Как банкоматы превращаются в автоматы по выдаче денег без карты и ПИН-кода

Угрозы, направленные на банкоматы, постоянно развиваются, становясь все более изощренными и многомерными. Эти угрозы охватывают как традиционные физические методы, так и высокотехнологичные кибератаки, а также манипуляции с человеческим фактором. Глубокое понимание этих разнообразных методов является критически важным для разработки и внедрения эффективных стратегий защиты.

Банкоматы остаются ключевым звеном в доступе к финансовым услугам, несмотря на растущую популярность безналичных платежей. Преступность, связанная с банкоматами, ежегодно приводит к миллионным убыткам для финансовых учреждений, при этом атаки варьируются от относительно простых методов скимминга карт до сложных операций джекпоттинга, способных полностью опустошить банкомат. Отчеты Федерального бюро расследований (ФБР) подтверждают, что банкоматы продолжают оставаться центральным элементом преступной деятельности.

Наблюдается явная тенденция к эволюции атак на банкоматы от простых физических методов к сложным киберфизическим. Злоумышленники постоянно совершенствуют свои методы, что отражается в изменении тактики — от примитивных физических взломов до изощренных комбинаций физического доступа с эксплуатацией программного обеспечения или компрометацией сети.

Например, физические скиммеры прошли путь развития от тонких накладок до полноразмерных имитаций передних панелей банкоматов. Это постоянное развитие методов нападения указывает на непрерывную «гонку вооружений» между преступниками и системами безопасности. В результате, стратегии защиты должны быть многоуровневыми и адаптивными, охватывая все аспекты безопасности, чтобы противостоять этим постоянно меняющимся угрозам.

Физические атаки: От скимминга до взрывов

Физические атаки на банкоматы направлены на непосредственное извлечение денежных средств или данных путем прямого воздействия на аппаратное обеспечение устройства. Эти методы могут варьироваться от относительно «низкотехнологичных» подходов, таких как взрывы, до тех, что требуют специализированного оборудования, например, скиммеров.

Скимминг и шимминг

Скимминг представляет собой процесс установки мошеннического оборудования на банкомат с целью считывания и записи данных банковской карты. Эти данные впоследствии используются для изготовления поддельной карты, известной как «белый пластик». Преступники разрабатывают различные виды такого оборудования, которое постоянно «эволюционирует» и «маскируется» под оригинальные детали банкоматов, терминалов и элементов декора.

Шимминг (Shimming) является более продвинутой техникой, нацеленной на чиповые EMV-карты. При шимминге тонкое, похожее на бумагу устройство, называемое «шиммером», вставляется в считыватель карт для перехвата данных с чипа.

Скимминг долгое время был одним из самых распространенных способов хищения денег в Европе и Америке, его объем вырос в 546% с 2014 по 2015 год, согласно данным FICO Card Alert Service. Однако в России его популярность оказалась не столь высокой.

Внедрение EMV-чипов, безусловно, снизило эффективность традиционного скимминга магнитных полос, но одновременно стимулировало развитие более совершенных методов, таких как шимминг. По мере того как уязвимость магнитной полосы устраняется за счет EMV-чипов, злоумышленники адаптируются, разрабатывая новые методы, специально нацеленные на эксплуатацию чиповой технологии или ее недостатков реализации.

Атаки с использованием физической силы

Помимо скимминга, преступники активно применяют методы, основанные на физическом воздействии, для получения доступа к наличным средствам.

Взрывы банкоматов

Взрывы банкоматов являются одним из наиболее деструктивных методов, целью которого является непосредственный доступ к сейфу с деньгами. Для этого используются различные взрывчатые вещества:

• Взрывоопасные газы, такие как смесь ацетилена и кислорода или пропан
• Твердые взрывчатые вещества, включая ручные гранаты, пластиковую взрывчатку, C4, динамит и гелигнит

Часто взрывчатка вводится через имеющиеся отверстия в сейфе, например, через щель для выдачи наличных. В ответ на это разрабатываются контрмеры, такие как использование картриджей со специальными чернилами, которые помечают банкноты при обнаружении атаки, системы мониторинга и нейтрализации газа, а также усиленные сейфы (до 15 см армированного бетона, весом до 10 тонн).

Атаки «таранным ударом» и «вырыванием»

Атаки «таранным ударом» (Ram-raid) и «вырыванием» (Rip-out/Pull-out) предполагают использование транспортных средств, таких как грузовики, экскаваторы или погрузчики, для тарана банкоматов. Цель состоит в том, чтобы вырвать устройство из стены или получить прямой доступ к наличным.

Отдельно стоящие банкоматы для проезда (drive-up units) особенно уязвимы для таких атак. Для противодействия этим угрозам применяются контрмеры, включая установку барьерных ворот, противотаранных столбов (боллардов) и устранение «взлетной полосы» — достаточного пространства для разгона транспортного средства.

Карточное и денежное кэппинг

Карточное кэппинг (Card trapping) – это метод, при котором мошенники используют специальные устройства, чтобы захватить карту клиента внутри банкомата. Когда клиент, полагая, что банкомат неисправен, уходит, чтобы сообщить о проблеме, преступник извлекает карту и использует ее для снятия денег.

Денежное кэппинг (Cash trapping), в свою очередь, включает манипуляции с диспенсером банкомата. Мошенники вставляют устройства, которые задерживают наличные при их выдаче. Аналогично, когда клиент считает, что банкомат неисправен и уходит, преступник забирает застрявшие наличные.

Логические и программные атаки: Цифровые угрозы

Логические и программные атаки используют уязвимости в операционных системах, программном обеспечении и сетевой инфраструктуре банкоматов для получения контроля над устройством и принудительной выдачи наличных или кражи данных.

Джекпоттинг (Jackpotting)

Джекпоттинг – это мошенническое действие, при котором киберпреступники заставляют банкоматы выдавать наличные без авторизации, используя сложное вредоносное программное обеспечение. Этот процесс обходится без каких-либо стандартных мер безопасности и не требует законного доступа или учетных данных.

Методы заражения банкоматов для джекпоттинга часто требуют физического доступа к внутреннему компьютеру устройства, обычно через USB-порт или привод CD-ROM. В некоторых случаях злоумышленники могут получить доступ к внутренним сетям банка, что позволяет им удаленно устанавливать вредоносное программное обеспечение на банкоматы без непосредственного физического контакта.

Вредоносное ПО (Malware)

Вредоносное программное обеспечение играет ключевую роль в логических атаках на банкоматы, позволяя преступникам получать контроль над устройствами и принудительно выдавать наличные.

Tyupkin

Впервые обнаруженный в 2014 году, Tyupkin был активен более чем на 50 банкоматах восточноевропейских банков. Функционал Tyupkin позволял заставлять банкоматы добровольно выдавать все хранящиеся внутри деньги без использования карты или ПИН-кода.

Ploutus

Впервые обнаруженный в 2013 году в Мексике, новая версия этого вредоносного ПО была выявлена в 2021 году и нацелена на банкоматы в Латинской Америке. Ploutus является типичным примером утилиты прямой выдачи наличных.

Особенностью Ploutus является то, что он реализован на базе Microsoft.NET framework, что, с одной стороны, позволяет эффективно декомпилировать его код. Однако, с другой стороны, он защищен коммерческим обфускатором .NET Reactor, что делает анализ крайне сложным за счет шифрования строк, обфускации имен функций, проксирования методов и шифрования методов.

Атаки «Черный ящик» (Black Box Attacks)

Атаки с использованием «черного ящика» представляют собой серьезную угрозу для банкоматов. Метод заключается в том, что преступники отключают внутренний компьютер банкомата и подключают к диспенсеру (устройству выдачи наличных) неавторизованное внешнее устройство, часто представляющее собой мини-компьютер, называемый «черным ящиком».

Ключевая уязвимость, позволяющая проводить атаки «черного ящика», заключается в том, что критически важные элементы банкомата не проверяют подлинность своего окружения. Модуль выдачи денег будет выполнять команды любого подключенного к нему устройства.

Сетевые атаки

Сетевые атаки представляют собой значительную угрозу для банкоматов, эксплуатируя уязвимости в их сетевой инфраструктуре и коммуникационных протоколах. По оценкам, 85% банкоматов уязвимы для сетевых атак, для выполнения которых требуется доступ к сети банкомата и около 15 минут времени.

Основные типы сетевых атак:

Подмена процессингового центра — при этом методе преступники имитируют процессинговый центр банка, перехватывая и подменяя ответы на запросы банкомата. 27% банкоматов уязвимы для таких атак.

Атаки на доступные сетевые службы — эксплуатируют уязвимости в сетевых службах, работающих на банкомате. 58% банкоматов уязвимы для этого типа атак.

Атаки на сетевые устройства — целью является компрометация сетевого оборудования, подключенного к банкомату, такого как модемы или маршрутизаторы. 23% банкоматов уязвимы для этих атак.

Перехват карточных данных — особенно распространенная угроза, поскольку 100% банкоматов уязвимы для перехвата карточных данных.

Уязвимости, используемые хакерами

Успех атак на банкоматы часто обусловлен наличием фундаментальных уязвимостей, которые могут быть как техническими (программными, аппаратными), так и связанными с человеческим фактором или организационными недостатками.

Устаревшие операционные системы

Распространенность устаревших операционных систем является одной из наиболее критических уязвимостей в банкоматах. Множество банкоматов до сих пор функционируют на Windows XP Embedded, поддержка которой была прекращена в январе 2016 года, и Windows 7, поддержка которой завершилась в 2020 году.

Проблемы миграции на более новые операционные системы значительны. Этот процесс требует существенных финансовых затрат и времени, часто занимая до шести месяцев, а также часто требует обновления устаревшего аппаратного обеспечения.

Недостатки конфигурации и локальных политик безопасности

Помимо устаревших операционных систем, существенные уязвимости банкоматов обусловлены недостатками в их конфигурации и слабыми локальными политиками безопасности.

Физические уязвимости

Помимо программных недостатков, банкоматы имеют ряд физических уязвимостей, которые активно эксплуатируются злоумышленниками.

Одной из основных проблем являются слабые замки и использование «общих ключей». Часто по всей сети банкоматов используется один и тот же стандартный ключ для верхнего отсека, где находится компьютер. Такие ключи легко потерять, украсть или скопировать.

Уязвимости сейфов также представляют серьезную проблему. В отличие от традиционных офисных сейфов, хранилища банкоматов имеют технологические отверстия для кабелей питания, внесения и выдачи банкнот. Именно через эти отверстия преступники могут вводить взрывчатку.

Социальная инженерия: Человеческий фактор в атаках на банкоматы

Социальная инженерия представляет собой метод, используемый хакерами для манипулирования людьми с целью получения конфиденциальной информации или доступа к системам. В отличие от технических навыков взлома, она эксплуатирует человеческие ошибки и психологические манипуляции.

Манипуляция пользователями

Злоумышленники активно используют различные тактики для обмана обычных пользователей банкоматов:

• «Шоулдер-серфинг» (Shoulder surfing): Преступники подсматривают ПИН-код, когда клиент вводит его на клавиатуре банкомата
• Поддельные устройства: Установка фальшивых клавиатур или скрытых камер на банкомат
• Предложения «помощи»: Мошенники предлагают «помощь» клиентам с проблемами
• Вредоносные QR-коды: Размещение наклеек с вредоносными QR-кодами

Целевая социальная инженерия

Целевая социальная инженерия — это атаки, специально нацеленные на лиц, имеющих ценный для злоумышленника доступ, например, к финансовым ресурсам или административным привилегиям в банковской системе.

Методы включают:

Фишинг (Phishing): Отправка мошеннических электронных писем или сообщений, которые выглядят как от авторитетных источников.

Претекстинг (Pretexting): Создание вымышленного сценария или «претекста», чтобы обманом заставить жертву предоставить конфиденциальную информацию.

Кви про кво (Quid Pro Quo): Предложение выгоды в обмен на информацию.

Инсайдерские угрозы

Инсайдерские угрозы представляют собой значительный риск для безопасности банкоматов, поскольку они исходят от сотрудников банка или подрядчиков, которые имеют авторизованный доступ к банкоматам или внутренней сети.

Например, преступники могут специально устраиваться на работу в компании, предоставляющие техническую поддержку банкоматов, чтобы получить доступ и установить вредоносный код.

Последствия взломов банкоматов

Взломы банкоматов влекут за собой серьезные и многогранные последствия как для финансовых учреждений, так и для их клиентов, выходящие далеко за рамки прямой кражи наличных.

Финансовые потери

Для клиентов последствия также значительны. Украденная информация может быть использована для создания поддельных дебетовых карт, продажи данных на Dark Web или прямого снятия наличных со счетов жертв.

Репутационный ущерб

Взломы банкоматов наносят серьезный ущерб имиджу банка, особенно в случаях, когда деньги вкладчиков не защищены страховкой. Такие инциденты подрывают доверие клиентов к финансовому учреждению и могут привести к их оттоку.

Риски для внутренней сети банка

Банкоматы часто глубоко интегрированы во внутренние сети банка, что делает их «скрытой киберугрозой» и «часто упускаемым из виду путем» для проникновения киберпреступников в более широкую банковскую сеть.

Успешная атака на банкомат может стать первоначальной точкой входа, позволяющей злоумышленникам распространить угрозу по всей сети и перемещаться по ней латерально.

Примеры громких атак и группировок

История взломов банкоматов изобилует примерами сложных операций, проводимых высокоорганизованными преступными группировками.

Атаки на First Bank (Тайвань) и Government Savings Bank (Таиланд)

В июле 2016 года группа киберпреступников похитила более 2 миллионов долларов США из 34 банкоматов First Bank на Тайване. Примечательно, что не было зафиксировано физического повреждения банкоматов, а также не использовались скиммеры или банковские карты.

Деятельность группировки Cobalt Group

Группировка Cobalt Group, названная в честь используемого ими фреймворка Cobalt Strike, активна с июня 2016 года и специализируется на атаках на системы управления банкоматами. Их атаки были зафиксированы в различных странах Западной и Восточной Европы, СНГ и Азиатско-Тихоокеанского региона.

Организационная структура группировки четко иерархична: организатор атаки, операторы (взламывают сети и отдают команды банкоматам), организатор обналичивания и «денежные мулы» (обналичивают деньги).