Введите запрос для поиска

Скрыть поиск
Выборка по вкладам

К купюрам пробрались через сейф

В самых популярных на российском рынке банкоматах NCR обнаружена серьезная уязвимость, которая позволяет изымать наличность через сейфовую часть устройства. Производитель банкоматов NCR устранил дефект еще полгода назад, однако российские банки обновления не получили, а узнали об уязвимости только от корреспондента “Ъ”. Пользователи банкоматов в случае успешной атаки могут требовать возмещение от его производителя. Если только их не остановят репутационные риски, связанные с появлением публичной информации об успешной хакерской атаке на банк.

Вчера на конференции по информационной безопасности Black Hat в Лас-Вегасе эксперты Positive Technologies сообщили о выявленной компанией уязвимости наиболее популярных в России банкоматов производства американской компании NCR. Проблема заключается в том, что хакер может установить на контроллер диспенсера (сейфовой части банкомата для выдачи купюр) устаревшее и менее защищенное ПО с использованием технологии Black Box. А именно — подключить одноплатный компьютер к диспенсеру, используя недостатки защиты сервисной зоны банкомата, и отправить команду на снятие наличных. Уязвимости связаны с недостаточной защитой механизма записи памяти в двух моделях диспенсеров — S1 и S2.

По словам директора исследовательского центра компании Digital Security Романа Бажина, банкоматы NCR являются одними из самых распространенных в России. Только на сервисном обслуживании компании «Эн. Си. Ар., NCR A/O» находятся более 40 тыс. банкоматов (по данным ЦБ, общее количество банкоматов различных производителей на 1 апреля составляло около 200 тыс. шт.). При этом подавляющее большинство из них имеют диспенсер S1, банкоматы с диспенсером S2 распространены менее широко. По словам господина Бажина, выявленная уязвимость является очень серьезной.

К тому же чтобы ее исправить, необходимо устанавливать обновление программного обеспечения вручную на каждый банкомат. «Обновление достаточно сложное, потребуется подключаться к каждому устройству, а это весьма проблематично, учитывая большую территориальную распределенность банкоматов»,— подчеркнул эксперт.

Эксперты Positive Technologies выявили уязвимость и сообщили о ней в головной офис NCR. 6 февраля 2018 года NCR на своем сайте www.ncr.com вывесила пресс-релиз об устранении уязвимости, выпуске обновления и дала рекомендации его установить. Российские банки, которые используют эти банкоматы, узнали об уязвимости от корреспондента “Ъ”. Естественно, что они не получили и обновления программного обеспечения для ее устранения. Результат — резкий рост атак на банкоматы весной этого года. Только в апреле с использованием технологии Black Box было атаковано десять устройств; для сравнения, за весь 2017 год — 21 (см. “Ъ” от 25 апреля).

В ряде атак злоумышленники использовали именно выявленную уязвимость. «В апреле-мае мы зафиксировали несколько попыток атак на наши банкоматы с использованием техники Black Box,— рассказал директор департамента информационной безопасности МКБ Вячеслав Касимов.— Скорее всего, данная уязвимость использовалась в этих атаках». Атаки на банкоматы NCR с использованием Black Box наблюдаются c 2015 года, отметил эксперт, при этом политика подготовки исправлений у производителя не всегда позволяла эффективно справляться с угрозой. Банку удалось отбить атаки, пояснил Вячеслав Касимов, в МКБ для защиты применяются сторонние специализированные аппаратные средства защиты от Black Box, а также круглосуточный мониторинг и оперативное реагирование.

Однако неизвестно, насколько успешными были отражения атак в других кредитных организациях, чьи банкоматы злоумышленники пытались взломать с использованием технологии Black Box. По словам Романа Бажина, информация об успешных атаках тщательно скрывается банками, так как несет репутационные риски. В Банке России на вопрос “Ъ” о количестве атак на банкоматы с использованием технологии Black Box и их результативности отвечать отказались.

В NCR заявили, что сотрудничали с Positive Technologies в ходе расследования. При этом в компании утверждают, что «обнаруженные уязвимости были устранены и обновления были предоставлены». Помимо информирования об обновлениях в начале года, компания обновила их в августе «с учетом последней информации». Однако в NCR не ответили на запрос “Ъ”, почему кредитные организации вовремя не получили обновление.

Теоретически те, кто пострадал от связанных с эксплуатацией данных уязвимостей атак, могут предъявить иск к NCR по компенсации убытков. «Если у банка есть соглашение на обслуживание банкоматов, то в случае успешно проведенной атаки против них он может предъявить исковые требования по компенсации убытков к производителю, если соглашение заключено с ним, или к сервисным центрам, оказывающим услуги по их обслуживанию»,— отмечает глава АБ «Старинский, Корчаго и партнеры» Евгений Корчаго. Впрочем, в этом случае факт атаки станет публичным, и кредитная организация будет выбирать, что ей дороже — репутационные риски или потеря денег из банкомата.

Вероника Горячева

Источник: Газета "Коммерсантъ" №142 от 10.08.2018
Тэги:

Читайте также

Банковская империя Мусина тянет на дно Васильевский стекольный завод
Управляющий Татагропромбанка планирует инициировать банкротство Васильевского стекольного завода, задолжавшего банку 14,5 миллиона  рублей
Отечественный рынок акций в состоянии неопределённости
Глобально без изменений
ВТБ провел более 3 тысяч сделок с помощью электронной регистрации ипотеки
С начала года клиенты ВТБ, приобретающие квартиры в новостройках, оформили с помощью электронной регистрации ипотеки порядка 3 тысяч сделок на общую сумму 11 миллиардов рублей
Банк «Открытие» запустил программу управления сбережениями «Открытая перспектива»
Банк «Открытие» запустил новую программу управления сбережениями «Открытая перспектива»
Абсолют Банк запустил акцию по оформлению налогового вычета со скидкой 60%
С 13 августа по 13 ноября 2018 клиенты Абсолют Банка могут воспользоваться услугой по оформлению налогового вычета на недвижимое имущества са скидкой - 60%
Энергобанк снизил ставки по потребительским кредитам
Энергобанк снизил ставки по потребительскому кредиту под залог недвижимости и кредиту для пенсионеров
Компания ВТБ Страхование запустила новый сервис «Курьерская доставка»
Компания ВТБ Страхование запустила новый сервис «Курьерская доставка», который доступен в рамках продукта страхования портативной и бытовой техники «Все включено»
Альфа-Банк внедрил платформу на базе Tarantool для инвестиционного бизнеса
Инвестиционный бизнес Альфа-Банка получил высокопроизводительное транзакционное ядро на базе отечественной СУБД Tarantool
Выпуск от 17.08.2018: Самоаудит Минфина и ТОП-3 кредитов наличными
Минфин планирует проводить собственный аудит расходов бюджета и ТОП-3 кредитов наличными без обеспечения
Торговый оборот приложения «ВТБ Мои Инвестиции» превысил 5 миллиардов рублей в сутки
Ежедневный торговый оборот в рамках приложения «ВТБ Мои Инвестиции», запущенного в июне 2018 года, превысил 5 миллиардов рублей