В минувшую пятницу заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев сообщил, что мошенники изобрели беспроводной способ хищения средств через банкоматы. Об этом он заявил на XIX Всероссийской банковской конференции. При этом Сычев не раскрыл подробные детали, но отметил, что ЦБ проинформировал все банки о новом виде бесконтактного мошенничества.
Как пишет газета "Коммерсант" со ссылкой на источники, знакомые с рассылкой центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) ЦБ, речь идет о так называемом бестелесном, или бесфайловом, вирусе, который "живет" в оперативной памяти банкомата. Как пояснил один из собеседников издания, поскольку вирус не имеет файлового тела, его не обнаруживает антивирусное ПО и он может жить в зараженном банкомате сколь угодно долго.
Вирус направлен на хищение средств непосредственно из банкомата, который при введении заданного кода выдает всю наличность из первой кассеты диспенсера, где хранится 40 купюр самого крупного номинала (1 тыс. или 5 тыс. рублей). Как отметили источники, получить средства таким способом может любой, кто введет нужный код, но обычному человеку его подобрать сложно, слишком длительные попытки могут вызвать подозрение у служб безопасности банка.
Собеседники издания также уточнили, что вирус поразил устройства крупнейшего производителя банкоматов - компании NCR. Однако отказываться от этой марки банкиры не собираются, поскольку таким образом может быть поражен любой банкомат, поскольку все они работают под управлением OC Windows.
"Коммерсант" отмечает, что подобная схема атаки является новой для России, но в мире подобные случаи уже были. По словам директора по методологии и стандартизации компании Positive Technologies Дмитрия Кузнецова, хищение средств с помощью бесфайлового вируса под силу лишь профессиональным преступникам, которые взламывают внешний контур сети банка, проникают в компьютер специалиста, отвечающего за банкоматную сеть, а оттуда вирус попадает в отдельный замкнутый контур банкоматной сети.
Пока что специалисты не наши простого и эффективного способа борьбы с новым вирусом. Так, начальник управления информационной безопасности "ОТП-банка" Сергей Чернокозинский отметил, что при перезагрузке банкомата вирус по идее должен без следа удаляться из оперативной памяти, однако он может прописывать себя в специальный раздел автозагрузки операционной системы и при каждом перезапуске компьютера "возрождаться" вновь. Поэтому, пока эффективное решение проблемы не будет найдено, банкам остается лишь не допускать заражения банкоматов.
"Чтобы уберечься от подобных проникновений, банки должны усилить защиту внешнего контура и банкоматной сети. Однако особенность в том, что стоимость защиты хоста не зависит от количества банкоматов, подключенных к сети, сто или несколько тысяч", – отметил начальник управления по развитию систем самообслуживания "Альфа-банка" Максим Дарешин.
В свою очередь, собеседник издания в крупном банке признал, что в сложившейся ситуации банки с небольшими банкоматными сетями, сопоставив объем затрат и рисков, вряд ли охотно будут вкладывать средства в безопасность, предпочитая застраховать банкоматы от хищений. При этом такой подход будет стимулировать мошенников и далее распространять новый вирус.
Напомним, что в декабре прошлого года стало известно о похищении хакерами 100 млн рублей из одного из российских банков. Тогда сообщалось, что атака могла быть осуществлена за счет уязвимости в автоматизированной банковской системе, разработанной компанией "Диасофт", которую использовал данный банк.