На ежегодном международном форуме по практической безопасности Positive Hack Days 10, организованном компаниями Positive Technologies и Innostage, были представлены доклады на тему кибербезопасности. В специальной демонстрационной зоне Payment Village эксперты по безопасности банковских систем рассказали и показали, как работают различные платежные устройства и какие в них уязвимости, а также поделились интересными кейсами из проектов по анализу защищенности. После знакомства с теорией участники попробовали взломать банкомат, кассовую систему и POS-терминал.
Эксперт Positive Technologies Тимур Юнусов поделился, что взломы банкомата делят на несколько групп. Первая - физическая атака на банкомат, связанная с внешними угрозами, такими как взрывы или газ. Вторая группа - внешние устройства, такие как шимминг и скимминг, то есть все накладные устройства для похищения данных клиента. Третья группа - логическая уязвимость, она самая обширная. Логическая уязвимость позволяет вытащить деньги из банкомата, не использовав физические устройства. Она же делится еще на три подгруппы:
- уязвимость операционных систем: открываешь и покупаешь универсальный ключ и получаешь доступ к операционной системе и подключаешь мышку и клавиатуру, запускается специальная программа, которая есть в дарк-маркете, и вылезают наличные.
- сетевые атаки - когда хакер проникает в сеть банка и из него заражает сеть банкомата - так деньги могут быть вытащены из каждого банкомата в городе.
- Blackbox атака: хакер вместо подключения к компьютеру вытаскивает все провода, которые торчат из сервисного отсека, и подключает свое оборудование и отдает команду на выдачу наличных.
Практически на все атаки есть средства защиты, но все они отличаются в зависимости от вендора и самого банка. Если брать во внимание защиту от сетевых атак, то имеются специальные сервисы, которые стоят на банкоматах, и софт-программы для мониторинга и управления ATM. Сервисы, которые стоят на банкомате, могут быть уязвимыми, поэтому для банков очень важно корректно выбирать вендора, который продает такой сервис. Помимо этого на самом верхнем уровне все должно корректно «заворачиваться» в сетевую защиту, использование VPN, TLS, то есть шифрование конкретно банкомат-трафика, использование кодов аутентификации, это три самые простые и необходимые вещи для защиты банкомата.
Для примера: Positive Technologies проводит аудит модели банкоматов клиента и по результатам аудита пишет рекомендации банку, для того чтобы понимать, какие есть риски. Банк по результатам видит места уязвимости и вместе с экспертами строит рисковую модель, так чтобы убрать какие-то уязвимости, а другие увеличить до того уровня, который позволит банку больше себя обезопасить.
По словам Тимура Юнусова, руководителя отдела безопасности банковских систем, «злоумышленники могут превратить платежный терминал в оружие, которое позволяет нападать на банки-эквайеры, на банки-эмитенты, на держателей карт. Их фантазия может быть практически безграничной». Не случайно безопасности платежных инструментов и банковских систем на PHDays традиционно уделяется особое внимание.