Кибератаки на банкоматы получают все большее распространение, а злоумышленники используют все более изощренные методы для похищения финансовых средств. Мы зафиксировали несколько крупных атак на банкоматы в Таиланде, Индии, Латинской Америке, Европе и других странах за последние несколько месяцев. Похитителям удалось украсть миллионы долларов из разных банковских учреждений.

Атаки на банки можно разделить на две большие группы. Первые направлены на пользователя, в то время как другие на само финансовое учреждение.

Вот лишь некоторые из применяемых приемов кибератак на пользователей.

• Перехват экрана авторизации клиента в банковской системе.
• Обход средств защиты (например, виртуальной клавиатуры или двухфакторной аутентификации).
• Установка шпионской программы удаленного доступа (RAT) на зараженный компьютер (широко распространенный вид мошенничества в Южной Америке и Азии).

Что из себя представляют атаки непосредственно на финансовые учреждения? Подобный вид грабежей направлен также и на внутренние системы банков, компьютеры сотрудников и внутренние сети, что дает злоумышленникам доступ ко всей инфраструктуре, включая платежные терминалы, банкоматы, международные банковские переводы и важнейшие логи.

Зачастую злоумышленники используют целевые кибератаки (advanced persistent threat, APT), методы социальной инженерии и целевой фишинг на внутренних и внешних сотрудников для получения доступа к внутренним системам банка. В некоторых случаях мошенники взламывают только внутреннюю сеть банкоматов. Иногда они физически вмешиваются в работу одного банкомата, чтобы заразить все машины этой сети.

Одна из последних атак подобного типа была организована в России. Массовое заражение банкоматов было выполнено через внутреннюю сеть банковского учреждения. При этом распространялся бесфайловый вирус, который проникает в систему банкомата без какого-либо физического контакта и устойчив к перезапуску операционной системы на зараженном банкомате (как правило, они работают на Windows).

Вероятнее всего, что вредоносное ПО может храниться в основной загрузочной записи (MBR) жесткого диска, во встроенном программном обеспечении (BIOS или UEFI) или действовать в качестве троянской программы Poweliks, скрывающейся в реестре Windows.

После ввода особого кода зараженный банкомат выдает деньги из первой секции хранилища, где обычно хранятся банкноты самого крупного номинала. Этот метод известен как «джекпот в банкомате» и уже не раз использовался в прошлом.

Заражения банкоматов происходят все чаще и постепенно вытесняют методы с использованием банковских карт, которые требуют размещать оборудование на конкретном устройстве и сопровождаются серьезным риском обнаружения.

Банковское мошенничество как бизнес

Самые известные группы злоумышленников, занимающиеся банковским мошенничеством: Metel, GCMAN, Carbanak, Buhtrp/Cobalt и Lazarus. Они объединяют профессионалов с фундаментальными знаниями о банковских технологиях, взломе и программировании. Вероятно, они взаимодействуют с остальными криминальными группировками, в том числе связанными с отмыванием денег,  и возможно, сотрудничают с коррумпированными сотрудниками банков и носителями служебной информации. Их работа требует огромных временных затрат. Подготовка одной большой кражи может включать месяцы наблюдения, внедрения в новые системы, серверы и сети, изучения внутренних алгоритмов и механизмов проверки подлинности, прочих норм и правил. Малейшая ошибка может стать фатальной и привести к раскрытию всей деятельности группы. Чтобы обезопасить себя во время финального удара, мошенники тщательно заметают следы и уничтожают все записи и логи с данными о своих действиях. Это важный шаг, требующий тщательного планирования.

Атаки мошенников на банки совершаются все чаще, они применяют все более изощренные методы, чтобы похитить действительно серьезные деньги. Каждый удачный грабеж предоставляет средства на поддержание всей их инфраструктуры, разработку вредоносного ПО, изыскание лазеек, отмывание денег, а также на оплату работы курьеров и коррумпированных сотрудников банков. Некоторые правоохранительные службы (включая ФБР и Европол) уже много лет знают о данных группах. И все же их руководство и рядовые члены продолжают скрываться где-то в неизмеримых глубинах Интернета и Даркнета.

Хотя банкоматы обычно хорошо защищены от физического вмешательства, большинство из них работает на системах Windows (CE/2000/XP/7). Мы не знаем, регулярно ли обновляются операционные системы банкоматов. Скорее всего, их защиту обеспечивает ПО, установленное во внутренней сети. Надежность любой сети равна надежности ее слабейшего звена. Поэтому одна брешь внутренней сети подвергает опасности все связанные банкоматы. Следовательно, чтобы оградить их и внутренние системы от подобных нападений, банкам следует сосредоточить усилия на внутренней политике безопасности, технологиях и защите.

Времена меняются. Похоже, сегодня проще взломать банкомат при помощи программы, чем при помощи грубой силы. Это ставит перед банками новые вызовы.