Исследование RTM Group: банкоматы без сигнализации и сертифицированного ПО

Логотип компании
Исследование RTM Group: банкоматы без сигнализации и сертифицированного ПО
Банкоматы, установленные российскими банками, плохо защищены от физического воздействия со стороны злоумышленников. Почти 25% всех устройств дистанционного банковского обслуживания могут быть взломаны и ограблены. Такие выводы содержатся в исследовании безопасности различных моделей ATM, проведенном компанией RTM Group.

В рамках исследования эксперты RTM Group провели анализ таких параметров исполнения банкоматов, как тип корпуса, присутствие и прочность сейфа для купюр, организация сигнализации, способ контроля ПО, способ взаимодействия с периферийным оборудованием (клавиатурой, картридером, купюроприемником).

Авторы исследования пришли к выводам, что при доступе внутрь корпуса у 50% всех исследованных ими банкоматов сигнализация не сработает – банки не считают нужным устанавливать дополнительные системы охраны.

Содержание сигнализации, о которой идет речь, обходится дорого. Она должна быть подключена к пульту вневедомственной охраны Росгвардии или коммерческой, службы. А для этого объект должен соответствовать многочисленным требованиям ФГУП «Защита» МВД – наличие датчиков наклона, датчиков вскрытия инструментом и т.д. Стоимость установки такой сигнализации - 400 тыс. рублей на 100 банкоматов, и еще 100 тыс. рублей в год уйдет на содержание и замену по сроку годности, - комментирует в СМИ Светозар Яхонтов, генеральный директор Arudit Security.

Исследование также показало, что 30% устройств никак не защищены от атак вредоносного ПО, похищающего критичные данные карт (вводимые на клавиатурах ПИН-коды), от запуска купюроприемника на выдачу всех находящихся в нем наличных, который могут произвести злоумышленники. Часть устройств не оснащены функциями блокирования стороннего ПО после подключения к периферии. Большинство старых моделей ATM не оборудованы системами мониторинга, защищающих от установки скиммеров и специальных накладок на клавиатуру – с их помощью злоумышленники получают критичные данные карт (имя держателя карты, ее номер, срок действия, CVC- и CVV-коды, вводимый ПИН-код). Еще часть ATM продемонстрировала свою уязвимость к атаке на канал взаимодействия с процессинговым центром.

«Ни одна из известных нам систем, работающих в составе банкоматов, не прошла сертификацию ФСТЭК или оценку соответствия ОУД4, как этого требует ЦБ РФ», - ссылаются СМИ на комментарий пресс-службы RTM Group.

===================

Сертификация ФСТЭК – проверка соответствия ПО и IT-систем требованиям 152-ФЗ по защите персональных данных.

Оценка соответствия ОУД4 - оценка прикладного ПО на соответствие определенным критериям оценочного уровня доверия безопасности 4, сформулированным ЦБ РФ и описанным в ГОСТ 15408-3-2013.

ОУД4 предусматривает систематическое проектирование, тестирование и просмотр. Он позволяет достичь доверия, максимально возможного при следовании общепринятой практике коммерческой разработки.

===================

Банки, устанавливая банкоматы, акцентируют внимание на физической защите устройств и сетевой безопасности, упуская из виду вопросы защиты операционной системы и наличия чувствительной сигнализации, резюмируют аналитики RTM Group. Получатся, что их больше заботит сохранность наличных средств, чем безопасность критически важных данных своих клиентов.

Впрочем, комментируют специалисты Group-IB, инциденты с логическим взломом банкоматов, как и целевые атаки на банки с выводом денег через сеть ATM, за последние несколько лет практически прекратились. Сегодня в центре внимания злоумышленников – методы именно физического воздействия на устройства. Банкоматы взрывают, выдергивают тросами из отделений, пытаются внести на счет фальшивые купюры.

Банки всегда были привлекательны для грабителей, считают эксперты. Массовой культуре удалось героизировать образ ограбления банка в общественном сознании. Банк – это место, где всегда есть деньги. А в период кризисов негативный имидж банков в глазах общественности ухудшается.

Несмотря на то, что большинство преступлений сейчас совершается с помощью хакерских атак и социальной инженерии, банкоматы и отделения банка по-прежнему притягивают грабителей, комментируют в СМИ представители Сбербанка РФ. По данным пресс-службы, только за первое полугодие текущего 2022 г. Сбербанк успешно предотвратил 52 преступления в сфере физической безопасности. И большинство из этих инцидентов было связано с банкоматами, из которых злоумышленники хотели извлечь наличные: 37 раз ATM пытались вскрыть с помощью различных инструментов, 11 раз - взорвать.

В настоящее время увеличение числа подобных инцидентов характерно не только для России. Так, по данным издания NL TIMES, в конце октября текущего года полицейская служба Европейского союза (Европол) заявила о зафиксированном росте числа атак на банкоматы с использованием взрывчатки. Особенно часто такие атаки стали происходить в Нидерландах, Германии, странах Балтии и южной части Европы. По этой причине, сообщает Bloomberg, власти страны запретили банкам Германии оставлять фойе банковских отделений открытыми с 23:00 до 6:00. Ночной доступ к банкоматам теперь запрещен.

Читайте также
Проект «Экономика данных» обещает упростить жизнь: сделать госуслуги доступнее, Интернет — ближе даже к самым удаленным регионам, а проблемы с цифровым неравенством — менее заметными. Развитие искусственного интеллекта, поддержка ИТ-компаний и обучение специалистов — все это части большого плана, чтобы в будущем Россия могла уверенно войти в число цифровых лидеров. Как эти идеи будут работать на практике и что они изменят для каждого из нас? В интервью журналу IT Manager директор департамента цифровой трансформации и координации бюджетных расходов Минцифры России Алексей Чукарин рассказал, как данные стали ключевым ресурсом, трансформируя экономику и государственное управление.

Опубликовано 10.11.2022

Похожие статьи