Эксперты компании Positive Technologies протестировали банкоматы производства NCR, Diebold Nixdorf и GRGBanking и выявили потенциальные риски для банков и их клиентов.
Для атаки Black Box оказались уязвимы 69% исследованных банкоматов. Атака заключается в подключении к диспенсеру особого устройства, запрограммированного на отправку команд для выдачи купюр. В некоторых моделях банкоматов преступнику на это потребуется 10 минут, говорится в отчете.
Большинство банкоматов (85%) недостаточно защищены от атак на сетевом уровне, в частности от подмены процессингового центра, которая позволяет вмешаться в процесс подтверждения транзакции и подделать ответ от центра — одобрить любой запрос на снятие наличных или увеличить количество выдаваемых купюр. В исследовании также приводятся примеры атак на сетевые устройства — GSM-модемы, к которым подключены банкоматы: в результате можно развить атаку на другие банкоматы сети и даже на внутреннюю сеть банка.
Отмечается, что 92% банкоматов уязвимы для атак, связанных с отсутствием шифрования жесткого диска. Так, злоумышленник может подключиться к жесткому диску банкомата напрямую — и в том случае, если содержимое диска не зашифровано, записать на него вредоносную программу и отключить любые средства защиты. В итоге преступник получит контроль над диспенсером.
В 76% банкоматов возможна атака «Выход из режима киоска». Она подразумевает обход ограничений, установленных для обычного пользователя, и выполнение команд в ОС банкомата. По данным экспертов, на проведение такой атаки злоумышленнику понадобится 15 минут, а при тщательной подготовке и использовании автоматизации — еще меньше.
«В ходе анализа защищенности выяснилось, что в большинстве банкоматов можно свободно подключать сторонние устройства, — отмечает аналитик компании Positive Technologies Екатерина Килюшева. — Это позволяет злоумышленнику подключить клавиатуру или другое устройство, имитирующее пользовательский ввод. В большинстве случаев в банкоматах не было запрета на использование некоторых распространенных комбинаций клавиш для получения доступа к функциям ОС, а локальные политики безопасности были настроены некорректно или вовсе отсутствовали. В 88% банкоматов удалось обойти установленные решения класса Application Control из-за некорректного подхода к формированию списка доверенных приложений или из-за уязвимостей, в том числе нулевого дня, в коде самих средств защиты».
«В первую очередь логические атаки на банкоматы направлены на их владельцев, однако могут затронуть и клиентов банка, — отмечает руководитель группы исследований безопасности банковских систем компании Positive Technologies Ярослав Бабин. — При выполнении работ по анализу защищенности банкоматов мы выявляем уязвимости, связанные с возможностью проведения сетевых атак, ошибками конфигурации ПО и средств защиты, недостаточной защитой периферийных устройств. Все эти недостатки позволяют злоумышленникам похитить деньги из банкомата или перехватить данные платежных карт клиентов. Чтобы снизить риск атак, следует уделить внимание физической защите сервисной зоны, необходимо вести регистрацию и мониторинг событий безопасности как в инфраструктуре, так и на самом банкомате, что позволит вовремя реагировать на возникающие угрозы. Помимо этого, важно регулярно проводить анализ защищенности банкоматов, чтобы своевременно выявлять и устранять существующие уязвимости».