18. maijs, 2016

Bankas automāti ir jaunie skimeri: blēži tos pārvelk savā pusē

Krieviski runājošā Skimer grupa piespiež bankas automātus palīdzēt viņiem zagt lietotāju naudu. 2009. gadā konstatētā Skimer bija pirmā bankas automātiem paredzētā ļaunprogrammatūra. Septiņus gadus vēlāk kibernoziedznieki atkārtoti izmanto šo ļaunprogrammatūru, taču gan blēži, gan programma ir attīstījusies un tagad rada vēl lielākus draudus bankām un to klientiem visā pasaulē.
Veicot izmeklēšanu pēc incidenta, speciālistu grupa atklāja noziedzīgu plānu un konstatēja uzlabotu ļaunprogrammatūras Skimer versiju kādā bankas automātā. Tā bija tur izvietota un atstāta neaktivizēta, līdz kibernoziedznieks nosūta tai pārbaudi — lietpratīgs veids, kā noslēpt savas pēdas.
Skimer grupa uzsāk darbību, caur fizisku piekļuvi vai bankas iekštīklu iegūstot pieeju bankas automātu sistēmai. Pēc sekmīgas Backdoor.Win32.Skimer instalēšanas sistēmā tā inficē bankas automāta kodolu — izpildāmo, kas ir atbildīgs par ierīces mijiedarbību ar bankas infrastruktūru, naudas apstrādi un kredītkartēm.
Tad noziedznieki pilnīgi kontrolē inficētos bankas automātus, taču viņi virzās piesardzīgi un rīkojas izveicīgi. Viņi nevis uzstāda skimēšanas ierīces (īstajam karšu lasītājam uzlikts krāpnieku dubultnieks), lai novilktu karšu datus, bet gan pārvērš par skimeri visu bankas automātu. Kad bankas automāts ir sekmīgi inficēts ar Backdoor.Win32.Skimer, noziedznieki var savākt visu naudu no bankas automāta vai ņemt datus no bankas automātā izmantotajām kartēm, tostarp klientu bankas konta numuru un PIN kodu. Parasti lietotāji nekādi nevar atšķirt inficētus bankas automātus. Tiem nav nekādu fizisku kaitniecības pazīmju, kā tas ir gadījumos ar skimēšanas ierīci, kad pieredzējis lietotājs var konstatēt, ka tā aizstāj automāta īsto karšu lasītāju.
Snaudošais zombijs
Tieša naudas izņemšana no naudas kasetēm tiktu pamanīta uzreiz pēc pirmās inkasācijas, savukārt bankas automāta iekšienē var droši vākt datus no kartēm ļoti ilgi. Tāpēc Skimer noziedznieki nesāk rīkoties nekavējoties — viņi ļoti rūpīgi slēpj savas pēdas: viņu var atrasties inficētajā bankas automātā vairākus mēnešus, neveicot nekādas darbības.
Lai to pamodinātu, noziedzniekiem ir jāievieto īpaša karte, kuras magnētiskajā joslā ir noteikti ieraksti. Pēc ierakstu nolasīšanas Skimer var vai nu izpildīt pamatkodā ieprogrammētu komandu, vai arī pieprasīt komandas caur speciālu izvēlni, kas ir aktivizēta ar šo karti. Skimer grafiskā saskarne parādās ekrānā tikai pēc tam, kad karte ir izgrūsta un mazāk nekā 60 sekunžu laikā noziedznieks ar PIN koda tastatūru īpašā veidlapā ievada pareizo sesijas atslēgu.
Izmantojot šo izvēlni, noziedznieks var aktivizēt 21 atšķirīgu komandu, piemēram, naudas izsniegšanu (40 naudaszīmes no norādītās kasetes), ievietoto karšu informācijas vākšanu, pašizdzēšanos, atjaunināšanu (no atjauninātā ļaunprogrammatūras koda, kas ir ietverts kartes mikroshēmā) u. c. Turklāt, kad Skimer vāc karšu informāciju, tas var saglabāt datni ar izrakstiem un PIN kodiem tās pašas kartes mikroshēmā vai izdrukāt savākto karšu informāciju uz bankas automāta kvītīm.
Parasti noziedznieki izvēlas nogaidīt un savākt nolasīto karšu datus, lai vēlāk izgatavotu šo karšu kopijas. Ar šīm kopijām viņi dodas pie citiem bankas automātiem, kas nav inficēti, un izņem naudu no klientu kontiem. Tādējādi noziedznieki var nodrošināt, ka inficētie bankas automāti netiks drīzumā atklāti.
Zagļu veterāns
Skimer bija plaši izplatīts no 2010. līdz 2013. gadam. Tā parādīšanās izraisīja pret bankas automātiem vērstu uzbrukumu skaita strauju pieaugumu, un identificēja līdz pat deviņām atšķirīgām ļaunprogrammatūru ģimenēm. Tas ietver 2014. gada martā atklāto Tyupkin ģimeni, kas kļuva par vispopulārāko un visvairāk izplatīto. Taču tagad, šķiet, darbā ir atgriezusies Backdoor.Win32.Skimer. Pašlaik nosaka 49 šīs ļaunprogrammatūras modifikācijas, no kurām 37 ir paredzētas bankas automātiem, ko izgatavo tikai viens no galvenajiem ražotājiem. Visjaunākā versija ir atklāta 2016. gada maija sākumā.
Izmantojot VirusTotal iesniegtos paraugus, mēs varam novērot potenciāli inficēto bankas automātu ļoti plašo ģeogrāfisko sadalījumu. Skimer ģimenes 20 jaunākie paraugi tika augšupielādēti no vairāk nekā 10 vietām visā pasaulē: AAE, Francijas, ASV, Krievijas, Makao, Ķīnas, Filipīnām, Spānijas, Vācijas, Gruzijas, Polijas, Brazīlijas un Čehijas.
Tehniskie pretpasākumi
Lai novērstu šos draudus, iesaka regulāri veikt antivīrusu skenēšanu kopā ar balto sarakstu tehnoloģiju izmantošanu, labu ierīču pārvaldības politiku, pilnu diska šifrēšanu, bankas automāta ievadizvades pamatsistēmas aizsardzību ar paroli, atļaut tikai cietā diska palaišanu un izolēt bankas automātu tīklu no visiem citiem bankas iekšējiem tīkliem.
«Šajā gadījumā ir piemērojams kāds svarīgs papildu pretpasākums. Backdoor.Win32.Skimer pārbauda informāciju (deviņus noteiktus skaitļus), kas ir ieprogrammēti kartes magnētiskās joslas pamatkodā, lai noteiktu, vai tam ir jāaktivizējas. Mēs esam noskaidrojuši ļaunprogrammatūras izmantotos pamatkodā ieprogrammētos skaitļus un labprāt tos atklājam bankām. Kad bankām ir šie skaitļi, tās var preventīvi meklēt tos savās apstrādes sistēmās, atklāt potenciāli inficētos bankas automātus un naudas mūļus vai bloķēt visus uzbrucēju mēģinājumus aktivizēt ļaunprogrammatūru,» komentēja galvenais drošības pētnieks Sergejs Golovanovs.

Padalies ar šo ziņu sociālajos tīklos

Jānis Alksnis

Esmu moderno tehnoloģiju entuziasts ar ilggadēju un plašu pieredzi dažādās informāciju tehnoloģiju jomās, ar savu skatījumu uz lietu kārtību.

Spiediet šeit, lai atstātu komentāru

Avatar for as
as - 18. maijs, 2016 Atbildēt

Izklausās traki. Ir komentāri no LV bankām?

Avatar for Vārds
Vārds - 18. maijs, 2016 Atbildēt

Cilvēki ir pamatīgi pacentušies

Avatar for Tas pats.
Tas pats. - 21. maijs, 2016 Atbildēt

Iespaidīgi!

Vieta komentāram


Piedāvātais serviss ietver diskusijas un komentārus, kas atļauj mijiedarboties lietotājiem. Vietnes autors nekontrolē ziņojumus, informāciju un failus, kas tiek piegādāti ziņojumu dēlim. Lietojot šo servisu Jūs piekrītiet sekojošiem noteikumiem:

  • Jūs nedrīkstat traucēt citus lietotājus, saskaņā ar LR civillikumu.
  • Aizliegts nosūtīt, publicēt jebkāda veida nelikumīgu, draudošu, aizskarošu, apmelojošu, neslavu ceļošu, neķītru, vulgāru, pornogrāfisku, zaimojošu un piedauzīga rakstura informāciju t.s. bildes.
  • Jūs nedrīkstiet nosūtīt, publicēt informāciju, programmas vai jebkāda veida materiālus, kas aizsargāti ar LR likumu par autortiesībām.
  • Aizliegts nosūtīt, publicēt datus, kas var saturēt datorvīrusus vai arī datus, kas var saturēt kaitīgas komponentes.
  • Jūs nedrīkstiet nosūtīt, publicēt materiālus, kuriem ir komerciāls raksturs, ja tā nav iepriekš saskaņota ar vietnes autoru.
  • Vietnes autors neatbild par rakstu komentāru saturu un aicina lasītājus būt tolerantiem, iztikt bez rupjībām un saglabāt elementāras pieklājības normas.
  • Vietnes komentāros ir aizliegta jebkāda veida politiskā reklāma un aģitācija. Šī noteikuma neievērošanas gadījumā var tikt liegta iespēja pievienot komentāru uz nenoteiktu laiku.

Noteikumu neievērošanas gadījumā:

  • Bloga autors patur tiesības dzēst lasītāja komentārus un liegt pieeju blogam, kā arī bloga autors patur tiesības izmantot komentāru saturu pēc saviem ieskatiem.

Ja netiek ievēroti augstāk minētie lietotāju noteikumi, tiek uzskatīts, ka ir pārkāptas autora tiesības un atkarībā no pārkāpuma rakstura vai sekām pārkāpējs saucams pie likumā noteiktās administratīvās vai kriminālās atbildības.

lvLatviešu valoda