Как международные добровольные стандарты повышают безопасность банкоматов?

Количество грабежей у банкоматов неуклонно снижается благодаря камерам видеонаблюдения, монтируемым непосредственно в корпуса этих устройств и устанавливаемым рядом с ними. Но это отнюдь не значит, что пользователи ATM-систем могут снизить бдительность и расслабиться. Злоумышленники берут на вооружение все более изощрённые методы кибератак и мошенничества для захвата личных данных владельцев пластиковых карт и кражи их денег. Повысить безопасность банкоматов помогают постоянно актуализируемые международные добровольные стандарты на основе консенсуса. 

Банкоматы доступны нам вот уже без малого 5 десятилетий. Учитывая тот факт, что ATM-системы представляют собой, по сути, оставленные без присмотра коробки с наличными, они всегда были в центре внимания преступников. Но атаки на банкоматы в большинстве своем не сводятся только к банальному изъятию денег – злоумышленники также хотят получить данные клиентов. Для этого они используют так называемый скимминг: данные с карточки считываются с помощью специальных устройств (скиммеров). Целью является магнитная полоса, на которой в закодированном виде содержится информацию о кредитной или дебетовой карте.

Отметим, что пластиковые карты с магнитной полосой были разработаны инженерами корпорации IBM еще в 1969 году. Согласно требованиям международного стандарта ИСО / МЭК 7813:2006 " Информационные технологии - Идентификационные карты - Карты для финансовых операций", информация записывается на магнитную полосу с использованием трех отдельных дорожек (первые две являются наиболее важными, поскольку содержат информацию об имени владельца, номер счета и зашифрованный PIN-код). Эти данные могут быть использованы злоумышленниками для создания дублей реальных карт путем простой записи информации на карты-шаблоны с пустой магнитной полосой. Такие карты-шаблоны можно приобрести оптом по низкой цене, тогда как оборудование для записи информации злоумышленники создают самостоятельно с использованием стандартных компонентов.

Скиммеры, как правило, размещаются на банкоматах над слотами для карт и часто создаются с учетом особенностей внешнего вида ATM-систем конкретного банка. Считываемые данные хранятся в памяти скиммера, который впоследствии демонстрируется злоумышленником для изучения собранной информации. 

Есть различные подходы к борьбе со скиммингом. Одним из них является стандарт EMV, который был создан платежными системами Europay, Mastercard и Visa (отсюда и название Europay + MasterCard + VISA). Этот стандарт предполагает использование специального микрочипа вместо магнитной полосы для хранения данных на кредитных и дебетовых картах. Технология EMV в настоящее время активно используется по всему миру. Но распространение стандарта усложняется медленной модернизацией инфраструктуры: многие банкоматы и платёжные терминалы пока не поддерживают чиповыанные карты и по-прежнему полагаются на механизмы аутентификации с использованием магнитной полосы, что снижает безопасность пользователей.  

Но даже после полного перехода на чипованные банковские карты противостояние владельцев ATM-систем и злоумышленников вряд ли прекратиться. Ведь преступники также используют специальные вредоносные программы, чтобы считывать данные с карт непосредственно в самом банкомате. Одним из примеров такого вредоносного софта является зловред Suceful, который начал распространяться в августе 2015 года, сохраняя данные о владельцах дебетовых карт. Подобные вирусы заражают преимущественно старые банкоматы, работающие под управлением уязвимой операционной системы Windows XP. 

Более совершенные зловреды создаются, чтобы получить контроль над банкоматом не за счет использования уязвимостей установленной на нем операционной системы, а через межплатформное программное обеспечение стандарта XFS (Extensions for Financial Services). Стандарт XFS на клиент-серверную архитектуру для финансовых приложений был создан специалистами Европейского комитета по стандартизации (Comité Européen de Normalisation; CEN) на основе разработанной софтверным гигантом Microsoft платформы Windows Open Services Architecture Extensions for Financial Services (WOSA XFS). 

Первая версия XFS увидела свет еще в 1991 году. После этого стандарт актуализировался шесть раз – в том числе и ради повышения безопасности. Самая свежая его версия была опубликована в 2011 году и получила название XFS 3.20:2011. Справедливости ради следует отметить, что многие производители ATM-систем используют свои собственные вариации на тему XFS, но все они имеют много общего, что позволяет злоумышленникам проводить атаки на множество разных банкоматов одновременно. Это вызывает серьезную озабоченность экспертов в области безопасности. 

Распространение ATM-систем c бесконтактным интерфейсом также вызывает озабоченность аналитиков. Бесконтактные банкоматы предлагают существенный рост удобства по сравнению со стандартными аналогами, но при этом существенно повышается риск перехвата конфиденциальной информации злоумышленниками. Это справедливо даже в случае бесконтактных банкоматов с биометрическими системами аутентификации, где ввод PIN-кода потенциально может быть полностью исключен. Проблема на данном этапе заключается в отсутствии координации между производителями соответствующих устройств и их компонентов. Но эксперты прогнозируют, что активная работа по стандартизации в этой сфере уже в ближайшие годы поможет увеличить безопасность ATM-систем c бесконтактным интерфейсом.