81 ответов в этой теме

[News Robot]

24 марта 2009 года

Компания «Доктор Веб» сообщает о появлении новой угрозы в закрытых
сетях банкоматов некоторых российских банков. Уникальность
обнаруженного вируса состоит в его способности перехватывать данные о
банковских картах пользователей, которые ранее пользовались зараженным
банкоматом. Тем самым, с помощью полученной информации злоумышленники
получают возможность уводить со счетов людей все деньги, которыми они
располагают.

Банкоматы и раньше подвергались вирусным атакам, однако в худшем
случае они могли привести к некорректной работе данных устройств.
Появившийся недавно вирус действует иначе и способен нанести серьезный
ущерб клиентам российских банков, которые используют банкоматы.

Образец этого троянца Служба вирусного мониторинга компании «Доктор
Веб» получила через сервис онлайн-сканера. Dr.Web классифицирует
данную вредоносную программу как Trojan.Skimer. Троянский конь
собирает информацию о кредитных картах и PIN-кодах к ним.
Единственное, что требуется злоумышленникам, использующим данный
вирус, - подойти к банкомату, ввести код и получить на чеке распечатку
с данными потенциальных жертв мошенничества.

В связи с тем, что, как правило, сети банкоматов не связаны с
Всемирной Паутиной, единственный способ проникновения на них подобной
вредоносной программы - участие в этом людей, тесно связанных с банком
или являющихся их сотрудниками. Об этом также говорит тот факт, что на
банкоматах устанавливается специальное ПО, поставляемое
непосредственно их производителем. Соответственно, велика вероятность
того, что создавали данный вирус люди, близко знакомые с логикой
работы данного ПО и структурой его кода.

Все это подтверждает результаты проведенных ранее исследований,
свидетельствующих о том, что причиной утечек информации в организациях
финансовой сферы зачастую становятся их сотрудники. Тем не менее,
особенностью данной угрозы является тот факт, что ущерб наносится не
только репутации банков, но и их многочисленным клиентам, в частности
физическим лицам.


Читать оригинал

[Alexander Goryachev]

А для какой ОС троян?

P.S.
News Robot

велика вероятность
того, что создавали данный вирус люди, близко знакомые с логикой
работы данного ПО и структурой его кода

Сразу ассоциируется с Lane Hackers vs. Ageira Technologies, Inc.

[jk3]

В большинстве банкоматов операционка на *NIX ядре, или я не прав?

[Valery Ledovskoy]

В большинстве банкоматов операционка на *NIX ядре, или я не прав?

Ввиду специфичности ПО, нет особой разницы, под какой ОС оно запущено. Задача научиться использовать данное ПО в корыстных целях практически одинаково сложна под любой системой.
А на счёт того, что большинство под *NIX - это неверно.
Ну, вот, например, фотка по случаю
http://blog.threatexpert.com/2009/03/effec...-backdoors.html

Сам в бытность студентом (наверное, лет 10 назад) видел Рабочий стол Windows NT4 на одном из сбербанковских банкоматов
Весьма любопытное зрелище. Не думаю, что сейчас продукты MS используются в банкоматах в меньшей степени.
Да и по ссылке разбирается функционал вредоносной программки, заточенной явно под Windows.

[jk3]

Да уж, не знал, не знал, что оказывается что наши деньги в такой опасности.
Windows в банкомате -- это вообще по-моему не серьезно.
Ладно еще на приемных терминалах, которыми оплачиваешь услуги связи, и др.

[Valery Ledovskoy]

Ладно еще на приемных терминалах, которыми оплачиваешь услуги связи, и др.

"Ладно" - это потому что потенциальные жертвы по другую сторону находятся?
Взять бы так и перевести на WebMoney пару лимончиков

[jk3]

"Ладно", это потому что масштаб сумм совсем другой
Например, ты не будешь в этот приемный терминал 30 тыс. руб. засовывать, а вот в банкомате снять такую сумму -- запросто.

[sergeyko]

В большинстве банкоматов операционка на *NIX ядре, или я не прав?

Винда сплошь и рядом.

[Valery Ledovskoy]

Например, ты не будешь в этот приемный терминал 30 тыс. руб. засовывать, а вот в банкомате снять такую сумму -- запросто.

Тут у нас под боком сбербанковский офис, внутри стоит приёмный терминал. Принимает все купюры, в т.ч. 5-тысячные. И народ частееенько им пользуется для перевода довольно крупных сумм, когда я туда захожу. Оплачивают телефон, квартиру и прочее, прочее.

[jk3]

Тут у нас под боком сбербанковский офис, внутри стоит приёмный терминал

Я имею ввиду всякие Qiwi, CyberPlat и другие, а не официальные сберовские приемники.

И сколько раз я уже видел на этих терминалах и синий экран, и "Инструкция обратилась по адресу..." и всякое разное.
Правда в банкоматах кроме надписи Не работает больше ничего не видел

[ILNARus]

у нас ближ. банкомат постоянно с кнопкой пуск ...

[Pavel Plotnikov]

Тут у нас под боком сбербанковский офис, внутри стоит приёмный терминал

Я имею ввиду всякие Qiwi, CyberPlat и другие, а не официальные сберовские приемники.

И сколько раз я уже видел на этих терминалах и синий экран, и "Инструкция обратилась по адресу..." и всякое разное.
Правда в банкоматах кроме надписи Не работает больше ничего не видел

это ХР + оболочка на флеш.

[Serguey Shabashkevich]

В большинстве банкоматов операционка на *NIX ядре, или я не прав?

Винда сплошь и рядом.

Точно! Я не встречал банкоматов под юниксом, по крайней мере в Украине.

[jk3]

По информации Securitylab, взлом банкоматов произошел еще осенью, однако банки долгое время не хотели признавать факт массового взлома. Зараженными оказались банкоматы трех банков - "Петрокоммерц", "Росбанк" и "Бинбанк". Больше всего пострадали клиенты Росбанка.Зараженными оказались банкоматы, расположенные на станциях метро, которыми пользуется большое количество людей. Мошенники полностью опустошали счета ничего не подозревающих владельцев пластиковых карт, снимая деньги в банкоматах за границей. По информации пострадавшего клиента Росбанка, деньги которого обналичили в банкомате Загреба (Хорватия), несмотря на признание операций мошенническими и утечку данных о карте из банкомата Росбанка, возвращать деньги Росбанк не собирается. Сотрудники Росбанка заявили, что все опротестованные операции корректно авторизованы, поэтому невозможно опротестовать случаи несанкционированного использования карты.

Источник: http://www.securitylab.ru/news/376311.php

Я не встречал банкоматов под юниксом, по крайней мере в Украине

Не зря сервера microsoft работают на юниксе, иначе бы давно поломали.

Или брать ядро Linux и дорабатывать напильником под собственные нужды

[Amilo]

А Вы такой новостью панику не создадите? Люди побегут снимать через банкоматы деньги.

[Axel]

что-то непонятно, как сэмпл попал в вирлаб: тот, кто заражал, тот и отправил?

По информации Securitylab

по той же информации сейчас заражаются DSl-модемы под Linux

[Borka]

что-то непонятно, как сэмпл попал в вирлаб: тот, кто заражал, тот и отправил?

В новости говорится

Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера.

Действительно, непонятно. Равно как и то, что троян "распространяется" через банкоматы. Не на карточку же он садится.

[Amilo]

Свободная Пресса http://svpressa.ru/issue/news.php?id=6382
Мошенники снимают деньги с пластиковых карт клиентов банков с помощью уникального "трояна"

Сообщением о появлении компьютерных вирусов никого не удивишь. Программ защиты от них тоже достаточно. Но теперь стало известно, пожалуй, о первом случае обнаружения вирусов в банкоматах, при помощи которых собираются данные о номерах и PIN-кодах карт.

В 2003 году сеть из около 13 000 банкоматов Bank of America на время прекратила работу из-за вируса Slammer. В результате его деятельности работа всей сети сначала замедлялась, а потом и полностью могла остановиться. Жертвой подобных вирусов впоследствии стал целый ряд банкоматных сетей различных банков. Однако, кроме блокирования работы терминалов такие вирусы никаких других неудобств не доставляли.

Появившийся теперь вирус действует иначе. Непосредственно держатели карточек страдают впервые.

Информацию о заражении некоторых банкоматов «Свободной прессе» подтвердил Сергей Комаров, руководитель отдела антивирусных разработок компании «Доктор Веб»:

- Сомнений в этом нет. Судя по тем файлам, которые попали в руки наших специалистов, можно уверенно говорить, что вирусы писались под банкоматы конкретного производителя. А именно для банкоматов фирмы Diebold. Мы проанализировали вирус. Это троянец и он вышел в живую природу. Я видел, сообщения о том, что некоторые банки признали наличие этих вирусов у себя в сети банкоматов. Есть уже и пострадавшие клиенты банкоматов.

В нашей стране около 30% от числа всех установленных банкоматов приходятся на долю Diebold. Банкоматы этой фирмы есть, например, в «Росбанке», «Бинбанке», банке «Петрокоммерц», «Мастер-Банке», а так же в сети некоторых территориальных банков Сбербанка РФ.

«СП»: - Теперь мошенники могут снимать деньги с чужих карточек?

- В общем-то, да, это возможно. По сути своей, для того, чтобы получить номера карточек и PIN-коды, злоумышленнику достаточно подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв. В этом и уникальность нового вируса – он перехватывает данные с банковских карт пользователей, которые ранее пользовались "зараженным" банкоматом.

«СП»: - Как вирусы могли попасть в банкоматы?

- Вариантов попадания вирусов не так много. Мы считаем, что создать вирус для такого специализированного ПО, которое используется в банкоматах фирмы Diebold, обычный или даже очень продвинутый программист не мог. Под силу это только тем, кто очень хорошо знаком с логикой работы и структурой кода. Скорей всего эти банкоматы были заражены через сервисные центры, обслуживающие банки и банкоматы их работниками, либо производителями банкоматов, либо сотрудники банков. Что это стечение обстоятельств – маловероятно.

«СП»: - Что сейчас предпринимают, чтобы «вылечить» зараженные банкоматы?

- Я не знаю, какими защитными программами пользуются сервисные центры, обслуживающие эти банкоматы. Наша компания, как только обнаружила вирус, добавила его в свои базы и в течение уже недели мы с ним работаем. То есть если компьютеры, обслуживающие эти банкоматы хорошо защищены. То скорей всего, им ничего не грозит.

«СП»: - Сами клиенты банкоматов могут как-то защитить себя от того, что с их карточек снимут деньги?

- К сожалению, могу констатировать, что нет. Единственная, на мой взгляд, правильная защита сейчас для держателей карт – перекрывать доступные источники с достоверной информацией, смотреть, банкоматы каких банков были заражены и стараться обходить их стороной.

По сообщению сайта «М3-медиа», в компании Diebold так же подтвердили информацию о фактах заражения банкоматов. Там считают это взломом «низкого уровня», но те, кто это сделал, имели очень хорошие знания для того, чтобы внедрить вирус.

В московском офисе Diebold заверили, что производитель банкоматов предпринял все необходимые меры для защиты банков и их клиентов. На сегодня данный инцидент, по мнению представителей производителя банкоматов, исчерпан. «Компания проинформировала о случаях заражения вирусами банкоматов своих клиентов, им предоставлена специальная компонента ПО и подробная инструкция по безопасности, что, по мнению Diebold, должно минимизировать подверженность банкоматов действиям злоумышленников», — сообщили в компании. Несмотря на то, что подобные случаи за пределами России не зафиксированы, данная компонента программного обеспечения доступна клиентам по всему миру. «Мы также усиленно напоминает своим клиентам о необходимости следовать таким общепринятым в индустрии нормам безопасности, как ограничение физического доступа к банкоматам, управление паролями и обновления ПО, что минимизирует риск несанкционированного доступа к банкоматам».

Кстати, угрозы держателей карточек могут поджидать не только при использовании банкоматов. Недавно, например, в Лондоне была обнаружена целая партия POS-терминалов (с использованием этих устройств производится оплата картами в торговых точках), которые собирали данные о картах и вводимых PIN-кодах, а потом при помощи встроенного GSM-модуля отправляли информацию аж в Пакистан. При этом внешне такие терминалы не имели следов какого-либо несанкционированного проникновения.

[sergeyko]

что-то непонятно, как сэмпл попал в вирлаб: тот, кто заражал, тот и отправил?

В новости говорится

Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера.

Действительно, непонятно. Равно как и то, что троян "распространяется" через банкоматы. Не на карточку же он садится.

Пока нельзя ничего сказать ни о том, как он распространяется (скорее всего, вручную при личном контакте с банкоматом и наличием сервисного доступа к нему. А может транспорт к нам еще не попал), ни о том, почему троянец уполз в сеть. Вариантов масса.

[jk3]

А Вы такой новостью панику не создадите? Люди побегут снимать через банкоматы деньги.

Скорее наоборот, подождать пока не вылечат. Рисковать всем состоянием ради 100 рублей не стоит