«Коммерсантъ»: Эксперты нашли уязвимость в самых популярных в России банкоматах Статьи редакции
С её помощью мошенники могут снимать наличные.
Эксперты компании Positive Technologies рассказали об уязвимости в наиболее популярных в России банкоматах производства американской NCR. О проблеме стало известно ещё в феврале 2018 года, но российские банки о ней не знают, пишет «Коммерсантъ».
Специалисты Positive Technologies обнаружили уязвимость и сообщили о ней в NCR в начале года. Она позволяет мошенникам устанавливать на сейфовую часть банкомата, которая выдаёт купюры, устаревшее ПО при помощи технологии Black Box и отправлять команды на снятие наличных.
NCR рассказала об уязвимости и выпустила обновление 9 февраля 2018 года. Журналист «Коммерсанта» связался с представителями российских банков, которые используют банкоматы NCR, и выяснил, что они не знали о проблеме. Названия банков издание не уточнило.
В NCR подтвердили, что сотрудничали с Positive Technologies в ходе расследования, и устранили уязвимость, выпустив обновления. Компания рассказала о них в начале года, а затем обновила в августе. На вопрос «Коммерсанта», почему российские банки вовремя не получили обновление, в компании не ответили.
По словам директора исследовательского центра компании Digital Security Романа Бажина, банкоматы NCR — одни из самых популярных в России. На сервисном обслуживании компании «Эн. Си. Ар., NCR A/O» находятся более 40 тысяч банкоматов, пишет издание.
Бажин заявил, что уязвимость серьезная, а чтобы исправить её, нужно подключаться к каждому устройству. Он считает, что российские банки скрывают данные об успешных атаках, чтобы избежать репутационных рисков.
По данным «Коммерсанта», в апреле 2018 года с использованием технологии Black Box было атаковано десять банкоматов (в сравнении с 21 атакой за весь 2017 год).
Директор департамента информационной безопасности МКБ Вячеслав Касимов рассказал, что банк зафиксировал «несколько попыток атак» в апреле-мае. Скорее всего, использовалась та самая уязвимость, но банку удалось отбить атаки, пояснил он. В Банке России на вопрос издания о количестве атак на банкоматы с использованием технологии Black Box и отвечать отказались.
А где адреса установленных уязвимых банкоматов? ;)
.
1. Разве может быть банкомат без уязвимости? Для любого замка найдётся отмычка.
2. Вероятно, у банков в России денег слишком много, чтобы они заморачивались потерей какой-то их части через банкоматы.
--
Как всегда, страхи преувеличены:
"Только в апреле с использованием технологии Black Box было атаковано десять устройств; для сравнения, за весь 2017 год — 21".
Всего банкоматов в РФ 200K, NCR одни из популярных, ну пусть 70K. 10 взломов за месяц - капля в море.
В статье не рассказано, поэтому вкратце:
NCR знает о таких атаках еще с октября 2017 как минимум, были успешные взломы в Mexico. Суть такая: злоумышленники отключают диспенсер(который купюры выдает) от ATM и подключают его к своему устройству(отсюда название атаки - Black Box), с которого выдают команды на выдачу бабок. Но диспенсеры не совсем тупые, поэтому имеют физическую защиту. Чтобы ее обойти, ушлые люди используют эндоскоп(см. картинку), который просовывают в щель выдачи купюр и обманывают сенсоры диспенсера. Для успешной атаки нужен доступ к верхей части банкомата и дырочка для доступа к USB.
Взято отсюда: https://www.bankinfosecurity.com/hackers-practice-unauthorized-atm-endoscopy-a-10369
Банки, как всегда, консервативны в плане обновлений. Была бы проблема существенна - давно бы уже обновили firmware диспенсеров.
Банды проктологов-гастроэнтерологов, видать, действовали. :)
Почему не запретить наличные?
Артём, мне нравится эта идея. Однако *совсем* без наличмана пока никак. Сугубо из-за технических причин.
Вот когда бесконтактные методы оплаты станут доступны ширнармассам (включая «бабушек») *повсеместно*, тогда можно будет и запретить наличман. 😊
--
почему невозможно?
представьте от скольких проблем бы избавились и сколько создали их серым ребятам
все данные передаются по gsm же в этих аппаратах, размер их больше мобильного телефона только в виду принтера внутри. так что все реально. деньги на р/с, плати налоги, спи
Бабушки старые, много помнят, банкам не доверяют в принципе. Зачем им терминал..
Объём нала бабушек на рынке по сравнению с черным налом это не капля, сотая часть капли в море
Я неспроста взял слово «бабушки» в кавычки. У меня это только образ техноотсталой части населения.
Ну и, изначально в Вашем тексте не было видно, что Вы подразумеваете только и исключительно предпринимательские правоотношения.
--
Комментарий недоступен
Покажите, пожалуйста, сценарий с пресловутыми «бабушками». Как это будет выглядеть? 🤔
также как и с небабушками.
бабушки ип не регают потому что сложно. Отказываемся от ип по всей стране?
Это если говорить о приеме. Если оплата, то у многих бабушек уже есть карты которые довольно безопасны. Что еще?
Да, сейчас идёт именно такой процесс. Точнее, законодатель не отказался от ИП, но ввёл новую категорию предпринимателей с нелепым наименованием «самозанятые» (*любой* предприниматель самозанятый, ибо не работник).
у многих бабушек уже есть карты, которые довольно безопасны. Что ещё?Написал об этом здесь рядышком: 👇
https://vc.ru/43514#comment-828505
--
Артём, мне это понятно более чем хорошо. Как понятно и то, что ширнармассам пока что тотальный безнал не осилить объективно.
Не то, чтобы не осилить, скорее цели у них другие, а покупатели всегда налик имеют при себе
Вася, сейчас мне только хочется увидеть сценарий юзанья тотального безнала ширнармассами. Я совсем не против этого, только хочу понять, как это возможно практически в условиях громадного количества «технологически непродвинутого» населения.
Кстати, сам я уже месяц провожу эксперимент, пытаясь понять, что мне мешает *полностью* избавиться от наличмана. Пока вот такой результат: 👇
1. Часто заплатить наличными деньгами намного быстрее. Бесконтактные платежи часто недоступны. Более всего, например, в общественном транспорте.
2. Меня это не парит, но многих людей реально сильно парит невозможность «пощупать свои деньги», наблюдать их движение (приход — расход — остаток).
3. Многие люди испытывают сильное беспокойство из-за опасения потерять свои деньги. «А вдруг компьютерный сбой?», «А вдруг банк обанкротится?», «А вдруг деньги со счёта украдут хакеры?». И это не просто паранойя, это реально произошло с некоторыми моими знакомыми. Двое потеряли по несколько мильонов рублей из-за банкротства банка несколько лет назад.
--
Наличные популярны в странах, где экономика слабая. Будет стабильная валюта, стабильный рост доходов населения и стабильная экономическая ситуация - 95% перейдут в безнал без проблем. В той же Швеции еще в прошлом году стали появляться cashless-отели, но пока еще в платный туалет без монетки не попадешь :)
Мм… Вася, как сильная экономика сделает людей технопродвинутыми? 🤔
Ну и, у России экономика какая угодно, но только не слабая. ☝️😊
--
Виталий, давайте отделять мухи от котлет.
Сильная экономика позволяет верить в безнал и банки, поэтому кэш в России всегда в цене. Будет постабильней, то и кэша станет меньше, бизнес пойдет в безнал, более технологические станут бизнес-процессы.
Если на новостях экономику России качает как бумажный кораблик в шторм, то это явно не признак сильной экономики. Если вложения тупо в валюту приносят 300% за 10 лет, то как вообще инвестировать в рублевые проекты?
15 лет назад также про телефон можно было сказать, сегодня сотовых на душу населения больше одной штуки. Хотите меняться и улучшать - действуйте, а не причитайте
Ээ, Артём, я не хочу действовать безмысленно. ☝️😊
Смотря чьи цели преследовать - обеления экономики или удобства мизерного процента бабушек-предпринимателей. Они в черную работают. Да, я понимаю они бабушки и все такое, но я не нарушаю закон, а они могут получается. На каком основании? Отдам дедам бизнес в управление, сэкономлю 6%, успех.
А то что для населения какая-то технология или услуга недоступна - это надо решать. Хотя.. в налоговой очередь меньше, чем в больнице.
Артём, не соображу, почему Вы заговорили о «бабушках-предпринимателях». Сначала я подумал, что Вы говорите о тотальном безнале. Против тотального безнала только в предпринимательской деятельности ничего против не имею.
Ну а кому ещё нужны терминалы? Предпринимателям. Транспорт давно по картам в мегаполисах, перевести деньги за кафе вы можете другу с карты на карту и сейчас. Получается нал нужен лишь при отношениях с микробизнесом и для серочерных расчетов(от которых хотим избавится) , для микробизнеса надо сделать простые терминалы и отказаться от бумажек и монеток.
Комментарий удален модератором
Ну, в наших местах люди закупаются в магазах преимущественно за наличку. Им так сподручнее, быстрее и спокойнее.
В ваших это каких? Мне кажется, их дебет с суммами уплаты в налоговую не сойдется если на безнал перейти. Ну вы меня поняли
А куда вы еще нал несете если не предпринимателям? Друзья родственники перевод карта-карта, в магазинах и за ремонт картой, остаются нелегальные предприниматели которым нужен нал, остальные потребности безнал решает уже сегодня
Почему? Люди бы начали получать "белую" зарплату, которую раньше получали белую. И всё. В плане оптимизации богатые и эксплуататоры станут ещё богаче, а бедные - беднее.
Сергей, российский законодатель уже давно (с 1995) фактически позволяет обходиться без работничества (есть небольшие затруднения, например, в строительстве). Поэтому «серые» зарплаты уже давно архаизм. Их юзание предпринимателями — плод правового невежества.
Это как? Через подряды? Ну-ну :)
Обычно это возмездное оказание услуг (глава 39 ГК РФ) силами ИП. Наши заки никак не могут нарадоваться таким правоотношениям. Некоторые с 1995 года. Исполнители тоже. Налоги со страховыми взносами уплачивают в стопроцентном объёме. Хорошо всем. 👍😊
Вот только вас обвинят в неуплате налогов, если такие правоотношения будут продолжительное время. Плавали. Знаем.
Системостроем предпринимательской деятельности занимаюсь с 1987. Как основной специализацией с 1995. Попытки переквалифицировать ГПО в ТПО у наших заков предпринимались неоднократно. Доселе всегда безуспешно.
Сергей, пожалуйста, не пытайтесь сделать себе аппендэктомию при аппедиците самостоятельно. Равно как и свои правовые задачи поручайте решать *профильным специалистам*. ☝️😊
--
Судебная практика вполне неоднозначная по этому вопросу.
Да, именно так, — неоднозначная. Поэтому для цели профилактики переквалификации и совершения своевременных корректив мониторить её нужно регулярно с большой тщательностью.
Вместо этого можно выгодно работать "в серую"
Можно. Но это… хлопотно. Трудиться законно спокойно и приятно. 👍😊
Теперь у политоты еще один повод для создания сюжета: Пиндосы воруют деньги Россиян.
Нет!
Это все русские хакеры!!! 😂😂😂
Если бы не русские хакеры, это бы сделали войска НАТО
Российские хакеры воруют деньги в самых популярных банкоматах Мира, отомстим Пиндосам
Это повод перейти на отечественные банкоматы, т.е. сборка банкоматов и детали должны быть отечественными, и сама разработка.
Ещё в начале 17 было известно))) ребята вброс левый кидаете.
Комментарий удален модератором
Комментарий удален модератором