Карты, деньги, два бага: погружаемся в программный взлом банкоматов
Всем привет! И вновь с вами аналитики из команды PT Cyber Analytics, и мы завершаем рассказ про исследование защищённости банкоматов. В первой части статьи мы подробно рассказали про устройство банкомата, принцип его работы и основные типы атак на банкоматы. Настало время перейти к самому интересному: логическим атакам.
За нами, читатель! Мы расскажем, как же всё-таки взламывают банкоматы без шума и пыли.
Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных деяний. Наша цель — рассказать о существующих уязвимостях, которыми могут воспользоваться злоумышленники, и дать рекомендации по защите. Авторы не несут ответственности за использование информации.
В ходе анализа защищенности банкоматов выявляются конкретные уязвимости, позволяющие реализовать описанные ранее атаки. Ниже представлена статистика по результатам наших исследований, которая отражает наиболее популярные уязвимости, приводящие к выдаче денежных средств.
Уязвимости, которые будут упоминаться далее, приводятся с идентификаторами вида PT‑ATM‑XXX: они используются в открытом сборнике логических атак на банкоматы, который подготовили наши специалисты. Сборник содержит подробные рекомендации по устранению уязвимостей и описания проверок для их поиска — это делает его полезным как для инженеров, обеспечивающих безопасность банкоматов, так и для специалистов по анализу защищенности. Ознакомиться с ним можно на GitHub, сборник доступен на четырех языках.
1. Атаки с внешним управлением диспенсером (black box)
Во всех исследованных конфигурациях банкоматов были обнаружены уязвимости прошивки диспенсера, позволяющие провести атаку типа black box. Такие атаки получили свое название из‑за того, что злоумышленник использует внешнее устройство (своего рода черный ящик) для управления диспенсером напрямую. Для проведения атаки необходимо иметь доступ к сервисной зоне банкомата, в которой располагается подключение диспенсера к системному блоку (далее — ПК). Подключив соответствующий кабель к собственному устройству вместо ПК, хакер получает возможность отправлять управляющие команды напрямую на диспенсер — в том случае, если не реализована достаточно эффективная защита встроенного ПО.
Большая часть уязвимостей, позволяющих реализовать атаку типа black box, связана с недостатками встроенного шифрования диспенсера, но встречаются и другие проблемы (общий рейтинг представлен ниже).
1.1. Слабый алгоритм шифрования и другие недостатки реализации криптографических алгоритмов (PT‑ATM-204)
Среди недостатков, связанных с шифрованием трафика между ПК и диспенсером, наиболее часто выявлялось использование слабого алгоритма шифрования: атакующий может эксплуатировать известные уязвимости алгоритмов для восстановления частей защищенного трафика и извлечения из него важной информации. К недостаткам, связанным с шифрованием трафика, также могут относиться использование несовершенного механизма генерации случайных чисел, применение жестко закодированных ключей шифрования и другие проблемы, требующие от злоумышленника изучения исходного кода прошивки.
1.2. Предсказуемые данные для аутентификации (PT‑ATM-203)
Другим распространенным недостатком прошивки диспенсера является использование предсказуемых данных для аутентификации, которая выполняется перед началом обмена информацией между ПК и диспенсером. Цель аутентификации — проверка подлинности источника управляющего трафика, который поступает на диспенсер: для этого используются сведения, позволяющие однозначно идентифицировать ПК банкомата как подлинный. Аутентификационные данные могут представлять собой статичные значения, сформированные на основе характеристик ПК или подключенных к нему устройств, — это позволяет атакующему, получившему доступ к сервисной зоне, воспроизвести необходимые значения, проанализировав конфигурацию ПК.
Кроме того, аутентификационные данные зачастую присутствуют на этапе обмена информацией, не защищенном шифрованием. Это позволяет извлечь их из USB‑трафика между ПК и диспенсером путем его прослушивания.
1.3. Другие уязвимости в ПО диспенсера (PT‑ATM-206)
Одной из распространенных проблем, связанных с прошивкой диспенсера, является небезопасный механизм доставки и проверки подлинности обновлений. В большинстве исследованных конфигураций эти механизмы были признаны ненадежными — злоумышленник может внедрить в них произвольный управляющий код. Загрузка такого обновления в прошивку может привести как к выдаче денег, так и к отключению встроенных защитных механизмов — например, для ряда исследованных конфигураций это позволило отключить проверки подписи команд, передаваемых на диспенсер.
Другим способом, позволяющим обойти встроенные механизмы безопасности прошивки, является переполнение буфера. Передав на прошивку диспенсера специально сформированный пакет данных, размер которого превышает максимально допустимый, злоумышленник может перезаписать данные в стеке функции своими значениями.
Рекомендации по защите от атак типа black box:
Использовать для передачи данных стойкие алгоритмы шифрования — например, AES в режиме, предусматривающем аутентификацию (таком как GCM или CCM).
Использовать надежные механизмы аутентификации, хранения и передачи паролей между ОС и диспенсером. К примеру, современные XFS‑платформы поддерживают физическую аутентификацию, при использовании которой передача ключей возможна только при подтвержденном доступе к сейфу.
Применять надежные механизмы формирования ключей шифрования, не использовать жестко закодированные секреты и предсказуемые инициализирующие значения для генератора псевдослучайных чисел.
Внедрить механизм проверки файлов обновления прошивки. Например, для этого могут использоваться ассиметричные криптоалгоритмы: в устройстве хранится публичный ключ, а файл обновления содержит подпись, которая проверяется в процессе обновления. Каждое обновление прошивки должно быть подписано разработчиком.
Строго проверять длину и формат входящих запросов к диспенсеру, чтобы снизить вероятность возникновения бинарных уязвимостей. Кроме того, следует дополнительно использовать механизмы защиты от переполнения буфера.
Рассмотреть использование средств аппаратной защиты от подключения к информационной шине диспенсера (таких как ATM Keeper, Cerber Lock или «ЗУБ‑Р») — они располагаются в сейфовой зоне банкомата, защищенной от злоумышленников. Неожиданное отключение диспенсера от ПК, равно как и незапланированная перезагрузка банкомата, должны расцениваться как потенциальное вторжение и сопровождаться срабатыванием сигнализации.
2. Получение доступа к ОС банкомата (обход режима киоска)
Перед тем как перейти к описанию следующих атак, необходимо поговорить о способах получения доступа к ОС банкомата. Если речь идет не о black‑box‑атаках, для которых достаточно прямого подключения к оборудованию, без этого шага не обойтись: обычный пользователь не имеет возможности взаимодействовать с банкоматом в полном объеме и ограничен интерфейсом, который предлагает ему приложение в режиме киоска. Ниже описаны уязвимости, которые позволяют хакеру обойти режим киоска и получить возможность выполнять команды ОС на банкомате, имея доступ только к сервисной зоне.
2.1. Отсутствие шифрования жесткого диска (PT‑ATM-231)
Отсутствие шифрования жесткого диска занимает отдельное место среди недостатков, открывающихся злоумышленнику с доступом только к сервисной зоне. Причина заключается в том, что этот недостаток не только является одним из наиболее распространенных и может быть использован для получения первоначального доступа к ОС, но и позволяет реализовать самый простой сценарий хищения денег, занимающий не больше 10 минут.
Простой пример получения доступа к ОС: при исследовании содержимого нешифрованного жесткого диска специалисты обнаружили BAT‑файл, запускаемый после полной загрузки системы при включении банкомата. В файл была добавлена строка start cmd.exe
— в результате после перезагрузки банкомата запускался интерпретатор командной строки. Таким образом, атакующий мог получить возможность выполнять команды ОС.
Однако этим коротким примером возможности, получаемые при прямом доступе к жесткому диску, не ограничиваются. Высокая опасность этого недостатка связана с тем, что, получив доступ к жесткому диску, хакер может как разместить на нем ВПО, так и изменить конфигурационные файлы для обхода средств защиты.
Кроме того, доступ к жесткому диску может стать и промежуточным шагом в более сложных сценариях хищения денег. Например, для эксплуатации уязвимостей в УПО банкомата необходимо иметь сведения о принципе его работы. Получение исходного кода УПО является трудной задачей для внешнего злоумышленника, наиболее доступным может стать изучение исполняемых файлов с использованием специализированного декомпилятора. Отсутствие шифрования жесткого диска позволяет хакеру скопировать исполняемые файлы УПО на рабочую станцию для дальнейшего изучения в более комфортной обстановке.
Несмотря на то что отсутствие шифрования жесткого диска — опасный недостаток, статистика по нему не улучшается в течение нескольких лет. Использование шифрования может не только закрыть самый простой способ хищения денег, но и усложнить проведение других атак, связанных с эксплуатацией уязвимостей УПО и обходом средств защиты.
2.2. Недостаточный контроль подключения USB‑устройств (PT‑ATM-004) и небезопасная конфигурация белого списка клавиш (PT‑ATM-001)
Если на подключение USB‑носителей к банкомату чаще накладываются ограничения (например, на некоторых устройствах это действие доступно только для администраторов), то подключение сторонних USB‑клавиатур по большей части не запрещается. Заранее отметим: это означает возможность подключения и других устройств, распознаваемых компьютером как относящихся к классу USB HID (к таким, например, относятся компактные Rubber Ducky и Flipper Zero).
Один из недостатков, напрямую связанный с подключением клавиатуры к банкомату, — возможность выхода из режима киоска путем использования сочетаний клавиш. Недостаточное ограничение наиболее распространенных сочетаний позволяет получить доступ к приложению, которое не должно быть доступно пользователю в нормальном режиме работы банкомата. К примеру, браузер по умолчанию (например, Internet Explorer или Edge) может быть использован для вызова проводника Windows и последующего запуска интерпретатора командной строки.
2.3. Прямой доступ к памяти (PT‑ATM-232)
Ранее уже было сказано, что подключение устройств к системному блоку банкомата доступно с использованием интерфейсов USB, Ethernet, PCI и COM. Если на материнской плате банкомата имеется свободный PCI‑слот, злоумышленник может попробовать провести атаку с использованием прямого доступа к памяти (direct memory access, DMA).
Суть атаки заключается в том, что через установленную в слот DMA‑плату (например, на базе ПО PCILeech или аналогичного инструмента) можно получить доступ к памяти устройства напрямую, минуя механизмы защиты операционной системы. Это позволяет считывать данные из памяти, включая передаваемую на банкомат платежную информацию, а также внедрять произвольный код напрямую в память. Фактически атака DMA позволяет злоумышленнику выполнять команды ОС с привилегиями ядра. Таким образом, атака DMA позволяет получить привилегированный доступ к ОС банкомата, что открывает хакеру еще больше возможностей для несанкционированных действий.
Для примера на рисунке ниже показан дамп оперативной памяти, содержащий номер банковской карты (PAN) — последовательность из 16 цифр, выделенную желтым цветом.
Рекомендации по предотвращению получения доступа к ОС:
Применять аппаратное или программное шифрование жесткого диска. Важно обеспечить безопасное хранение ключа шифрования — например, с использованием аппаратного модуля TPM (Trusted Platform Module). Категорически не рекомендуется хранить ключ в нешифрованном разделе диска.
Ограничить USB‑устройства, подключаемые в нормальном режиме работы банкомата. Для этого могут использоваться политики Windows и (или) средства защиты класса Device Control.
Ограничить применение распространенных комбинаций клавиш, не требующихся в нормальном режиме работы банкомата (таких как Win+F1, Alt+F4, Ctrl+Win+Enter, Alt+Tab, Ctrl+Alt+F12). Кроме того, следует ограничить использование жестов для сенсорных экранов, если это актуально для конкретной конфигурации банкомата.
Включить защиту от DMA‑атак. Например, для Windows доступны следующие способы:
открыть параметры безопасности Windows (
Windows Settings > Privacy & security > Windows Security
) и перейти к настройкам изоляции ядра (Device security > Core isolation details
). Выставить в положение On параметрMemory integrity
и убедиться в наличииMemory Access Protection
в списке доступных функций безопасности;выставить значение
On
параметраKernel DMA Protection
через приложение System Information (msinfo32.exe
).
Отслеживать и анализировать события вне времени штатного обслуживания (технических работ или инкассации), которые могут указывать на несанкционированный доступ к ОС банкомата:
открытие корпуса банкомата или незапланированный переход в режим обслуживания;
отключение питания банкомата с последующим включением, несмотря на наличие стабильного источника электропитания;
перезагрузка ОС или выход пользователя из системы без зафиксированных причин или ошибок в журналах действий на банкомате, а также редактирование журналов действий на жестком диске.
3. Атаки на уязвимости управляющего ПО
3.1. Небезопасная реализация контроля целостности файлов управляющего ПО (PT‑ATM-417)
Обойдя режим киоска, хакер получает возможность выполнять действия от лица сервисного пользователя (эта учетная запись используется УПО для выполнения функций: от ее имени, например, запускается банковское приложение в режиме киоска). Атакующий может попытаться выполнить выдачу наличных, используя вредоносные инструменты, воздействующие на УПО банкомата.
Как уже было сказано ранее, УПО управляет периферийным оборудованием банкомата по стандарту CEN/XFS. Открытая природа стандарта не только способствует распространению универсального ВПО, но и ставит под угрозу УПО, в котором есть проблемы с контролем целостности исполняемых и конфигурационных файлов.
В рамках наших исследований небезопасная реализация контроля целостности файлов УПО была обнаружена в большинстве рассмотренных конфигураций. Проявляться этот недостаток может по‑разному — например, если в УПО:
Присутствует встроенная возможность отключения проверки файлов приложения;
Возможна модификация функции, используемой для вычисления хеш‑суммы файлов. В случае неправильного вычисления хеш‑суммы проверка целостности может быть выполнена с ошибками, что позволит злоумышленнику модифицировать файлы.
Проверка целостности выполняется только один раз при запуске приложения и затрагивает файлы с расширениями из заданного списка. Если злоумышленник использует полезную нагрузку с расширением, не входящим в список, проверка целостности будет успешно пройдена.
3.2. Недостаточная защита от атак с применением рефлексии (PT‑ATM-417)
Исследованное специалистами УПО было написано на языках с JIT‑компиляцией. Некоторые из них, включая C#, имеют возможности рефлексии: программа способна анализировать свою структуру во время выполнения, динамически вызывать методы, изменять состояние объектов и получать доступ к метаданным типов. Рефлексию могут использовать хакеры: недостаточная проверка целостности исполняемых файлов позволяет провести атаку, уязвимой к которой оказалась большая часть исследованных конфигураций.
Стоит отметить, что для проведения атаки с использованием рефлексии злоумышленник должен иметь высокий уровень квалификации: требуется написать эксплойт для конкретной реализации УПО. Перед разработкой эксплойта необходимо изучить принцип работы УПО — при отсутствии возможности получить исходный код приложения используются специализированные декомпиляторы и отладчики, такие как dnSpy (в случае с C#).
3.3. Обход средств контроля над запуском стороннего ПО (PT‑ATM-019)
Еще одним возможным препятствием могут стать ограничения на запуск ПО — например, запрет использования интерпретаторов командной строки, необходимых для взаимодействия с вредоносными программами. На банкоматах под управлением Windows для блокировки часто используются такие решения, как AppLocker, или политики ограниченного использования программ (software restriction policies, SRP). Кроме того, возможно использование сторонних решений класса Application Control.
Часто блокировка запуска определенного ПО (например, интерпретаторов командной строки cmd.exe
и powershell.exe
) выполняется по принципу черного списка, в который вносятся стандартные пути к исполняемым файлам. Первым очевидным недостатком этого способа является возможность запустить стороннее ПО, не входящее в черный список, в том числе вредоносное. Но еще один недостаток заключается в том, что обход блокировки сводится к запуску исполняемого файла из альтернативного расположения. В самом простом случае для этого достаточно воспользоваться проводником Windows.
В качестве демонстрации был рассмотрен вариант с использованием AppLocker для запрета на запуск PowerShell из директории C:\Windows\System32\Windows\PowerShell\v1.0
. Чтобы обойти блокировку, специалисты скопировали исполняемый файл powershell.exe
на рабочий стол сервисного пользователя, а затем запустили файл из нового расположения.
Иногда запуск проводника Windows из его стандартного расположения также может быть запрещен — в таком случае можно вернуться к примеру с получением доступа к проводнику с использованием браузера Internet Explorer. Кроме того, браузер позволяет выполнить необходимые действия и без использования проводника: исследователями был описан способ взаимодействия с файловой системой через технологию ActiveX. Специалисты сперва получили доступ к браузеру, а затем выполнили в консоли разработчика JavaScript‑код (с его помощью файл powershell.exe
копируется в новую директорию, после чего запускается). Для обращения к файловой системе Windows и запуска исполняемого файла использовались объекты Scripting.FileSystemObject
и WScript.Shell
соответственно.
Этот пример показывает: блокировка запуска ПО по принципу черного списка с указанием стандартных путей изначально является небезопасной, так как для каждой последующей блокировки найдется способ ее обхода. Если на устройстве одновременно заблокирован запуск проводника и браузера по их стандартным путям, доступ к браузеру может быть получен путем вызова справки в любом приложении, предоставляющем такую возможность.
3.4. Недостаточно эффективная настройка политики безопасности пользователя (PT‑ATM-003)
Стоит отметить, что зачастую сервисный пользователь может обладать избыточными привилегиями, которые позволяют выполнять несанкционированные действия на банкомате без обхода ограничений. Всего полное отсутствие ограничений на запуск ПО было обнаружено в половине исследованных устройств.
Опасность могут представлять и избыточные права сервисного пользователя на доступ к файлам. К примеру, злоумышленник может модифицировать исполняемый файл сервиса, запускаемого с правами системы, и получить возможность выполнять произвольный код с максимальными привилегиями.
Рекомендации для защиты от атак на управляющее ПО:
Внедрить меры защиты УПО от атак, использующих механизм рефлексии (конкретная реализация таких мер будет зависеть от языка разработки приложения). Чтобы затруднить анализ приложения злоумышленником, следует использовать методы запутывания (обфускации) исходного кода.
Ограничить привилегии сервисного пользователя, руководствуясь минимально необходимым для функционирования ПО набором прав.
Использовать более гибкие политики в средствах контроля над запуском приложений — например, применять блокировку по хеш‑сумме или издателю приложения.
Рассмотреть вариант настройки средств контроля над запуском приложений по принципу белого списка (разрешить запуск только тех утилит, которые необходимы для функционирования банкомата в штатном режиме), чтобы предотвратить запуск стороннего ПО на банкомате.
Регулярно обновлять используемое на банкомате ПО.
4. Эксплуатация недостатков сетевой конфигурации
4.1. Изменение параметров защищенного соединения (PT‑ATM-415)
На большинстве банкоматов доступ к сетевым портам извне ограничен за счет использования VPN‑клиента. VPN‑решения не только затрудняют внешнее взаимодействие с сетевыми службами банкомата, но и ограничивают возможность вмешательства в обмен данными между устройством и процессинговым центром. Внесение изменений в их конфигурацию может стать одной из задач злоумышленника, получившего доступ к ОС.
Иногда функция организации VPN‑соединения возлагается на отдельное сетевое устройство. К примеру, в такой конфигурации шифрование трафика может выполняться на коммутаторе, который подключен к Ethernet‑порту системного блока. Это позволяет атакующему с доступом к сервисной зоне переподключить кабель, идущий от ПК к коммутатору, к собственному устройству (например, ноутбуку) — в результате им будет получен доступ к нешифрованному трафику.
При использовании VPN‑клиента на уровне ОС хакер может попробовать воспользоваться полученным ранее логическим доступом и отключить его, однако зачастую это действие требует административных привилегий. К примеру, в рамках наших исследований удалось добиться неработоспособности VPN‑клиента путем переименования ряда драйверов и отключения связанных с ним служб.
Возможен редкий вариант, в котором защита соединения с процессинговым центром осуществляется средствами УПО, а не отдельного VPN‑решения. Так, исследователями было рассмотрено УПО, в котором параметры защищенного соединения определялись ключами реестра Windows. Одним из таких ключей является Protocol, определяющий используемый для соединения протокол передачи данных.
4.2. Эксплуатация уязвимостей в сетевых службах банкомата (PT‑ATM-401)
Совместно с УПО на банкомате функционируют сетевые службы — обычно это сервисы, позволяющие удаленно управлять банкоматом или загружать обновления. Такая функциональность сетевых служб делает их особо привлекательными для хакеров, так как позволяет получить доступ к ОС банкомата при наличии только сетевого доступа.
В рамках исследований наши специалисты проанализировали принцип работы одной из таких сетевых служб. В ходе анализа было выявлено, что данное приложение работает по протоколу.NET Remoting и позволяет удаленно выполнять код без аутентификации. Осуществляется это с использованием метода, принимающего в качестве параметра путь к исполняемому файлу на банкомате для его последующего запуска.
Рекомендации по устранению недостатков сетевой конфигурации:
Ограничить доступ к сетевым портам, разрешив подключение только для доверенных процессов, требующих этого в нормальном режиме работы.
Использовать для защиты взаимодействия с процессинговым центром отдельные (не входящие в состав УПО) VPN‑решения, устойчивые к нештатным ситуациям, таким как:
загрузка банкомата в безопасном режиме;
незапланированное выключение устройства;
отключение или переподключение сетевого оборудования (в случае если шифрование выполняется отдельным устройством);
подключение несанкционированного сетевого оборудования или потеря связи с целевым устройством при активности VPN‑клиента.
Ограничить привилегии сервисного пользователя, руководствуясь минимально необходимым для функционирования набором прав. Например, для систем под управлением Windows целесообразно ввести следующие ограничения:
запретить запуск стандартных утилит для работы с хранилищем сертификатов;
оставить разрешение только на чтение для критически значимых ветвей реестра — подветвей
HKEY_LOCAL_MACHINE\Software
, относящихся к УПО банкомата, а также ветвиHKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates
.
5. Подмена инфраструктурных элементов
5.1. Подмена процессингового центра (PT‑ATM-421)
После внесения изменений в конфигурацию защищенного соединения злоумышленник может вмешаться в обмен данными между банкоматом и процессинговым центром. Для этого используется эмулятор, который подключается к системному блоку или сетевому оборудованию с применением коммутационного кабеля и позволяет отправлять произвольные ответы на запросы банкомата. При этом легитимный процессинговый центр даже не получает запросы от банкомата, что позволяет выводить желаемые суммы денежных средств без списаний с карты злоумышленника.
Один из недостатков, позволяющих похитить деньги путем подмены процессингового центра, — возможность отключить необходимые проверки от имени сервисного пользователя. Например, в рамках исследования варианта реализации УПО специалисты обнаружили возможность запуска служебной утилиты, используемой для изменения его конфигурации. Модифицировав флаги безопасности, они отключили проверку подписи сообщений процессингового центра, что позволило использовать эмулятор для отправки команд на банкомат.
5.2. Подмена сервера мониторинга (PT‑ATM-417)
Другой пример сетевой атаки — подмена сервера мониторинга, используемого для удаленной диагностики и загрузки обновлений. Более чем в половине исследованных конфигураций УПО устанавливало соединение с сервером мониторинга, не проверяя легитимность узла, к которому осуществляется подключение. Это позволяет злоумышленнику создать и использовать его эмулятор для удаленного выполнения кода на банкомате.
Одна из рассмотренных реализаций сервера мониторинга позволяла загружать ZIP‑архивы на банкомат, а также удаленно выполнять плагины определенного формата. Это может позволить хакеру с доступом к сети банкомата загружать на него вредоносы под видом плагинов с необходимым расширением и инициировать их удаленное выполнение.
В 2023 году исследователи из Synack Red Team выявили критически опасные уязвимости в программном обеспечении ScrutisWeb, предназначенном для удаленного мониторинга и управления банкоматами. Четыре уязвимости позволяли любому внешнему злоумышленнику получить доступ к веб‑интерфейсу администрирования, позволяющему ряд действий на банкоматах: удаленную перезагрузку, загрузку файлов и изменение конфигурации устройств.
Стоит отметить, что срок исправления уязвимостей УПО в силу его узкой специализации может быть достаточно длительным. В вопросах уязвимостей УПО стоит применять компенсационные меры, не дожидаясь исправлений: так, использование VPN‑клиента затрудняет сетевые атаки, а правильно настроенный межсетевой экран позволит защитить порты, используемые сетевыми службами.
Рекомендации по защите от подмены инфраструктурных элементов:
Реализовать контроль целостности запросов к процессинговому центру, чтобы исключить возможность их модификации, — например, путем добавления к запросу имитовставки или с помощью MAC (Message Authentication Code).
Выполнять дополнительную проверку возвращаемых процессинговым центром данных. Отключение проверок безопасности, выполняемых на стороне банкомата, не должно быть возможным как со стороны процессингового центра, так и локально от имени сервисного пользователя.
Реализовать механизмы аутентификации и авторизации для сетевых служб банкомата:
запросы к сетевым службам банкомата должны выполняться с использованием цифровой подписи — в особенности это касается служб, в штатную функциональность которых входят запись и выполнение файлов;
удаленная диагностика и установка обновлений на банкомат должна быть доступна только со специально отведенного инсталляционного сервера (jump server), доступ к которому имеет ограниченное число сотрудников.
Будущее атак на банкоматы
Рассмотренные атаки относятся к возможным взломам банкоматов здесь и сейчас. При этом технологическое развитие не обходит стороной эти устройства — в результате они приобретают новые функции, что сопровождается появлением дополнительных векторов атак. В этом разделе мы попробуем сделать несколько прогнозов касательно того, как будут выглядеть атаки на банкоматы уже в ближайшее время.
Обход новых способов аутентификации
Все более популярными становятся банкоматы, предлагающие аутентификацию с использованием биометрии: применяются технологии распознавания данных лица, отпечатков пальца и даже рисунка вен. Если раньше была распространена кража карточных данных с использованием накладных и закладных устройств (скиммеров), то теперь целью становится сбор и последующее использование биометрических данных. Проблема усугубляется тем, что, в отличие от сведений банковской карты, которую можно перевыпустить в случае компрометации, при утечке биометрических данных (например, в результате взлома банковской инфраструктуры) пользователь не сможет изменить неотъемлемые физические характеристики.
Дополнительные риски связаны с уязвимостями самих биометрических систем.
Известны случаи, когда системы распознавания лица удавалось обойти с помощью фотографии или специально изготовленной маски: этим методом в 2017 году воспользовались исследователи Bkav для обхода технологии Face ID. Особенную опасность такие недостатки представляют с учетом того, что в некоторых банкоматах биометрическая аутентификация заменяет ввод PIN‑кода. Например, в 2020 году испанский банк CaixaBank представил банкоматы, не требующие проверки PIN‑кода при успешном распознавании лица.
Банкомат как звено в мошеннических схемах
С развитием технологий банкоматы все чаще становятся не столько прямыми целями, сколько промежуточным звеном в мошеннических схемах. Один из таких примеров связан с появлением в современных банкоматах возможности снятия денег без банковской карты — с использованием QR‑кода. В некоторых случаях пользователю достаточно сгенерировать QR‑код в мобильном приложении банка и отсканировать его на банкомате. Мошенники уже успели воспользоваться нововведением, адаптировав под него стандартную схему социальной инженерии: жертвам сообщают о выдуманной несанкционированной операции и убеждают прислать QR‑код, чтобы отменить ее. В реальности аферисты сканируют полученный QR‑код на банкомате и снимают деньги со счета жертвы.
Роль инструмента для обналичивания банкоматы выполняют и в атаках с использованием модифицированного ПО NFCGate, которые начали фиксироваться в России с октября 2024 года. Финальной стадией таких атак является перехват и ретрансляция NFC‑трафика между картой пользователя и его устройством на смартфон злоумышленника. Последний, находясь рядом с банкоматом, прикладывает свое устройство к бесконтактному считывателю и выводит деньги со счета жертвы. По данным за первый квартал 2025 года, ущерб от таких атак уже превысил 432 миллиона рублей.
Сетевые атаки через банковскую инфраструктуру
Еще в 2017 году компания Trend Micro совместно с Европолом отметила в отчете сдвиг в векторах логических атак — от вмешательств, требующих физического доступа к сервисной зоне, к получению доступа к банкоматам из сети банка. При недостаточной сегментации сети компрометация внутренней инфраструктуры банка позволяет злоумышленникам развивать атаки на подключенные банкоматы.
Один из примеров — инцидент в Таиланде, зафиксированный в конце 2016 года: злоумышленники, получив доступ к корпоративной сети банка, скомпрометировали сервер, используемый для доставки обновлений, и через него загрузили ВПО на ряд банкоматов. В этом же году в Тайване похожая атака привела к хищению около 80 миллионов новых тайваньских долларов (примерно 2,5 миллиона долларов США). Злоумышленники также использовали доступ к сети банка для доставки ВПО, которое позволило организовать удаленное управление банкоматами по протоколу Telnet.
Оба инцидента подчеркивают: уязвимости в сетевой инфраструктуре банка могут обеспечить точку входа для удаленных атак на сеть банкоматов, привлекающих меньше внимания по сравнению с атаками, требующими физического доступа к устройству.
Атаки на криптовалютные банкоматы
С ростом интереса к криптовалютам продолжает увеличиваться и число криптобанкоматов: к 2024 году их количество выросло на 3%, достигнув 37,7 тысячи устройств по всему миру. Криптобанкоматы (или криптоматы) позволяют как приобретать, так и продавать криптовалюту. Для начала работы с терминалом достаточно указать адрес кошелька, отсканировав его QR‑код с экрана мобильного устройства.
Схема мошенничества с криптоматами во многом напоминает ранее описанные атаки с использованием QR‑кодов, актуальные для обычных банкоматов, но с ключевым отличием: жертва не передает мошеннику код. Вместо этого злоумышленник присылает ей заранее сгенерированный QR‑код, содержащий адрес криптокошелька, и под предлогом срочной необходимости — например, перевода средств на безопасный счет — убеждает внести наличные через ближайший криптобанкомат. Внесенные средства автоматически конвертируются в криптовалюту и поступают на кошелек преступника. Особенно опасными эти схемы делает то, что операции с криптовалютой труднее отследить, а украденные средства — труднее вернуть.
Атакуют не только пользователей, но и саму инфраструктуру: в 2023 году хакеры использовали 0-day‑уязвимость в облачном сервисе GENERAL BYTES, который позволяет управлять криптоматами. Атакующие удаленно загрузили на криптоматы вредоносное Java‑приложение и смогли похищать данные клиентов (включая имена пользователей и хеш‑суммы паролей), а также переводить средства с горячих кошельков на собственные счета. В результате атаки сервис был отключен, ущерб составил порядка 1,5 млн долларов США в криптовалюте. В том же году исследователи выявили критически опасные уязвимости в криптоматах Lamassu. Они позволяли злоумышленнику вывести биткойны с пользовательских кошельков, а при физическом доступе — обмануть валидатор купюр и инициировать перевод суммы, превышающей фактически внесенную.
Вывод
Рост числа новых реализаций ВПО для банкоматов и снижение порога входа для злоумышленников привели к тому, что логические атаки на эти устройства стали как никогда актуальны. Если ранее внимание злоумышленников было сосредоточено на краже карточных данных пользователей банкоматов посредством техник, не затрагивающих логику работы устройства, то сегодня одна логическая атака может сразу же принести злоумышленнику большую сумму наличных. Готовые решения, предлагаемые на теневых торговых площадках, доступны злоумышленникам с минимальным набором инструментов и низкой квалификацией. Тем не менее фокус в стратегии защиты банкоматов по‑прежнему смещен в сторону физической защиты сейфа и сетевой безопасности. В результате банкоматы остаются уязвимыми к простым, но эффективным сценариям хищения средств.
Не стоит забывать и о том, что с развитием технологий будет появляться все больше сценариев логических атак. Современные устройства перестали быть просто машинами для выдачи наличных — это полноценные мини‑офисы, через которые можно оплатить услуги, перевести деньги, погасить кредиты. Использование карты тоже перестало быть обязательным с появлением у банкоматов NFC‑модулей, биометрии и оплаты по QR‑коду: для начала работы может быть достаточно смартфона или одной улыбки. Это делает логические атаки на банкоматы все более актуальными: на смену хищению наличных может прийти перевод средств на счет хакера, а кража карточных данных уступит обходу биометрической аутентификации и атакам на NFC‑модуль.
В статье мы постарались затронуть наиболее распространенные атаки на банкоматы и рассмотреть уязвимости, которые позволяют злоумышленникам похищать деньги без физического вмешательства. Необходимо подчеркнуть: не следует недооценивать вероятность проведения этих атак в реальных условиях из‑за более высокой сложности по сравнению с традиционными способами кражи денег. Некоторые из описанных атак занимают не более 10 минут, при этом оперативно обнаружить факт их реализации значительно труднее.
Приведенные в статье атаки еще раз подчеркивают важность мониторинга системных событий, которые могут сигнализировать о получении нежелательного доступа к ОС банкомата. Помимо этого, необходимо оперативно обновлять установленное на банкомате ПО, а также взаимодействовать с вендорами оборудования для получения обновлений при обнаружении недостатков встроенного программного обеспечения. Важен комплексный подход к защите устройства, в одинаковой степени приоритизирующий как сетевую безопасность и защиту на локальном уровне, так и физическое ограничение доступа к сервисной зоне банкомата, который используется злоумышленниками для подключения сторонних устройств к встроенному компьютеру.
Алёна Кремзер
Аналитик
Людмила Осипова
Аналитик
@ Направление проектов по кибербезопасности, Positive Technologies