были обнаружены скимминговые устройства, которые крепились внутри банкомата с помощью магнита и использовали прижимные контакты для снятия электрического сигнала, данная схема обеспечивала очень высокую точность установки устройства. В 2013 г. в США в магазинах Nordstrom были обнаружены устройства, которые устанавливались в разрыв между ПОС-терминалом и компьютером кассы (PS/2) и перехватывали передаваемую информацию – трек. Аналогичные устройства могут быть использованы и в банкоматах: логгер можно установить в разрыв подключения ридера банкомата к компьютеру (USB-порт), перехваченная информация может передаваться по Wi-Fi. Такое устройство будет очень сложно обнаружить даже техническим специалистам при плановом обслуживании (если сотрудник его специально не ищет). В 2014 г. появились мини-скиммеры, которые имеют столь малые размеры, что размещаются внутри ридера банкомата. Помимо того что их очень сложно обнаружить визуально, также их сложно заглушить активным антискиммингом, так как они расположены внутри самого ридера банкомата, а для корректного считывания ридером информации с магнитной полосы карты активный антискимминг должен отключаться в этот момент.

Большой интерес по противодействию скимминговым устройствам представляет опыт «Голландских железных дорог». На своих терминалах по продаже железнодорожных билетов они использовали устройства компании Card Swipe Protection Technology B.V. (CSPTec), принцип действия которых основан на физической защите платежной карты от скимминговых устройств при ее движении вдоль магнитной полосы. Данное решение основано на оригинальном принципе противодействия. Все скимминговые устройства используют штатную функцию движения платежной карты вдоль магнитной полосы при ее помещении в ридер. Именно на этом этапе происходит перехват и копирование информации с магнитной полосы, в том числе и с комбинированных микропроцессорных карт. Производителям банкоматов и терминалов самообслуживания для нейтрализации данного элемента уязвимости необходимо просто изменить конструкцию и компоновку считывателя магнитной полосы платежных карт. Для этого ридер необходимо развернуть на 90 градусов. Карта должна вставляться в банкомат поперек магнитной полосы (полосой вперед-вниз), далее карта помещается в ридер (движение слева направо), магнитная полоса банковской карты находится внутри банкомата при движении в/из ридере (а) и защищена (отверстие ридера узкое) от скимминга, область, в которой держатель карты держит карту пальцами – широкая. Но данные конструктивные изменения возможны только со стороны производителей банкоматов, банки вынуждены покупать те банкоматы, которые предлагают вендоры.

Аналогичный принцип используется в антискимминговой системе ограничения доступа к банкомату StopSkimer Reader компании PBF Group (ООО «ПиБиэФ Труп). Специальный считыватель информации с магнитной полосы платежной карты используется в системах ограничения доступа в помещения, где установлен банкомат. Стоит отметить, что данная компания имеет патенты РФ на полезные модели от 02.09.2011 № 114543 «Антискимминговый кардридер банкомата» и от 21.09.11 № 114545 «Устройство изменения положения карты».

Изделие румынской компании MB Telecom Secure Revolving System (SRS) победило на международной выставке изобретений, проходившей в апреле 2013 г. в Женеве (Швейцария). Механизм SRS работает по следующей схеме: сначала пользователь вставляет карту в банкомат длинной стороной так, что магнитная полоса располагается параллельно стенке банкомата, после чего механизм поворачивает карту на 90 градусов, чтобы считать информацию с магнитной полосы. Затем карта поворачивается обратно и возвращается пользователю.

1 августа 2014 г. Фрэнк Натоли (Frank Natoli), руководитель подразделения, отвечающего за инновации в компании Diebold Inc., объявил о разработке в компании принципиально нового картридера, «неуязвимого для скиммеров». Держатель будет размещать свою карту в слоте картоприемника не узкой стороной, как это было до сегодняшнего дня принято во всем мире, а широкой. Именно за счет этого поворота карты на 90 градусов картридер ActivEdge исключает считывание информации с магнитной полосы карты всеми существующими сегодня типами скимминговых устройств. В дополнение к данному революционному конструктивному решению картридер передает в процессор ATM считываемую с карты информацию в зашифрованном виде, исключая тем самым саму возможность перехвата и компрометации данных на этом участке работы с картой. Каждый ридер планируется поставлять в комплекте со специально разработанной «под него» моделью банкомата, конструкция которого исключает физическую замену преступниками картридера ActivEdge на другой картридер. Представители компании Diebold также уточнили, что устройство «привязано» к конкретному банкомату, поэтому не может быть замещено. Также предусмотрена защита от так называемого внутреннего скимминга и USB sniffing. ActivEdge также имеет средства защиты против такого вида мошенничества, как card-траппинг (захват карты преступниками): в нем предусмотрен усиленный блокиратор карты внутри картоприемника.

Для защиты ПИН-кодов держателей карт производители банкоматов могли бы использовать решение доцента кафедры электропривода и электрооборудования Томского политехнического университета Олега Качина, который предложил новый способ ввода последовательности знаков в электронные устройства, в том числе в ПИН-клавиатуры: «Суть способа состоит в применении клавиатуры с ограниченным углом обзора клавиш и случайным распределением символов и соответствующих им функций по клавишам». Ограничение угла обзора нейтрализует скрытое видеонаблюдение за вводом ПИН-кода, а случайное распределение символов – накладные ПИН-клавиатуры.

Развитием скимминговых устройств со стороны злоумышленников является установка фальшивых банкоматов. Первый зарегистрированный случай установки поддельного ATM произошел в 1993 г., когда преступная группа, известная как Buckland Boys, установила такой банкомат в торговом центре Манчестера. В наше время данный способ мошенничества продолжает существовать. В июне и июле 2013 г. в России были обнаружены три фальшивых банкомата модели Wincor Procash 2050, которые копировали магнитную полосу карты и ПИН-код и передавали их по мобильному каналу связи (GSM). Банкоматы были приобретены после банкротства одного из российских банков. На банкоматах имелись названия банков: «Внешинвестбанк» и «Нефтегазбанк», установлены они были в г. Москве в торговом центре «Охотный ряд», в г. Сочи в торговом центре «Море Молл», в аэропорту «Внуково». Операции по скомпрометированным картам прошли в России, Гватемале и Пакистане.

Помимо фальшивого банкомата держатель карты может столкнуться с недобросовестным владельцем банкоматов. В ряде стран (например, США, Канаде и др.) любой гражданин может свободно купить банкомат, заключить соответствующие договоры на его обслуживание, установить и получать прибыль. То же самое могут сделать и мошенники. Программное обеспечение банкомата модернизируется таким образом, что после введения карты и ПИН-кода мошенники копируют информацию с магнитной полосы карты и сам ПИН. В США в декабре 2003 г. был арестован мошенник, который купил и установил в Калифорнии, Флориде и Нью-Йорке около 55 банкоматов. В результате этого он получил информацию о более чем 21 000 номеров банковских карт 1400 различных банков на сумму более $3,5 млн.

Определенную угрозу для банкоматов составляет так называемый программный скимминг, когда данные магнитной полосы копируются не с платежной карты, а перехватываются при их обработке программным обеспечением банкомата.

С декабря 2007 г. по июль 2008 г. группой лиц с использованием поддельных банковских карт через банкоматы г. Санкт-Петербурга было осуществлено хищение денежных средств со счетов российских клиентов. Характерной особенностью было снятие денежных средств по «своим» картам в «своих» банкоматах, суммы снятий были достаточно большими (обычно несколько сотен тысяч рублей), перед снятиями отмечались операции по проверке баланса. Иногда часть денежных средств с одной карты с большим доступным балансом переводилась на другую карту, которая также была поддельной, но с небольшим балансом доступных средств, и денежные средства снимались с двух карт одновременно. Пострадали более десяти российских банков, однако заявления о совершенных преступлениях поступили в БСТМ (Бюро специальных технических мероприятий) МВД РФ только от ГПБ (ОАО). В результате проведения комплекса оперативно-розыскных мероприятий 36 отделом Управления «К» БСТМ МВД РФ совместно с 9 отделом УСТМ ГУВД по г. Санкт-Петербургу и Ленинградской области было установлено, что организованная преступная группа осуществляет хищение данных с банкоматов, после этого похищенная информация используется для изготовления поддельных платежных карт и снятия наличных денежных средств через банкоматы. Данная группа использовала высокотехнологичные способы совершения преступлений, ранее не встречавшиеся на территории России. В связи с высокой степенью общественной опасности данного вида преступлений министр МВД РФ Р.Г. Нургалиев доложил о нем Президенту РФ Д.А. Медведеву 17.07.2009 г. Приморский районный суд г. Санкт-Петербурга вынес им приговор (см. приложение 1, уголовное дело № 772270, в книге «Безопасность карточного бизнеса: бизнес-энциклопедия»[115]115
  Доронин А., Демчев И.А., Алексанов А.К. и др. Безопасность карточного бизнеса: бизнес-энциклопедия. – М.: МФПА; ЦИПСиР, 2011.


[Закрыть]).

Информация с магнитной полосы платежных карт и ПИН-коды держателей похищались с использованием вредоносного программного обеспечения. Программа инсталлируется путем доступа к системному блоку компьютера банкомата. В USB-порт компьютера вставляется flash-память и под рабочей записью запускается исполняемый файл (пароли администратора и BIOS не используются). Осуществляется взаимодействие с оборудованием банкомата на уровне драйверов. Из транзакций перехватываются второй трек и ПИН-блок. У данной преступной группы имелась программа по генерации номеров карт активации. Карты активации генерировались по определенному принципу: часть трека карты составляла заданную константу. На основании этой константы вредоносное программное обеспечение на компьютере банкомата «узнавало» свои карты и позволяло войти в альтернативное меню, управлять которым можно было с ПИН-клавиатуры банкомата. Второй трек магнитной полосы внутри банкомата обрабатывается в открытом виде. Поэтому программа просто перехватывала его и записывала в файл. ПИН-блок на компьютере банкомата обрабатывается в зашифрованном внутри ПИН-клавиатуры виде, то есть на компьютере находится только криптограмма. Но вредоносное программное обеспечение могло расшифровывать ПИН-блоки с использованием штатной функции ПИН-клавиатур, в том числе для PCI EPP (ПИН-клавиатуры, сертифицированной по стандарту PCI DSS).

Было выявлено несколько версий инсталлятора вируса: test4.exe, test5.exe, test6.exe и др. При заражении:

• в директории с: /windows/создается файл, маскирующийся под легальный: lsass.exe (настоящий находится в директории system32);

• программа прописывается в реестр и загружается в память;

• осуществляется взаимодействие с оборудованием банкомата на уровне драйверов;

• из транзакций, направляемых в процессинговый центр, перехватывается второй трек и ПИН-блок;

• ПИН-блок расшифровывается на ПИН-клавиатуре (штатная функция);

• второй трек и ПИН-блок зашифровываются на собственном ключе вируса и записываются в файл trl или trl2 в директории с:/windows/;

• при инициировании транзакции по ранее сгенерированной карте (карты активации, начинаются с цифры 4) активируется ПИН-клавиатура;

• в течение 15–20 секунд можно начать вводить команды, нажимая определенные клавиши на ПИН-клавиатуре:

– запрос версии ПО банкомата;

– сколько накоплено информации (количество карт и ПИН);

– распечатать накопленную информацию на чековую ленту;

– записать накопленную информацию на SIM-карту;

– удалить накопленную информацию;

– удалить вирус (удаляется из памяти, переписывается в реестре в другое место, сохраняется на жестком диске);

– перезагрузить банкомат;

– выдать купюры (требует пароль).

В качестве карт активации использовались следующие карты: 4773419549651379, 4183557684583198, 4460308669682769, 4074195357318139, 4234342506353628, 4797711436470943, 4712874388376864, 4873134660204598, 4625190408744296, 4824182872942026. Программное обеспечение позволяет сгенерировать гораздо большее количество карт, но алгоритм работы генератора номеров был разработан таким образом, что при каждом нажатии на кнопку команды генерации в интерфейсе выдавался список карт из 20 номеров и при каждом новом запуске программы номера генерировались заново в том же порядке. Поэтому злоумышленники использовали ограниченный набор карт активации.

1 декабря 2008 г. о данной проблеме узнала компания производитель банкоматов Diebold, 11 декабря был произведен анализ вредоносной программы в США, 23 декабря была выпущена «заплатка» и предоставлена банкам. Зараженные банкоматы были выявлены в Санкт-Петербурге, Москве, Калининграде, Екатеринбурге, Кемерово, Новокузнецке, Новосибирске, Барнауле, Украине, Объединенных Арабских Эмиратах, ЮАР.

То же самое вредоносное программное обеспечение было обнаружено и на банкомате NCR 5877 в Санкт-Петербурге 5 марта 2009 г. Проведенный анализ показал, что было осуществлено копирование только вторых треков, ПИН-код не был расшифрован. Вредоносное обеспечение не было полностью адаптировано к банкоматам данного производителя.

Указанное вредоносное программное обеспечение на банкоматах Diebold имеет функцию выдачи купюр из кассет. Для ее активации программа запрашивает пароль, который формируется по определенному алгоритму, обычно один злоумышленник активировал команду на банкомате, вредоносное ПО выдавало код, в ответ на который нужно было ввести другой, связанный с ним. Код ответа сообщался сообщником по телефону. Данная уязвимость сохраняется и на сегодняшний день. Множество таких атак были отмечены в 2009–2010 гг. в России, в 2011 г. – на территории Украины.