2.6.5. Атаки на устройства самообслуживания (отмена транзакции)
В 2018 г., согласно данным, которые указывает Банк России в Обзоре несанкционированных переводов денежных средств, были зафиксированы следующие способы воздействия на банкоматы:
– прямое подключение к банкомату технических устройств, позволяющих им управлять;
– удаленное управление банкоматом, платежным терминалом, в том числе вследствие заражения вредоносным кодом;
– физическое воздействие на банкомат, платежный терминал (взрыв, взлом и т. д.).
В качестве основных способов воздействия на банкомат следует указать атаку типа blackbox и проникновение в банкомат изнутри локальной сети банка для загрузки программного обеспечения, взаимодействующего с диспенсером и обеспечивающего выдачу наличных денежных средств. Основное различие в фиксируемых атаках типа blackbox и атаках изнутри сети кредитной организации – в способе доставки вредоносного программного обеспечения.
Атака blackbox обычно начинается со вскрытия передней панели банкомата и подсоединения стороннего устройства. Чаще всего такое устройство представляет собой переходник – конвертер интерфейсов, например USB-RS485. Переходник через USB-кабель подключается к портативному компьютеру. Как правило, это недорогие, бывшие в употреблении ноутбуки, которые злоумышленникам не жалко бросить на месте проведения атаки. На компьютере установлена программа удаленного администрирования, например TeamViewer. С ее помощью подключается находящийся на удалении сообщник (либо организатор), запускающий программу, которая взаимодействует с диспенсером банкомата. От подобного рода воздействий может дополнительно защитить включение шифрования данных, передаваемых между диспенсером и системным блоком банкомата, однако на старых банкоматах или банкоматах, расположенных в удаленных от федерального центра регионах, такое шифрование применяется не всегда.
Вторая из наиболее популярных атак на устройства самообслуживания получила название TRF-атаки (transaction reversal fraud – мошенничество с отменой транзакций). Можно выделить два основных способа осуществления TRF-атаки: первый использует конструктивный недостаток отдельных моделей банкоматов, которые подготавливают денежные средства к выдаче, но держат их за закрытой шторкой шаттера («пре-кэш»); второй направлен на нарушение логики работы процессингового программного обеспечения.
В первом случае злоумышленник осуществляет «стандартный» съем наличных денежных средств, но не забирает карту из картоприемника. За время, пока банкомат не изъял карту, злоумышленник взрывает шторку шаттера, повреждая механизм шторки, и забирает подготовленные денежные средства. При этом банкомат прекращает клиентское обслуживание («out of service») и считает, что денежные средства не выданы, в результате чего происходит восстановление баланса на счете клиента.
Во втором случае эксплуатируется некорректность настроек некоторых процессинговых систем. Ошибка заключается в последовательности обработки запросов банка-эквайрера и банка-эмитента при выполнении операции возврата денежных средств на платежную карту отправителя, когда денежные средства переводятся от клиента к клиенту. Банк возвращает денежные средства на платежную карту отправителя, а от банка – эмитента платежной карты получателя приходит отказ в списании денежных средств, при этом с карты получателя деньги не списываются. В максимально короткое время после проведения такого рода операции происходит обналичивание обеих платежных карт во избежание блокировки денежных средств.
Упрощенно данный вид TRF-атаки выглядит следующим образом:
– в банкомате выбирается тип операции – Р2Р-перевод (от клиента к клиенту), указывается номер карты получателя;
– банк-инициатор одновременно направляет два авторизационных сообщения: банку получателя и банку отправителя;
– банку-инициатору практически одновременно приходит одобрение от обоих банков (в случае если операция возможна: имеется необходимое количество денежных средств на балансе карты отправителя и т. д.);
– выполняется фактический перевод: увеличивается сумма на карте получателя, одновременно такая же сумма холдируется у отправителя. Сценарий Р2Р-перевода в банкомате при этом еще не закончен;