Bankomat na celowniku

Dotychczas informacje o karcie płatniczej kradziono za pomocą zewnętrznych czytników i kamer. Dzisiaj przestępcy znaleźli niewykrywalny dla użytkownika sposób - uruchomili trojana w systemie Windows zainstalowanym w bankomacie.

Wynika stąd, że przestępcy współpracowali z inżynierami, którzy zajmują się obsługą bankomatów oraz mieli dostęp do dokumentacji i oprogramowania używanego w tych urządzeniach. Według badaczy proceder ten musi trwać już dłuższy czas, gdyż powstało co najmniej 16 wersji tego trojana, przy czym najstarsza pochodzi z 2007 r. Oznacza to również bardzo intensywny rozwój złośliwego oprogramowania przeznaczonego do tak specjalizowanych zadań. Za takimi atakami musi stać rozbudowana sieć przestępców, którzy czerpią pokaźne zyski z nielegalnych transakcji dokonywanych na szkodę posiadaczy kart płatniczych.

Fakt kierowania malware do bankomatów wypłacających oprócz USD także ruble i hryvny wskazuje na to, że krajem docelowym eksploatacji tego kodu ma być Rosja i Ukraina. Być może w tych krajach kontrola pracy inżynierów serwisu stoi na niezbyt wysokim poziomie i same urządzenia nie są dostatecznie chronione. Prawdopodobnie także sama sieć połączeń między bankomatami jest niezbyt zaawansowana i wszelkie działania online przez wewnętrzną sieć są mało prawdopodobne. Można jednak oczekiwać dalszego rozwoju i specjalizacji ataków także w krajach rozwiniętych, gdyż bankomat jest uznawany przez użytkowników za urządzenie zaufane, znajdujące się pod kontrolą banku lub operatora transakcji.

Jak zabezpieczyć bankomaty

Jak zwykle najsłabszym ogniwem łańcucha jest człowiek. Należy opracować ścisłe procedury kontroli oprogramowania instalowanego w bankomatach, przeprowadzać regularne audyty. Najkorzystniejszym rozwiązaniem byłoby jednak przeniesienie instalacji systemu operacyjnego i oprogramowania sterującego bankomatem do nieulotnej pamięci sprzętowo zabezpieczonej przed nadpisaniem, z możliwością zdalnej weryfikacji zawartości. "Zagrożenie nie dotyczy realnie tych bankomatów, które są prawidłowo zarządzane, a ich sieć jest całkowicie odseparowana od Internetu" - mówi Raimund Genes.

Dlatego należy skorzystać z opracowanych wzorców i standardów. "Prace nad zapewnieniem bezpieczeństwa transakcji z wykorzystaniem kart płatniczych trwają już od kilku lat i w tym czasie wypracowano standard bezpieczeństwa - Payment Card Industry Data Security Standard, który obejmuje zarówno transakcje w punktach sprzedaży, jak i bankomaty. Zapewnienie zgodności z tymi wymaganiami jest najlepszym obecnie sposobem ochrony zarówno banku, jak i jego klientów" - mówi Hans-Peter Bauer, wiceprezes McAfee na Europę Środkowo-Wschodnią.

Dobrze dopracowane sieci połączeń bankomatów są całkowicie zamknięte, wykorzystują odseparowane urządzenia i nie ma możliwości dostania się do nich z zewnątrz. Rozsądek nakazuje także separowanie poszczególnych bankomatów od siebie, nawet w obrębie jednej sieci, aby uniknąć roznoszenia malware między nimi. Nie zawsze jednak tak jest. Można oczekiwać pojawienia się złośliwego oprogramowania, które będzie po cichu eksploitowało błędy którejś z usług systemu Windows i rozpocznie infekcję kolejnych maszyn w obrębie sieci. Jeśli zezwolą na jakiekolwiek połączenia przychodzące z innych adresów IP niż serwer monitorujący ich pracę, prawdopodobieństwo udanej infekcji znacznie wzrasta.

Tu działa wyłącznie Windows

Jeśli wierzyć statystykom podawanym przez operatorów sieci bankomatowych oraz informacjom opublikowanym przez banki, wszystkie bankomaty w Polsce pracują pod kontrolą systemów Windows. Najstarsze bankomaty, które pracowały pod IBM OS/2 wycofano jeszcze przed zakończeniem wsparcia dla tego systemu, co nastąpiło w 2006 r. Niektóre starsze bankomaty firmy Diebold wykorzystują Windows NT lub 2000, w najnowszych urządzeniach pracuje Windows XP.