Как можно незаметно потрошить банкоматы

Как можно незаметно потрошить банкоматы


В текущем году СМИ активно освещали инциденты, связанные с ИБ и иной безопасностью, уделяя особое внимание финансовому сектору. Например, с начала года чуть ли не каждую неделю злодеи или просто отчаявшиеся люди предпринимали незаконные манипуляции с банкоматами, и информация об этом не сходила с лент новостей – просто не успевала сойти. Банкоматы вывозили, взрывали, взламывали, раскурочивали… А кое-кто при атаках на банкоматы использовал методы и инструменты, связанные с высокими технологиями.

Вот – одна из таких историй от ведущего эксперта по информационной безопасности InfoWatch - Марии Вороновой .



В один прекрасный или, скорее, не очень хороший день сотрудники банка выявили при инкассации его банкомата нехватку денежных средств. Размер недостачи был сопоставим с суммой закладываемой в банкомат денежной наличности, то есть оказался довольно значительным. Сотрудники не поверили своим глазам и актам выгрузки из банкомата, «скинули» недостачу на невыясненные обстоятельства и решили разобраться со счетчиками позже. Об этом происшествии они не поставили в известность ни службу экономической безопасности, ни отдел информационной безопасности. В банкомат снова загрузили денежные средства, а на следующий день он опять оказался пустым.

То же самое обнаружилось во время инкассаций в нескольких других офисах банка, территориально распределенных по регионам страны, – всего около 10 случаев. При этом во время инкассаций проводился визуальный осмотр, но каких-либо физических повреждений ни на одном из банкоматов выявлено не было.

Реагирование
Службы экономической, физической и информационной безопасности банка начали тщательно отрабатывать произошедшие инциденты. В спектр версий вошли как внешние атаки, так и инсайдерство. Меры принимались сразу в нескольких направлениях:
- задача №1 – минимизация вероятности продолжения серии атак для предотвращения дальнейших убытков;
- задача №2 – внутреннее расследование и сбор информации для подачи заявлений о возникновении страховых случаев в страховую компанию;
- задача №3 – подача заявлений в правоохранительные органы и взаимодействие с ними.

Действовать требовалось одновременно по всем фронтам и максимально оперативно. Кроме того, было решено безотлагательно провести инкассацию всех банкоматов банка (в первую очередь, тех, которые, по данным мониторинга, попали в «зону риска») на предмет подтверждения или опровержения факта мошеннических действий. В ряде регионов по согласованию с руководством было намечено снизить лимиты загрузки, в других – полностью разинкассировать банкоматы. Были временно закрыты для доступа 24-часовые зоны, в срочном порядке менялись на банкоматах пароли локальных администраторов и удаленных подключений.

Правда, несколько  региональных управляющих все же решили банкоматы не трогать, аргументировав это тем, что паника населения – страшнее. А в неспокойный кризисный год, когда банки закрываются один за другим, не работающие во всем регионе банкоматы станут поводом для слухов и «черного» пиара. А риск «обрушения» филиала банка из-за паники населения, подогреваемой слухами о скором отзыве его лицензии, – выше, чем риск потери денежных средств как таковых.

Расследование
Во время просмотра первой же записи с камер видеонаблюдения выяснилось, что банкомат выдавал деньги практически «добровольно» и большими пачками. Человек в надвинутой на лоб шапке с прижатым к уху телефоном подходил к банкомату, но не дотрагивался ни до его корпуса, ни до PIN-пада. Он просто подходил, и банкомат начинал выдавать деньги, которые человек с телефоном складывал в спортивную сумку. Сам он выглядел… как лицо неопределенной национальности среднего возраста и роста – что называется, без особых примет.

Примерно такая же картина была получена сотрудниками служб безопасности и правоохранительных органов по другим эпизодам. Различия состояли лишь во времени  реализации инцидентов (где-то они произошли в районе полуночи, где-то – ближе к 4–5 часам утра) и в количестве злоумышленников (от одного до нескольких человек, раз в 15–20 мин сменявших друг друга).  Каждая процедура изъятия денежной наличности занимала от 1 до 3 ч.



Одновременно шла работа в других направлениях. Были сняты образы с пострадавших банкоматов, и их исследованиями занялась служба информационной безопасности банка. Группа расследования запрашивала и уточняла данные по скомпрометированным банкоматам – марки, модели, места установки, IP-адреса. Кроме того, поднимались журналы системы мониторинга состояния банкоматов, лог-файлы сетевого взаимодействия.

Исследование снятых с банкоматов образов показало, что все лог-файлы на банкоматах были затерты. Но – не полностью. Обнаруженные остатки утилиты, предназначенной для затирания данных и, соответственно, следов преступления, а также заполнение файловой системы «мусором» показали, что отработала эта утилита почему-то не до конца – данные удалось частично восстановить.

P.S. Продолжение последует...уже совсем скоро!
name='cutid1-end'>
ошибки расследование мошенничество кардинг безопасность история инсайдер
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум

InfoWatch

Блог компании infowatch infowatch.livejournal.com