Как се изкормяват банкоматите

Опакованият с пари банкомат е малко за престъпниците, които използват изключително сложни методи, за да стигнат до съдържанието му. В тази история с банка от топ 50 специалистите по сигурността успяха да я разберат напълно. Но натрапникът все още е на свобода.

Проблеми в банкомата

Медиите все по-често се позовават на инциденти, свързани с информацията и икономическата сигурност във финансовия сектор. Например почти всяка седмица злодеи или просто отчаяни хора предприемат незаконни манипулации с банкомати. По принцип грабителите се държаха грубо - извадиха банкоматите, взривиха ги, хакнаха ги и ги нокаутираха с водопроводни инструменти. Но имаше и случаи на използване на високи технологии.

Ето една такава история. Един хубав ден служители на банка (включена в топ 50 на руските банки) разкриха недостиг на средства по време на събирането на банкомата. Размерът на недостига беше съпоставим с размера на паричните средства, заложени в банкомата, тоест той се оказа доста значителен. Служителите не повярваха на очите си и на актовете за разтоварване от банкомата, „хвърлиха“ недостига поради неясни обстоятелства и решиха да се справят с броячите по-късно. Те не са информирали нито службата за икономическа сигурност, нито отдела за информационна сигурност за този инцидент. Банкоматът отново беше зареден с пари, а на следващия ден отново беше празен.

Същото нещо беше разкрито по време на събирането на пари в няколко други офиса на банката, географски разпределени в регионите на страната - само около десет дела на обща стойност около 10 милиона рубли. В същото време по време на инкасирането беше извършена визуална проверка, но на нито един от банкоматите не бяха открити физически щети.

Службите за икономическа, физическа и информационна сигурност на банката започнаха внимателно да отработват възникналите инциденти. Предложените версии включват както външни атаки, така и инсайдерство. Взети бяха мерки едновременно в няколко посоки. Необходимо е да се спре продължаването на поредица от атаки, да се проведе разследване и да се събере информация за подаване на искове за възникване на застрахователни събития до застрахователната компания, както и да се подаде заявление до правоприлагащите органи и да се установи взаимодействие с тях.

Решено е незабавно да се извърши събирането на всички банкомати на банката (предимно тези, които според наблюдението са попаднали в „рисковата зона“), за да се потвърди или отрече фактът на измамни действия. В редица региони, в съгласие с ръководството, беше планирано да се намалят лимитите за изтегляне, в други - да се освободят напълно банкоматите. 24-часовите зони бяха временно затворени за достъп, паролите на местните администратори и отдалечените връзки бяха спешно променени на банкомати.

Вярно е, че няколко регионални мениджъри въпреки това решиха да не пипат банкоматите с аргумента, че паниката на населението е по-опасна за банката. В една бурна кризисна година, когато банките се затварят една след друга, банкоматите, които не работят в целия регион, ще се превърнат в претекст за слухове и черен PR. Рискът от "колапс" на банков клон поради обществена паника, подхранван от слухове за предстоящо отнемане на лиценза му, е по-висок от риска от директна загуба на пари.

Хора в плетени шапки ...

Приблизително същата картина беше получена от службите за сигурност и служителите на реда в други епизоди. Разликите бяха само във времето на инцидентите (някъде те се случиха около полунощ, някъде по-близо до 4-5 часа сутринта) и в броя на нарушителите (от един на няколко души, които се заменяха на всеки 15-20 минути) ... Всяка процедура за теглене на пари в брой отнема от един час до три.

Изследване на изображения, взети от банкомати, показа, че всички регистрационни файлове на банкоматите са презаписани. Но не напълно. Намерените остатъци от помощна програма, предназначена да изтрие данни и съответно следи от престъпление, както и запълване на файловата система с „боклук“, показаха, че по някаква причина тази програма не работи напълно - данните са частично възстановени.

Има полезна програма KDiag, широко използвана от специалисти, която се използва за диагностика на банкомати на Wincor Nixdorf. Една от функциите му е тестване на работоспособността на механизма за издаване на средства. Стартира само когато банкоматът е в тестов режим и вратите на сейфа трябва да са отворени.

В резултат на анализа се оказа, че подобна програма, макар и до известна степен модифицирана, не само се намира на твърдия диск на банкомата, но също така е пусната в експлоатация. Предполага се, че модификацията на тази програма е премахнала ограниченията за стартиране.

. и хора в плетени пуловери

Основният въпрос беше как помощната програма стигна до банкомата. Оказа се невъзможно да се разбере - регистрационните файлове на обажданията до банкомата и други действия бяха заменени без възможност за възстановяване. Трябваше да отида от другата страна - беше възможно да разбера на кои работни станции на банката се намира тази помощна програма, нейната модифицирана версия и редица други файлове, следите от които бяха възстановени в банкомати.

Стандартните версии на помощната програма KDiag бяха намерени на редица компютри, служителите на които бяха свързани с обслужване на банкомати. И пълният набор от издирваните файлове (по-точно следи от местоположението им на сменяем носител, свързан с този компютър) е намерен само на един от компютрите. С номера на компютъра е идентифициран неговият собственик - служител, който поддържа банкомати и има достъп до целия им автопарк, включително отдалечен достъп с помощта на програмата RAdmin.

В тази ситуация концепцията за външна атака изглеждаше малко вероятна. И като се имат предвид методите и средствата, използвани при целенасочени атаки, внедряването на физически достъп до компютър изглеждаше абсолютно невероятно, направо архаично. В края на краищата беше възможно да се поставят инструментите, необходими за нападателя, на компютър, например с помощта на дистанционно управление.

На заседанието на работната група, занимаваща се с разследване на инцидентите, беше обсъден въпросът „вземете и намушкайте заподозрян или чакайте и гледайте? Все пак беше решено да не бързаме с помощта на специални автоматизирани инструменти за наблюдение да наблюдаваме работната станция, да се опитваме да съберем други доказателства и доказателства и ако възникне и най-малка нужда или потвърждение на съмнения, да се пристъпи към по-решителни действия.

Резултатите от мониторинга показаха, че заподозреният служител е много напреднал потребител: той създава виртуални машини на своя компютър, интересува се от състава и характеристиките на редица злонамерени програми, по време на периода на наблюдение (малко повече от седмица) деактивира и „разруши“ системата за наблюдение няколко пъти, чиито процеси в системата на операционната бяха замаскирани. И тази информация изобщо не съвпадаше с мнението за този служител, получено от неговия мениджър, който го описа така: „Той е бивш диригент и не е много добър в компютрите. Взехме го само за да може да сменя контролните ленти в банкоматите ".

Дебрифинг

След приключване на разследването банката направи някои заключения и взе мерки за допълнително предотвратяване на подобни инциденти, инициирани както отвън, така и отвътре. Важно е тези мерки да не изискват никакви допълнителни разходи.

Задължително присъствие в банката на всички инструкции, разпоредби и точността на тяхното изпълнение. Липсата на сума над 1 милион рубли по време на събирането на пари е събитие, за което във всеки случай е необходимо да се уведомят службите за сигурност и управлението. В описания случай това не е направено, тъй като обикновените служители не са получавали такива инструкции, не са знаели какво да правят и са се надявали на руснак може би.

Начини за свързване към банкомати. Схемите на свързване са преработени. Директният достъп до банкоматите е забранен, всички инструменти за отдалечено администриране са премахнати, оставени са само стандартни инструменти за отдалечен работен плот.