Мобильное приложение журнала
Google Play Apple Store
курс цб на 09.04: USD 75.7499 EUR 82.2341
криптовалют: BTC 7368$ ETH 173.31$
lupa
Журнал ПЛАС » Архив » 2016 » ЖУРНАЛ ПЛАС № 3(226) » 677 просмотров

ЭКЦ МВД РФ: банкоматное мошенничество в России становится все разнообразнее

ЭКЦ МВД РФ: банкоматное мошенничество в России становится все разнообразнее

Ольга Тушканова, зам. начальника управления экспертно-криминалистического центра МВД России

Проблема эффективного обеспечения безопасности в условиях активизации преступного сообщества и появления новых угроз стала одной из ключевых тем 7-го Международного ПЛАС-Форума «Банковское самообслуживание, ритейл и НДО 2015». Неслучайно в минувшем году это мероприятие собрало такое количество экспертов в области безопасности из России и других стран мира. В февральском номере журнала «ПЛАС» мы опубликовали материал, подготовленный Алексеем Голенищевым, членом MasterCard Europe Fraud Advisory Committee, на базе своего доклада, посвященного актуальным угрозам безопасности банкоматных сетей и электронной коммерции.( См. материал «Фрод: классика жанра и «национальные особенности», «ПЛАС» № 2/2016) В этот раз предлагаем читателям ознакомиться со статьей еще одного спикера октябрьского ПЛАС-Форума, чье выступление вызвало широкий резонанс среди аудитории, – Ольги Тушкановой, зам. начальника управления экспертно-криминалистического центра МВД России. В данной публикации автор дает подробный анализ целого ряда схем и конкретных примеров в области банкоматного мошенничества в России.

Устройства банковского самообслуживания (УС) – банкоматы, платежно-информационные терминалы и т. п. – являются одним из наиболее хорошо освоенных предметов преступного посягательства в сфере ДБО. Как правило, УС рассматриваются злоумышленниками либо как объекты, в которых хранятся наличные денежные средства, либо как объекты, с помощью которых можно получить данные платежных карт для последующего осуществления доступа к денежным средствам законных держателей этих карт.

Для кражи наличных денег из УС преступниками используется широкий спектр различных видов устройств и приспособлений: от очень простых механических решений, позволяющих украсть одну купюру, до сложных программ и аппаратно-программных комплексов, позволяющих быстро и без физического воздействия опустошить сейф атакованного устройства.

Наиболее простыми приспособлениями являются так называемые ловушки для наличных (cash trapping), устанавливаемые преступниками в слот для выдачи наличных. В настоящее время наиболее распространены два типа таких устройств – «заглушки» (оборотная сторона которых покрыта клеящим составом, и «вилки» (cash claws), удерживающие банкноты внутри презентера.

Достаточно популярным в преступной среде является использование поддельных банкнот, в которых имитируются машиночитаемые признаки (в том числе так называемые склеенные банкноты, или «склейки»). Визуально такие подделки выявляются сразу, но валидаторы УС, настраиваемые, как правило, для проверки только машиночитаемых признаков, легко могут принять их за подлинные. Такие денежные билеты могут быть полностью поддельными, могут включать в себя части подлинных банкнот, а могут целиком быть составлены из фрагментов денежных билетов различных номиналов. ( Подробнее читайте материалы «За изготовление и сбыт «склеенных» купюр – до 15 лет» («ПЛАС» № 4/2015) и «Новая редакция статьи 187 УК РФ: «казнить нельзя помиловать»)


Для кражи наличных денег из УС преступниками используется широкий спектр различных видов устройств и приспособлений


Продолжают развиваться в преступной среде технологии так называемых многоразовых купюр. К ним относятся «купюра на скотче», «купюра на леске», «купюра на нитке», которые используются мошенниками в платежных терминалах с функцией cash-in. После проведения операции зачисления на счет наличных преступник «выдергивает» ее из модуля приема банкнот.

При этом совершенствуются не только сами приспособления для мошенничества, но и разрабатываются дополнительные устройства им в помощь. Так, уже выявлялись факты установки в купюроприемник УС с функцией автоматизированного депозита специальных вкладок, позволяющих обходить имеющуюся в нем защиту (отражатели и т. п.).

По-прежнему остаются востребованными преступниками и такие способы хищения наличных денежных средств, как физические атаки на устройства самообслуживания, включая кражи (зачастую с использованием тяжелой строительной техники), подрывы (как газом, так и взрывчатыми веществами), взло- мы банкоматов, платежных терминалов и других типов УС. Несмотря на традиционный характер таких преступлений, преступники становятся все более изощренными, изучают и эффективно преодолевают различные системы охранной сигнализации, в том числе комплексные.

Cash trapping: «заглушка», установленная на слоте УС для выдачи денег
Cash trapping: «вилка» (Cash claws), удерживающая банкноты внутри презентера
«Склеенная» банкнота с подлинными машиночитаемыми знаками

Нельзя не отметить, что технические средства защиты УС также не стоят на месте. Однако их приобретение, установка и обслуживание требуют ощутимых денежных затрат, поэтому оснащение такими средствами происходит не так быстро и повсеместно, как того требует ситуация. Это обстоятельство также используется преступниками, которые активно исследуют и используют все вновь обнаруживаемые уязвимости УС. Так, уже появилась накладка-дубликат, устанавливаемая на слот выдачи наличных, в которую интегрировано скимминговое оборудование, предназначенное для видеозаписи процесса набора инкассаторами кода открытия лимбового замка сейфа банкомата. Такие накладки разрабатываются преступниками под конкретные модели банкоматов.

Помимо физических атак с целью хищения наличных денежных средств из банкоматов и платежных терминалов сегодня преступники периодически используют и интеллектуальные высокотехнологичные методы, не предусматривающие необратимое физическое воздействие на само устройство, но полностью опустошающие его сейф от наличных денежных средств. К последним можно отнести использование вредоносного программного обеспечения, инсталлируемого в программную среду системного блока банкомата и позволяющего с ПИН-клавиатуры давать команды диспенсеру на выдачу имеющихся в банкомате денежных средств без информирования хоста банка об этих операциях, а также удалять следы своей «работы» в программных журналах устройства.

Поскольку на фоне ряда нашумевших инцидентов с многомиллионными потерями банки-эквайеры стали уделять пристальное внимание защите от такого рода кибератак, преступники разработали новый, теперь уже комплексный, аппаратно-программный способ ограблений банкоматов. Суть последнего заключается в установке в значительно менее защищенный по сравнению с сейфом верхний кабинет банкомата дополнительного устройства, так называемого черного ящика, подключаемого по интерфейсным кабелям в разрыв между системным блоком УС и диспенсером. Оснащенный аккумулятором, Wi-Fi антенной, программами удаленного доступа, типовым программным обеспечением, построенным на платформе XFS (Extensions for Financial Services), и проч., «черный ящик» позволяет удаленно управлять диспенсером банкомата и выдавать денежные средства из него без каких-либо манипуляций с интерфейсами, расположенными на лицевой панели банкомата (ПИН-клавиатурой, сенсорным экраном и т. п.).

Недостаточную защищенность банкоматов преступники используют и при таких способах кражи наличных денежных средств, как «изменение» номиналов загруженных купюр в меньшую сторону на уровне программных настроек банкомата и использование эмулятора хост-системы процессинга для подтверждения авторизации платежных карт.

Хищение денежных средств не всегда связано с попытками завладеть наличными, размещенными в УС. В настоящее время преступники разрабатывают и другие способы мошенничества с использованием устройств самообслуживания. Так, например, появилась технология «виртуального купюроприемника», пополняющего счет клиента без внесения наличных денежных средств в платежный терминал. Управление таким виртуальным устройством производится с помощью программ удаленного доступа, установленных непосредственно в программную среду системного блока терминала.

Накладка-дубликат на окно выдачи наличных
«Многоразовые купюры», используемые преступниками для мошенничества с использованием cash-in устройств
Одно из рабочих окон программы Backdoor. Win32.Tyupkin.d

Получение доступа к денежным средствам клиентов также характеризуется разнообразием вариантов от самых простых, традиционных, не подразумевающих использование никаких дополнительных приспособлений (кража карты у законного держателя, грабеж или разбойное нападение на держателя, «дружественное мошенничество» и т. п.), до весьма наукоемких, хорошо разработанных сложных по своим схемам преступлений.


Небольшое скимминговое устройство может быть установлено непосредственно на антискиммер


К простейшим преступлениям на ниве банкоматного мошенничества можно отнести практикуемое преступниками уже на протяжении более 20 лет использование таких механических приспособлений, как, например, «ливанская петля» (Lebanese loops). Речь идет о так называемых блокираторах, вставляемых в слот картоприемника и задерживающих любую попадающую в банкомат платежную карту. Отличительной особенностью этого преступления является обязательное присутствие преступника рядом с банкоматом, так как ему не только требуется узнать ПИН-код платежной карты (банально подглядеть или выманить у жертвы под предлогом оказания помощи с извлечением «внезапно застрявшей карточки»), но и обязательно извлечь заблокированную мошенническим устройством карту после ухода ее законного держателя до того момента, когда банкоматом попытается воспользоваться следующий клиент.

Весьма непростым по подготовке и исполнению является использование преступниками вредоносного программного обеспечения, позволяющего не только «опустошать» диспенсер, но и перехватывать данные магнитной полосы платежной карты и сведения о вводимом клиентом ПИН-коде (так называемый киберскимминг).

Так как количество устанавливаемых устройств самообслуживания только увеличивается, сегодня ничего не стоит «спрятать» среди целого ряда УС несколько «фальшивых» банкоматов или платежных терминалов, в том числе в крупных торговых центрах, аэропортах и т. д. Основной целью «фальшивого» банкомата является передача своему преступному владельцу данных, считанных с магнитной полосы платежной карты, а также сведений о том, какие кнопки на клавиатуре и в какой последовательности нажал ее держатель при запросе у него ПИН-кода «банкоматом», не возбуждая при этом у жертвы никаких подозрений о нелигитимности устройства. В свою очередь «фальшивый» платежный терминал должен осуществить прием денежных средств от клиентов, не давая им повода усомниться в том, что рано или поздно они поступят на счет плательщика.

Наибольший вклад в кражу реквизитов платежных карт, включая аутентификационные данные, вносят так называемые скимминговые устройства, устанавливаемые на различные УС. Поскольку чтение информации с магнитной полосы платежных карт и ввод ПИН-кода в устройствах самообслуживания физически разнесены, преступникам приходится получать эти данные различными методами.

Информацию о ПИН-коде получают с использованием устройств двух типов – накладок на клавиатуру банкомата и миниатюрных видеокамер, устанавливаемых как в разного рода накладки на УС, так и внедряемых во внешнюю среду вокруг УС (например, видеокамера для компрометации ПИН-кода может крепиться к стене, рядом с которой установлено УС). Информацию с магнитной полосы преступники получают также двумя способами – в большинстве случаев с помощью магнитной головки, устанавливаемой во внешнюю накладку либо внутреннюю вкладку в слот картоприемника банкомата (т. н. шиммер, shimmer), либо непосредственно с картоприемника, используя для этого специальные контактные площадки шиммера.

Оснащенный аккумулятором, Wi-Fi антенной, программами удаленного доступа, типовым ПО и проч., «черный ящик» позволяет удаленно управлять диспенсером банкомата без каких-либо манипуляций с интерфейсами, расположенными на лицевой панели банкомата
Внешний вид лицевой и оборотной сторон накладки на картоприемник банкомата с GSM-модемом
Шиммер с контактными площадками
Отверстие в лицевой панели банкомата, проделанное преступниками для установки шиммера

По способам хранения и передачи перехваченной информации скимминговые устройства можно классифицировать следующим образом:

1. Похищенные данные карт хранятся на машинных носителях информации скиммингового устройства (чипах, картах памяти) в кодированном или шифрованном виде. Для ее получения устройство должно быть снято преступниками, а машинный носитель непосредственно либо с использованием специализированных кабелей подключен к компьютеру, информация с него декодирована либо дешифрована.

2. Информация о прохождении каждой карты через картоприемник и соответствующем ей ПИН-коде передается по радиоканалу (в виде SMS-сообщений), на скимминговых устройствах не хранится (используются две накладки: на ПИН-клавиатуру и на картоприемник, обменивающиеся между собой информацией по инфракрасному каналу, и модем для передачи похищенных данных, установленный в одну из накладок). Ввиду достаточно высокой стоимости таких скимминговых устройств преступники предпочитают применять их многократно, периодически переставляя с одного устройства на другое.

3. Полученная с помощью накладки на картоприемник информация передается по Bluetooth-каналу на обычный мобильный телефон, оснащенный видеокамерой и устанавливаемый в накладку в форме планки, так, чтобы видеокамера телефона была направлена на ПИН-клавиатуру. Телефон в реальном режиме времени передает всю получаемую им информацию в облачное хранилище данных. Ввиду дешевизны технологии преступники могут не возвращаться за такими накладками, используя их однократно и не подвергая себя риску быть взятым с поличным.

Если первоначально скимминговые устройства, выполняемые в виде накладок на УС, камуфлировались под дизайн самой модели, то в настоящее время все чаще появляются накладки, мимикрирующие под антискиммеры (видеокамера может быть установлена в защитный кожух ПИН-клавиатуры, радиоэлектронная сборка с магнитной головкой – в пассивный антискиммер, и т. п.). Миниатюризация радиоэлектронных сборок привела к тому, что небольшое скимминговое устройство может быть установлено и непосредственно на антискиммер. При этом если магнитную головку, устанавливаемую в накладку на картоприемник банкомата, может увидеть каждый, то так называемые шиммеры (скиммеры, устанавливаемые внутри картоприемника либо непосредственно самого УС) практически ничем себя не выдают. Необходимо отметить, что в процентном соотношении происходит рост числа случаев использования именно шиммеров.

Мы наблюдаем тенденции по удешевлению и миниатюризации электронных сборок скимминговых устройств, улучшению возможностей по их камуфлированию, использованию новых способов хранения перехваченной информации (например, «облачных» технологий), определенным образом затрудняющих возможности правоохранительных органов по выявлению и доказыванию таких преступлений.


Сегодня мы наблюдаем тенденции по удешевлению и миниатюризации электронных сборок скимминговых устройств


В заключение хотелось бы отметить, что полноценно осветить рассматриваемую тему в рамках одной журнальной статьи по понятным причинам не представляется возможным, как невозможно даже кратко рассмотреть весь арсенал, накопленный преступниками для извлечения из устройств самообслуживания денежных средств и компрометации используемых в УС платежных карт. При этом с расширением спектра устройств и технологий, использующих наличный и безналичный способы расчета, будет происходить и развитие криминальных схем, использующих вновь возникающие уязвимости. Противодействие этому виду преступлений должно быть комплексным – с участием как самих кредитных организаций, так и органов правопорядка, с широким привлечением гражданского общества.

Читайте в этом номере:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных