«Коммерсантъ»: Эксперты нашли уязвимость в самых популярных в России банкоматах Статьи редакции

С её помощью мошенники могут снимать наличные.

Эксперты компании Positive Technologies рассказали об уязвимости в наиболее популярных в России банкоматах производства американской NCR. О проблеме стало известно ещё в феврале 2018 года, но российские банки о ней не знают, пишет «Коммерсантъ».

Специалисты Positive Technologies обнаружили уязвимость и сообщили о ней в NCR в начале года. Она позволяет мошенникам устанавливать на сейфовую часть банкомата, которая выдаёт купюры, устаревшее ПО при помощи технологии Black Box и отправлять команды на снятие наличных.

NCR рассказала об уязвимости и выпустила обновление 9 февраля 2018 года. Журналист «Коммерсанта» связался с представителями российских банков, которые используют банкоматы NCR, и выяснил, что они не знали о проблеме. Названия банков издание не уточнило.

В NCR подтвердили, что сотрудничали с Positive Technologies в ходе расследования, и устранили уязвимость, выпустив обновления. Компания рассказала о них в начале года, а затем обновила в августе. На вопрос «Коммерсанта», почему российские банки вовремя не получили обновление, в компании не ответили.

По словам директора исследовательского центра компании Digital Security Романа Бажина, банкоматы NCR — одни из самых популярных в России. На сервисном обслуживании компании «Эн. Си. Ар., NCR A/O» находятся более 40 тысяч банкоматов, пишет издание.

Бажин заявил, что уязвимость серьезная, а чтобы исправить её, нужно подключаться к каждому устройству. Он считает, что российские банки скрывают данные об успешных атаках, чтобы избежать репутационных рисков.

По данным «Коммерсанта», в апреле 2018 года с использованием технологии Black Box было атаковано десять банкоматов (в сравнении с 21 атакой за весь 2017 год).

Директор департамента информационной безопасности МКБ Вячеслав Касимов рассказал, что банк зафиксировал «несколько попыток атак» в апреле-мае. Скорее всего, использовалась та самая уязвимость, но банку удалось отбить атаки, пояснил он. В Банке России на вопрос издания о количестве атак на банкоматы с использованием технологии Black Box и отвечать отказались.

0
46 комментариев
Написать комментарий...
Сергей Никитин

А где адреса установленных уязвимых банкоматов? ;)

Ответить
Развернуть ветку
Вася Пражкин

.

Ответить
Развернуть ветку
Виталий Иванович Иванов

1. Разве может быть банкомат без уязвимости? Для любого замка найдётся отмычка.

2. Вероятно, у банков в России денег слишком много, чтобы они заморачивались потерей какой-то их части через банкоматы.

--

Ответить
Развернуть ветку
Вася Пражкин

Как всегда, страхи преувеличены:
"Только в апреле с использованием технологии Black Box было атаковано десять устройств; для сравнения, за весь 2017 год — 21".
Всего банкоматов в РФ 200K, NCR одни из популярных, ну пусть 70K. 10 взломов за месяц - капля в море.

В статье не рассказано, поэтому вкратце:
NCR знает о таких атаках еще с октября 2017 как минимум, были успешные взломы в Mexico. Суть такая: злоумышленники отключают диспенсер(который купюры выдает) от ATM и подключают его к своему устройству(отсюда название атаки - Black Box), с которого выдают команды на выдачу бабок. Но диспенсеры не совсем тупые, поэтому имеют физическую защиту. Чтобы ее обойти, ушлые люди используют эндоскоп(см. картинку), который просовывают в щель выдачи купюр и обманывают сенсоры диспенсера. Для успешной атаки нужен доступ к верхей части банкомата и дырочка для доступа к USB.
Взято отсюда: https://www.bankinfosecurity.com/hackers-practice-unauthorized-atm-endoscopy-a-10369

Банки, как всегда, консервативны в плане обновлений. Была бы проблема существенна - давно бы уже обновили firmware диспенсеров.

Ответить
Развернуть ветку
Sergei Timofeyev

Банды проктологов-гастроэнтерологов, видать, действовали. :)

Ответить
Развернуть ветку
Артём Лисовский

Почему не запретить наличные?

Ответить
Развернуть ветку
Виталий Иванович Иванов

Артём, мне нравится эта идея. Однако *совсем* без наличмана пока никак. Сугубо из-за технических причин.

Вот когда бесконтактные методы оплаты станут доступны ширнармассам (включая «бабушек») *повсеместно*, тогда можно будет и запретить наличман. 😊

--

Ответить
Развернуть ветку
Артём Лисовский

почему невозможно?
представьте от скольких проблем бы избавились и сколько создали их серым ребятам

Ответить
Развернуть ветку
Артём Лисовский

все данные передаются по gsm же в этих аппаратах, размер их больше мобильного телефона только в виду принтера внутри. так что все реально. деньги на р/с, плати налоги, спи

Ответить
Развернуть ветку
Вася Пражкин

Бабушки старые, много помнят, банкам не доверяют в принципе. Зачем им терминал..

Ответить
Развернуть ветку
Артём Лисовский

Объём нала бабушек на рынке по сравнению с черным налом это не капля, сотая часть капли в море

Ответить
Развернуть ветку
Виталий Иванович Иванов

Я неспроста взял слово «бабушки» в кавычки. У меня это только образ техноотсталой части населения.

Ну и, изначально в Вашем тексте не было видно, что Вы подразумеваете только и исключительно предпринимательские правоотношения.

--

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Виталий Иванович Иванов

Покажите, пожалуйста, сценарий с пресловутыми «бабушками». Как это будет выглядеть? 🤔

Ответить
Развернуть ветку
Артём Лисовский

также как и с небабушками.
бабушки ип не регают потому что сложно. Отказываемся от ип по всей стране?
Это если говорить о приеме. Если оплата, то у многих бабушек уже есть карты которые довольно безопасны. Что еще?

Ответить
Развернуть ветку
Виталий Иванович Иванов
Отказываемся от ИП по всей стране?

Да, сейчас идёт именно такой процесс. Точнее, законодатель не отказался от ИП, но ввёл новую категорию предпринимателей с нелепым наименованием «самозанятые» (*любой* предприниматель самозанятый, ибо не работник).

у многих бабушек уже есть карты, которые довольно безопасны. Что ещё?

Написал об этом здесь рядышком: 👇

https://vc.ru/43514#comment-828505

--

Ответить
Развернуть ветку
Виталий Иванович Иванов

Артём, мне это понятно более чем хорошо. Как понятно и то, что ширнармассам пока что тотальный безнал не осилить объективно.

Ответить
Развернуть ветку
Вася Пражкин

Не то, чтобы не осилить, скорее цели у них другие, а покупатели всегда налик имеют при себе

Ответить
Развернуть ветку
Виталий Иванович Иванов

Вася, сейчас мне только хочется увидеть сценарий юзанья тотального безнала ширнармассами. Я совсем не против этого, только хочу понять, как это возможно практически в условиях громадного количества «технологически непродвинутого» населения.

Кстати, сам я уже месяц провожу эксперимент, пытаясь понять, что мне мешает *полностью* избавиться от наличмана. Пока вот такой результат: 👇

1. Часто заплатить наличными деньгами намного быстрее. Бесконтактные платежи часто недоступны. Более всего, например, в общественном транспорте.

2. Меня это не парит, но многих людей реально сильно парит невозможность «пощупать свои деньги», наблюдать их движение (приход — расход — остаток).

3. Многие люди испытывают сильное беспокойство из-за опасения потерять свои деньги. «А вдруг компьютерный сбой?», «А вдруг банк обанкротится?», «А вдруг деньги со счёта украдут хакеры?». И это не просто паранойя, это реально произошло с некоторыми моими знакомыми. Двое потеряли по несколько мильонов рублей из-за банкротства банка несколько лет назад.

--

Ответить
Развернуть ветку
Вася Пражкин

Наличные популярны в странах, где экономика слабая. Будет стабильная валюта, стабильный рост доходов населения и стабильная экономическая ситуация - 95% перейдут в безнал без проблем. В той же Швеции еще в прошлом году стали появляться cashless-отели, но пока еще в платный туалет без монетки не попадешь :)

Ответить
Развернуть ветку
Виталий Иванович Иванов

Мм… Вася, как сильная экономика сделает людей технопродвинутыми? 🤔

Ну и, у России экономика какая угодно, но только не слабая. ☝️😊

--

Ответить
Развернуть ветку
Вася Пражкин

Виталий, давайте отделять мухи от котлет.
Сильная экономика позволяет верить в безнал и банки, поэтому кэш в России всегда в цене. Будет постабильней, то и кэша станет меньше, бизнес пойдет в безнал, более технологические станут бизнес-процессы.

Если на новостях экономику России качает как бумажный кораблик в шторм, то это явно не признак сильной экономики. Если вложения тупо в валюту приносят 300% за 10 лет, то как вообще инвестировать в рублевые проекты?

Ответить
Развернуть ветку
Артём Лисовский

15 лет назад также про телефон можно было сказать, сегодня сотовых на душу населения больше одной штуки. Хотите меняться и улучшать - действуйте, а не причитайте

Ответить
Развернуть ветку
Виталий Иванович Иванов

Ээ, Артём, я не хочу действовать безмысленно. ☝️😊

Ответить
Развернуть ветку
Артём Лисовский

Смотря чьи цели преследовать - обеления экономики или удобства мизерного процента бабушек-предпринимателей. Они в черную работают. Да, я понимаю они бабушки и все такое, но я не нарушаю закон, а они могут получается. На каком основании? Отдам дедам бизнес в управление, сэкономлю 6%, успех.
А то что для населения какая-то технология или услуга недоступна - это надо решать. Хотя.. в налоговой очередь меньше, чем в больнице.

Ответить
Развернуть ветку
Виталий Иванович Иванов

Артём, не соображу, почему Вы заговорили о «бабушках-предпринимателях». Сначала я подумал, что Вы говорите о тотальном безнале. Против тотального безнала только в предпринимательской деятельности ничего против не имею.

Ответить
Развернуть ветку
Артём Лисовский

Ну а кому ещё нужны терминалы? Предпринимателям. Транспорт давно по картам в мегаполисах, перевести деньги за кафе вы можете другу с карты на карту и сейчас. Получается нал нужен лишь при отношениях с микробизнесом и для серочерных расчетов(от которых хотим избавится) , для микробизнеса надо сделать простые терминалы и отказаться от бумажек и монеток.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Виталий Иванович Иванов

Ну, в наших местах люди закупаются в магазах преимущественно за наличку. Им так сподручнее, быстрее и спокойнее.

Ответить
Развернуть ветку
Артём Лисовский

В ваших это каких? Мне кажется, их дебет с суммами уплаты в налоговую не сойдется если на безнал перейти. Ну вы меня поняли

Ответить
Развернуть ветку
Артём Лисовский

А куда вы еще нал несете если не предпринимателям? Друзья родственники перевод карта-карта, в магазинах и за ремонт картой, остаются нелегальные предприниматели которым нужен нал, остальные потребности безнал решает уже сегодня

Ответить
Развернуть ветку
Sergei Timofeyev

Почему? Люди бы начали получать "белую" зарплату, которую раньше получали белую. И всё. В плане оптимизации богатые и эксплуататоры станут ещё богаче, а бедные - беднее.

Ответить
Развернуть ветку
Виталий Иванович Иванов

Сергей, российский законодатель уже давно (с 1995) фактически позволяет обходиться без работничества (есть небольшие затруднения, например, в строительстве). Поэтому «серые» зарплаты уже давно архаизм. Их юзание предпринимателями — плод правового невежества.

Ответить
Развернуть ветку
Sergei Timofeyev

Это как? Через подряды? Ну-ну :)

Ответить
Развернуть ветку
Виталий Иванович Иванов

Обычно это возмездное оказание услуг (глава 39 ГК РФ) силами ИП. Наши заки никак не могут нарадоваться таким правоотношениям. Некоторые с 1995 года. Исполнители тоже. Налоги со страховыми взносами уплачивают в стопроцентном объёме. Хорошо всем. 👍😊

Ответить
Развернуть ветку
Sergei Timofeyev

Вот только вас обвинят в неуплате налогов, если такие правоотношения будут продолжительное время. Плавали. Знаем.

Ответить
Развернуть ветку
Виталий Иванович Иванов

Системостроем предпринимательской деятельности занимаюсь с 1987. Как основной специализацией с 1995. Попытки переквалифицировать ГПО в ТПО у наших заков предпринимались неоднократно. Доселе всегда безуспешно.

Сергей, пожалуйста, не пытайтесь сделать себе аппендэктомию при аппедиците самостоятельно. Равно как и свои правовые задачи поручайте решать *профильным специалистам*. ☝️😊

--

Ответить
Развернуть ветку
Sergei Timofeyev

Судебная практика вполне неоднозначная по этому вопросу.

Ответить
Развернуть ветку
Виталий Иванович Иванов

Да, именно так, — неоднозначная. Поэтому для цели профилактики переквалификации и совершения своевременных корректив мониторить её нужно регулярно с большой тщательностью.

Ответить
Развернуть ветку
Sergei Timofeyev

Вместо этого можно выгодно работать "в серую"

Ответить
Развернуть ветку
Виталий Иванович Иванов

Можно. Но это… хлопотно. Трудиться законно спокойно и приятно. 👍😊

Ответить
Развернуть ветку
Владимир Щедрин

Теперь у политоты еще один повод для создания сюжета: Пиндосы воруют деньги Россиян.

Ответить
Развернуть ветку
Nikolay Kenig

Нет!
Это все русские хакеры!!! 😂😂😂

Ответить
Развернуть ветку
Alexander Zhikh

Если бы не русские хакеры, это бы сделали войска НАТО

Ответить
Развернуть ветку
1

Российские хакеры воруют деньги в самых популярных банкоматах Мира, отомстим Пиндосам

Ответить
Развернуть ветку
Lena Avem

Это повод перейти на отечественные банкоматы, т.е. сборка банкоматов и детали должны быть отечественными, и сама разработка.

Ответить
Развернуть ветку
никита смирнов

Ещё в начале 17 было известно))) ребята вброс левый кидаете.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
43 комментария
Раскрывать всегда