Citi Security & Investigative ServicesПротиводействие атакам на банкоматы с использованием вредоносного программного обеспечения

Mikhail Kutuzov EMEA Fraud Management March 30, 2015

Содержание

1. Новый вектор угроз для банкоматов.

2. Обзор техник, используемых мошенниками при атаках на банкоматы. Skimming и Cash-out operations.

3. Принципы построения системы защиты от атак с доступом к верхней части банкомата. Доступные инструменты защиты, их достоинства и ограничения.

2 04/15/23

3 04/15/23

Новый вектор угроз для банкоматов

4 04/15/23

Новый вектор угроз для банкоматов

Традиционные угрозы: Физическое проникновение в сейф, в котором хранятся наличные денежные средства (взлом, взрыв, похищение и тп).

Установка скиммингового оборудования на внешнюю часть банкомата.

Cash-trapping.

Что нового:Новый вектор атак – атаки с использованием вредоносного ПО, а также атаки с доступом к верхней части банкомата. В ней находятся такие важные компоненты, как компьютер, который управляет доступом к сейфу, и кард-ридер, который считывает информацию с банковской карты.

Этот вектор атак нельзя назвать совершенно новым. Банки в России и в мире сталкивались с этим вектором атак. Так в России подобные инциденты были зафиксированы в 2008 и 2009 годах. Однако за прошлый год количество и качество инцидентов существенно возросло.

5 04/15/23

Обзор техник, используемых мошенниками при атаках на банкоматы

6 04/15/23

Обзор техник, используемых мошенниками при атаках на банкоматы

Техники мошенничества:1. Получив доступ к верхней части банкомата мошенники могут:

•Получить контроль над диспенсером (cash-out operations)

– Заражение компьютера вредоносным ПО (“Jackpotting” malware attack)

– Подключение диспенсера к другому компьютеру (“Black Box” attack)

•Скомпрометировать данные об использованных в банкомате банковских картах (skimming)

– Установка скиммингового оборудования, которое невозможно обнаружить при внешнем осмотре банкомата

– Заражение компьютера вредоносным ПО (“information-stealing” malware attack)

2. Получение контроля над банкоматом путем проникновения в компьютерную сеть банка

7 04/15/23

Контроль над диспенсером (cash-out operations)

Заражение компьютера вредоносным ПО (Malware attack):Вредоносное программное обеспечение, будучи установленным на компьютер банкомата, дает возможность мошенникам посылать команды диспенсеру на выдачу наличных без использования банковской карты и авторизации со стороны банка.

Подключение диспенсера к другому компьютеру (“Black Box” attack): Также мошенники могут не внедряя вредоносное ПО в компьютер банкомата подключить диспенсер напрямую к своему ноутбуку и отправлять команды на выдачу наличных.

8 04/15/23

Skimming

Установка скиммингового оборудования, которое невозможно обнаружить при внешнем осмотре банкомата:Подключение к плате кардридера миниатюрного скиммингового устройства

Заражение компьютера вредоносным ПО (Malware attack): Вредоносное ПО, установленное на компьютере банкомата, также способно собирать информацию о банковских картах, которые были использованы в банкомате за период.

9 04/15/23

Проникновение в компьютерную сеть банка

Проникнув в компьютерную сеть банка мошенники также могут удаленно посылать команды в банкомат для выдачи наличных денежных средств.

Беспроводной keyboard, video, and mouse (KVM) switch:Физическая установка KVM устройства на компьютер, которое дает возможность удаленно контролировать компьютер внутри сети.

Заражение компьютеров при помощи фишинга: Массовая рассылка электронных писем, которые содержат ссылки на, а также вложения с вредоносным ПО.

Социальная инженерия: Мошенники звонят сотрудникам компании и под разными предлогами убеждают их перейти по ссылке или скачать приложение, которое позволит мошенникам получить удаленный доступ к компьютеру.

10 04/15/23

Принципы построения системы защиты от атак с доступом к верхней части банкомата

11 04/15/23

Принципы построения системы защиты от атак с доступом к верхней части банкомата

Защита на уровне программного обеспечения

Физическая защита

Выстраивание контрольных

процессов

12 04/15/23

Принципы построения системы защиты от атак с доступом к верхней части банкомата

Перед принятием решения о выборе инструментов защиты банкоматов необходимо провести risk assessment, учитывая как минимум следующие факторы:•Расположение банкоматов (банкоматы в публичных местах vs зоны с контролем доступа)

•Тип банкоматов (отдельно стоящие с фронтальной загрузкой vs межстенные банкоматы)

•Количество банкоматов в сети (200 vs 10 000)

Выстраивание контрольных процессов: •Процедура хранения и смены паролей

•Процедура обновления ПО на банкоматах

•Мониторинг выдачи наличных без использования банковской карты (особенно перед перезагрузкой)

13 04/15/23

Принципы построения системы защиты от атак с доступом к верхней части банкомата

Защита на уровне программного обеспечения:•Загрузка только с жесткого диска банкомата

•Установить пароль на изменения настроек BIOS

•Установить антивирусные решения

•“Application whitelisting”

•Аутентификация устройства, подключаемого к диспенсеру

Физическая защита доступа к верхней части банкомата:

•Сменить стандартную личинку замка

•Установить магнитные замки

•Датчики открытия/закрытия верхней крышки банкомата

•Звуковая сигнализация

14 04/15/23

Thank you

Mikhail KutuzovEMEA Fraud ManagementCell: +7(916) 240-3603Email: Mikhail.kutuzov@citi.com