Особенности защиты ATM-систем

Согласно исследованию Eclypsium, ATM-системы используют не слишком новое системное ПО, что подразумевает большое число уязвимостей. Какие существуют основные атаки на ATM-системы, приводящие к незаконному выводу денежных средств, и как обеспечить их информационную безопасность?

Разновидности атак

Прямой диспенс или джекпотинг (cash out) – это разновидность атаки, которая нацелена на POS-терминалы и ATM-устройства. Как можно догадаться из названия, суть атаки заключается в том, что в результате взлома вредоносным ПО или инструментами банкомат начинает выдавать наличные средства.

Скиммер – инструмент (логический или физический), размещающийся на ATM-терминале и копирующий данные PIN-кода для злоумышленников, чтобы далее он мог повторить операции по снятию/переводу денежных средств с проведенных через банкомат кредитных карт.

История

Банкоматные скиммеры проявились в 2009 году. Так,  в 2014 году был обнаружен Tyupkin – джекпот-вирус, после которого этот тип атак набрал популярность. В 2015 году была зафиксирована первая атака на ATM-системы из процессингового центра банка. И в 2017-2019 годах объем атак на ATM-системы практически удвоился. Из наиболее ярких представителей вредоносного ПО можно упомянуть WinPot, ATMTest, ATMDtruck, Metel Malware, ATMJackpot, Ploutus, ATMWizX and XFS_DIRECT.

Уязвимости

Исследователи компании Eclypsium, не первый раз занимающиеся анализом драйверов Windows, проанализировали распространенные реализации ATM- и POS-терминалов (далее – ATM-системы) на наличие в них уязвимостей драйверов системы. Надо понимать, что в большинстве ATM в качестве операционной системы используются разновидности ОС Windows, в том числе 7, XP, PE. И если ликвидная часть находится в отдельном защищенном сейфе, то компьютер, использующийся для обработки всех операций, достаточно доступен.

Рисунок 1_POS.jpg

Злоумышленник может получить доступ к I/O портам: сетевым, USB или PCI интерфейсам, или же получить доступ к нему по сети (если используется сетевое подключение банкомата через открытую сеть Интернет). И далее именно через уязвимости в реализации драйверов получить повышение привилегий в системе или доступ к выполнению команд и других вредоносных действий.

Рекомендации по защите ATM-систем

ATM-системы действительно часто используют не слишком новое системное ПО, а организовать регулярное обновление компонент для такого рода объектов достаточно сложно, так как оно может прямым образом повлиять на функцию одновременно множества устройств – а процесс восстановления может оказаться дороже, чем риски потери одного-двух устройств. Но и игнорировать вопросы безопасности с устройствами, напрямую занимающимися финансовыми операциями, нельзя.

В данном вопросе особенно важно проводить тщательный анализ рисков и соблюдать компромисс между безопасностью и непрерывностью бизнес-функции.

Часть рисков можно нивелировать средствами внешней физической защиты и качественного мониторинга (например, камеры, встроенные в стены банкоматы). Также для физической защиты существуют специализированные крепления на базе железных платформ.

Для сетевых подключений не использовать открытые сети, многие провайдеры дают возможность использования разного типа VPN-туннелей (GRE, IPSEC, итд).

Не стоит держать в парке совсем устаревшие устройства, они наиболее подвержены рискам взлома.

Многие решения по защите данных имеют реализации своих функций для ATM, среди них:

  • Антивирусные решения, а также средства контроля приложений и контроля целостности. Для ATM-систем особенно актуален принцип «белого списка», так как использующиеся на них ПО и процессы строго ограничены:

              o   McAfee Application Control (ex Solidcore),

              o   Kaspersky Embedded Systems Security,

              o   Safe'n'Sec TPSecure и др.

  • Средства анализа рисков и векторов атак.

  • Средства анализа кода для ATM приложений.

Таким образом, используя в корпоративной среде средства защиты, в скоуп их действий важно включать и ATM-сеть, а также использовать специализированные решения для защиты систем банкоматов, описанные выше.

Источник: IKS-Media

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах