Зампред Сбербанка Станислав Кузнецов, выступая на конференции во вторник, сообщил, что банк обнаружил новый способ кражи наличности в банкоматах, когда мошенники выкачивают деньги с помощью «специальной компьютерной шины».
«Тенденция появилась буквально четыре-пять месяцев назад. [Преступление] называется drilled box, когда просверливается дырочка в банкомате — в определенных видах банкомата, определенной марки, мы все их знаем — и подключается шина и с ее помощью выкачиваются мгновенно деньги», — объяснял Кузнецов (цитата по «РИА Новости»).
Других подробностей операции грабителей с банкоматами Кузнецов не назвал. Не сообщил он, и о каком производителе идет речь. В пресс-службе Сбербанка прокомментировать заявление зампреда также не смогли. РБК разбирался, как устроен этот вид мошенничества, как давно он появился и кто виноват в случившемся.
Хирургическая операция
Андрей Пастухов, гендиректор IT-компании «Ансер Про», которая занимается производством электроники для защиты банкоматов, рассказал РБК, что речь идет о банкоматах, производимых компанией NCR — одним из лидеров этого рынка. По данным компании, она обслуживает около 40 тыс., или 25%, действующих в России банкоматов.
«По подтвержденным данным, которые у нас имеются, речь идет о старых моделях [NCR], на которые установлена SDC-шина», — говорит он. Это, по сути, разъем, подключившись к которому, взломщик может с помощью своей программы дать команду банкомату выдать деньги. По словам Пастухова, случаи успешных атак были зафиксированы специалистами компании во время выездов на место преступления.
На сайте компании «Ансер Про» есть схема, на которой показан вариант такой атаки. Злоумышленники осуществляют ее с помощью мини-компьютера со шлейфом проводов для подключения к банкомату. Этот мини-компьютер специалисты по безопасности называют Black Box. Поэтому Пастухов удивляется термину «drilled box», озвученному зампредом Сбербанка.
При помощи сверла злоумышленник получает доступ к шине управления периферийными устройствами банкомата, в том числе диспенсером — устройством, которое управляет выдачей наличных. По словам Пастухова, отверстие чаще делают рядом с клавиатурой банкомата, на которой пользователи обычно вводят PIN-код. В этом месте легче вытащить разъем и подключить к Black Box, объясняет он.
Подключенное устройство подает управляющие команды на выдачу наличных, банкомат исполняет их и сам выдает деньги, рассказывает директор операционного департамента ВТБ24 Валерий Чулков. «Это своего рода нейрохирургическая операция. И для того чтобы «в поле» она прошла быстро и успешно, требуется практика», — добавляет руководитель отдела безопасности банковских систем компании Positive Technologies Тимур Юнусов.
Со сверлом в атаку
Специалисты по компьютерной безопасности и банкиры говорят, что такой способ вскрывать банкоматы известен давно. Первые упоминания о сверлах для проникновения к разъему управления диспенсером банкомата датированы еще 2013 годом, вспоминает Юнусов. До этого, говорит он, сверло использовали для того, чтобы заполнить банкомат газом и взорвать.
По словам Чулкова из ВТБ24, тип мошенничества, о котором сообщил Сбербанк, активно обсуждается в профессиональном межбанковском сообществе с 2015 года, а единичные случаи атак Black Box появлялись в России еще в 2010 году. Пастухов из «Ансер Про» говорит, что атаки с использованием Black Box начались с конца 2015 года и их количество с тех пор увеличилось в разы.
По данным Европейской группы по обеспечению безопасности банкоматов (European ATM Security Team, EAST), общие потери банков, которые те несут из-за вредоносного программного обеспечения и скиммеров (считывающих данные карты устройств), в этом году составили приблизительно €174 млн.
Старые банкоматы
По данным ЦБ, всего в России на 1 июля 2016 года было 203,5 тыс. банкоматов. Самыми популярными производителями у российских банков являются компании NCR, Diebold, Wincor Nixdorf, говорит Юнусов. «У каждого вендора найдется по две-три самые популярные модели. К каждой из них можно теоретически применить ту или иную атаку, все зависит от модели, настроек безопасности, недостатков конкретной сборки и человеческого фактора», — считает он.
Станислав Кузнецов в своем выступлении утверждал, что производитель банкоматов был информирован о случившемся, но реакции сразу не последовало. Сбербанк, по его словам, был вынужден поставить ультиматум: «либо мы не будем покупать ваши банкоматы, либо примите какие-то меры».
По словам вице-президента по продажам компании NCR Константина Хоткина, атаке Black Box могут подвергаться банкоматы всех производителей, при этом чаще злоумышленники выбирают наиболее популярные и почти всегда не самые последние модели.
«Что касается банкоматов нашего производства, атакам подвергаются устройства, которые выпускались до 2009 года. Система защиты была разработана более 15 лет назад и полностью отвечала требованиям того времени», — говорит он. После того как устройства стали списывать, не утилизируя должным образом, они стали доступны для злоумышленников, продолжает он, а те смогли создать для них программы и устройства для получения наличных. В новых банкоматах, которые выпускаются с 2008 года, по словам Хоткина, система защиты от таких атак уже была встроена.
Хоткин говорит, что его компания выпускала специальные обновления против Black Box для предыдущих моделей банкоматов, а на рынке существует несколько IT-решений по противодействию таким атакам. «К сожалению, о безопасности вспоминают только тогда, когда происходит потеря денег от действий злоумышленников», — резюмирует он.
Хоткин не уточнил, какое количество действующих банкоматов является морально и физически устаревшими и какие банки их используют. Не назвал эти цифры и Сбербанк. Как отметил Кузнецов, у Сбербанка сейчас примерно 80 тыс. банкоматов. Раньше, по его словам, их было 90 тыс., но банк сократил сеть почти на 10 тыс. устройств. По данным представителя одной из IT-компаний, Сбербанк и NCR ведут переговоры об обновлении ПО для старых банкоматов. Хоткин это не комментирует.
Возможные потери
Объемы возможных потерь Сбербанка от подобного рода атак никто из опрошенных РБК экспертов оценить не смог. По данным годовой отчетности Сбербанка за 2015 год, банк в прошлом году предотвратил свыше 154 тыс. попыток хищения средств граждан на 2,8 млрд руб. Но речь идет в основном о скимминге, об атаках Black Box банк не упоминает.
«Потери банков при отсутствии защиты могут быть серьезными. В банкомате в среднем находятся от 3 млн до 5 млн руб. Все их можно снять при помощь этой штуки. Если мы говорим о действии нескольких преступных групп, то потери могут составлять сотни миллионов рублей», — отметил руководитель блока электронного бизнеса Бинбанка Алексей Дегтярев.