Как можно незаметно потрошить банкоматы
В текущем году СМИ активно освещали инциденты, связанные с ИБ и иной безопасностью, уделяя особое внимание финансовому сектору. Например, с начала года чуть ли не каждую неделю злодеи или просто отчаявшиеся люди предпринимали незаконные манипуляции с банкоматами, и информация об этом не сходила с лент новостей - просто не успевала сойти. Банкоматы вывозили, взрывали, взламывали, раскурочивали… А кое-кто при атаках на банкоматы использовал методы и инструменты, связанные с высокими технологиями.
Вот - одна из таких историй от ведущего эксперта по информационной безопасности InfoWatch - Марии Вороновой.
В один прекрасный или, скорее, не очень хороший день сотрудники банка выявили при инкассации его банкомата нехватку денежных средств. Размер недостачи был сопоставим с суммой закладываемой в банкомат денежной наличности, то есть оказался довольно значительным. Сотрудники не поверили своим глазам и актам выгрузки из банкомата, «скинули» недостачу на невыясненные обстоятельства и решили разобраться со счетчиками позже. Об этом происшествии они не поставили в известность ни службу экономической безопасности, ни отдел информационной безопасности. В банкомат снова загрузили денежные средства, а на следующий день он опять оказался пустым.
То же самое обнаружилось во время инкассаций в нескольких других офисах банка, территориально распределенных по регионам страны, - всего около 10 случаев. При этом во время инкассаций проводился визуальный осмотр, но каких-либо физических повреждений ни на одном из банкоматов выявлено не было.
Реагирование
Службы экономической, физической и информационной безопасности банка начали тщательно отрабатывать произошедшие инциденты. В спектр версий вошли как внешние атаки, так и инсайдерство. Меры принимались сразу в нескольких направлениях:
- задача №1 - минимизация вероятности продолжения серии атак для предотвращения дальнейших убытков;
- задача №2 - внутреннее расследование и сбор информации для подачи заявлений о возникновении страховых случаев в страховую компанию;
- задача №3 - подача заявлений в правоохранительные органы и взаимодействие с ними.
Действовать требовалось одновременно по всем фронтам и максимально оперативно. Кроме того, было решено безотлагательно провести инкассацию всех банкоматов банка (в первую очередь, тех, которые, по данным мониторинга, попали в «зону риска») на предмет подтверждения или опровержения факта мошеннических действий. В ряде регионов по согласованию с руководством было намечено снизить лимиты загрузки, в других - полностью разинкассировать банкоматы. Были временно закрыты для доступа 24-часовые зоны, в срочном порядке менялись на банкоматах пароли локальных администраторов и удаленных подключений.
Правда, несколько региональных управляющих все же решили банкоматы не трогать, аргументировав это тем, что паника населения - страшнее. А в неспокойный кризисный год, когда банки закрываются один за другим, не работающие во всем регионе банкоматы станут поводом для слухов и «черного» пиара. А риск «обрушения» филиала банка из-за паники населения, подогреваемой слухами о скором отзыве его лицензии, - выше, чем риск потери денежных средств как таковых.
Расследование
Во время просмотра первой же записи с камер видеонаблюдения выяснилось, что банкомат выдавал деньги практически «добровольно» и большими пачками. Человек в надвинутой на лоб шапке с прижатым к уху телефоном подходил к банкомату, но не дотрагивался ни до его корпуса, ни до PIN-пада. Он просто подходил, и банкомат начинал выдавать деньги, которые человек с телефоном складывал в спортивную сумку. Сам он выглядел… как лицо неопределенной национальности среднего возраста и роста - что называется, без особых примет.
Примерно такая же картина была получена сотрудниками служб безопасности и правоохранительных органов по другим эпизодам. Различия состояли лишь во времени реализации инцидентов (где-то они произошли в районе полуночи, где-то - ближе к 4-5 часам утра) и в количестве злоумышленников (от одного до нескольких человек, раз в 15-20 мин сменявших друг друга). Каждая процедура изъятия денежной наличности занимала от 1 до 3 ч.
Одновременно шла работа в других направлениях. Были сняты образы с пострадавших банкоматов, и их исследованиями занялась служба информационной безопасности банка. Группа расследования запрашивала и уточняла данные по скомпрометированным банкоматам - марки, модели, места установки, IP-адреса. Кроме того, поднимались журналы системы мониторинга состояния банкоматов, лог-файлы сетевого взаимодействия.
Исследование снятых с банкоматов образов показало, что все лог-файлы на банкоматах были затерты. Но - не полностью. Обнаруженные остатки утилиты, предназначенной для затирания данных и, соответственно, следов преступления, а также заполнение файловой системы «мусором» показали, что отработала эта утилита почему-то не до конца - данные удалось частично восстановить.
P.S. Продолжение последует...уже совсем скоро!