В NCR подтвердили, что сотрудничали с Positive Technologies в ходе расследования, и устранили уязвимость, выпустив обновления. Компания рассказала о них в начале года, а затем обновила в августе. На вопрос «Коммерсанта», почему российские банки вовремя не получили обновление, в компании не ответили.
А где адреса установленных уязвимых банкоматов? ;)
.
1. Разве может быть банкомат без уязвимости? Для любого замка найдётся отмычка.
2. Вероятно, у банков в России денег слишком много, чтобы они заморачивались потерей какой-то их части через банкоматы.
--
Как всегда, страхи преувеличены:
"Только в апреле с использованием технологии Black Box было атаковано десять устройств; для сравнения, за весь 2017 год — 21".
Всего банкоматов в РФ 200K, NCR одни из популярных, ну пусть 70K. 10 взломов за месяц - капля в море.
В статье не рассказано, поэтому вкратце:
NCR знает о таких атаках еще с октября 2017 как минимум, были успешные взломы в Mexico. Суть такая: злоумышленники отключают диспенсер(который купюры выдает) от ATM и подключают его к своему устройству(отсюда название атаки - Black Box), с которого выдают команды на выдачу бабок. Но диспенсеры не совсем тупые, поэтому имеют физическую защиту. Чтобы ее обойти, ушлые люди используют эндоскоп(см. картинку), который просовывают в щель выдачи купюр и обманывают сенсоры диспенсера. Для успешной атаки нужен доступ к верхей части банкомата и дырочка для доступа к USB.
Взято отсюда: https://www.bankinfosecurity.com/hackers-practice-unauthorized-atm-endoscopy-a-10369
Банки, как всегда, консервативны в плане обновлений. Была бы проблема существенна - давно бы уже обновили firmware диспенсеров.
Почему не запретить наличные?
Артём, мне нравится эта идея. Однако *совсем* без наличмана пока никак. Сугубо из-за технических причин.
Вот когда бесконтактные методы оплаты станут доступны ширнармассам (включая «бабушек») *повсеместно*, тогда можно будет и запретить наличман. 😊
--
Теперь у политоты еще один повод для создания сюжета: Пиндосы воруют деньги Россиян.