Qwerty1999
Зарегистрирован:
3 августа 2013

Последний раз был на сайте:
21 февраля 2019 в 21:24
Qwerty1999 — Мысли вслух - понемногу о разном...  RSS блога
ООО «ГлавСеть»
6 февраля 2019, 21:49

Мошенники научились обманывать терминалы пополнения

Мошенники придумали новый способ обманывать платежные терминалы и вводить в убытки компании, которым они принадлежат. Вместо настоящих денег в аппараты стали засовывать черный картон с голограммными полосками, который воспринимается купюроприемниками, как настоящие 500 грн.

После этого ЧП все крупные компании, обслуживающие терминалы, тестировали свои устройства, пытаясь понять, при помощи какого приема и аппарата мошенникам удается обмануть купюроприемник. Однако до сих пор не разгадали этот секрет. Так что платежники до сих пор в опасности.
«В чем именно заключается схема, и как работает технология — установить нам так и не удалось. Мы неделю тестировали все возможные способы использования подделки, пробовали ее вставлять в различные типы купюроприемников, отдельно и вместе с подлинной купюрой. Но нам так до сих пор и не удалось повторить «успех» мошенников. Причем мне известно, что этого не смогли сделать и эксперты компании, обнаружившей у себя подделки», — рассказал технический специалист крупной компании-владельца сети платежных терминалов.
Он добавил, что подделка сделана из плотной глянцевой бумаги, похожей на ту, которую используют при печати журналов. А на месте, где у подлинника располагается защитная полоса, наклеена узкая лента фольги. Однако даже размеры настоящей купюры номиналом 500 грн. и подделки не совпадают.

После общения с технарями, чтения различных сообщений на эту тему а также анализа сложившейся ситуации — могу с уверенностью сказать, что специалисты ищут не то и не там.

Попробую аргументировать свою позицию, но начну издалека.

Последнее время НБУ ввёл в оборот купюры нового дизайна — лично видел новые купюры номиналом 20, 100 и 500 гривен. А это значит, что во всех ПТКС необходимо было модернизировать софт, добавив файлы с сигнатурами купюр нового дизайна. Значит у нас в стране есть программисты, владеющие навыками создания описания сигнатур (образов) купюр разных номиналов и я почти на 100% уверен, что чёрный лист с наклеенной узкой полоской фольги и есть один из вариантов описания сигнатуры псевдо-купюры в 500 гривен, созданной программистами а уж для каких целей — в качестве теста или для мошенничества — пусть разбираются соответствующие службы. А дальше дело техники — программисты говорят, что повесить обработчик нажатия определённой последовательности клавиш на цифровой клавиатуре терминала не составляет больших проблем. Для обслуживающего персонала вставить USB-флешку и запустить диагностический тест оборудования ПТКС тоже вполне тривиальная задача, но перед выполнением теста может запуститься скриптик обновления софта ПТКС а уже потом только стандартные тесты.

Модифицированный таким образом ПТКС кроме всех своих стандартных команд будет ожидать нажатие определённой последовательности клавиш, при котором ПТКС будет готов принимать «модифицированную» купюру номиналом в 500 гривен. На повторное нажатие такой же последовательности клавиш программа может уничтожать на диске все следы своего пребывания и принудительно перезагрузить ПО ПТКС. После такой перезагрузки терминал ничем не отличается от своего стандартного состояния и тестирование контрольных сумм всех файлов не выявит никаких отклонений. Аналогичные технологии применялись в том числе и при инфицировании вирусом «Петя» через ПО Медок.

Поэтому я бы рекомендовал выключать питание у ПТКС, у которых обнаружены чёрные куски картона вместо купюр номиналом 500 гривен, клонировать системный диск на резервный носитель и очень внимательно поискать следы несанкционированных действий злоумышленников.

Можно начать с системного журнала и изучения случаев перезагрузки (перезапуска) ПО ПТКС. А если воспользоваться всякими реаниматорами, то можно попытаться восстановить минимум удалённые оглавления и имена файлов, а если повезёт то и их содержимое.

Также рекомендовал бы безопасникам проанализировать фамилии сотрудников, которые в последнее время обслуживали «пострадавшие» от мошеннических манипуляций ПТКС — возможно окажется, что один и тот же сотрудник или бригада в разное время проводила техническое обслуживание всех пострадавших ПТКС.

Существование внешних устройств, оказывающих негативное воздействие на сканирующее устройство купюроприёмника ПТКС я с очень большой долей вероятности отвергаю и считаю такой сценарий очень даже маловероятным.

И наоборот, вариант модификации ПО ПТКС с внесением в качестве дополнительного шаблона купюры в 500 гривен обычной чёрной картонки с фольгированной полосой считаю самым вероятным сценарием развития этих событий.

Если у читателей блога появятся конструктивные предложения или такого же плана критика — готов внимательно ознакомиться с альтернативными точками зрения.

Просмотров: 3686, сегодня — 4
Следить за новыми комментариями

Комментарии - 5

+
0
Qwerty1999
Qwerty1999
6 февраля 2019, 22:54
#
Предлагаю вспомнить 2016 год…

Весной 2016 года был инцидент, который, несмотря на быстрое реагирование, успел нанести значительный ущерб одному банку. Атака была реализована с использованием вредоносного программного обеспечения Green Dispenser, установленного на банкоматы. Эта троянская программа позволяла по команде осуществлять выдачу наличных из диспенсера. Примечательно то, что для защиты от случайного запуска в вредоносном ПО использовалась двухфакторная аутентификация с двумя пин-кодами — статическим и динамическим (уникальным для каждого запуска). Злоумышленник подходил к банкомату с предварительно загруженным вредоносным ПО, вводил статический пинкод, после чего на экране банкомата появлялся QR-код. С помощью мобильного приложения преступник сканировал QR-код, получал второй (динамический) пин-код, открывающий доступ к диспенсеру наличных, забирал деньги и уходил.
+
0
ballistic
ballistic
6 февраля 2019, 23:16
#
«внешних устройств, оказывающих негативное воздействие на сканирующее устройство купюроприёмника ПТКС»
— мені прийшла саме така думка, коли прочитав опис проблеми. Але я далекий від цієї теми.
+
0
Qwerty1999
Qwerty1999
7 февраля 2019, 7:07
#
Новейшие формы вредоносных программ обычно оснащены «kill switch» — функцией, которая по существу удаляет и саму вредоносную программу и любые записи о ее функционировании и существовании.
Среди примеров таких вредоносных программ можно выделить Green Dispenser и Flame.

Green Dispenser позволял хакеру «сливать» наличность из банкомата, если он был заражен вредоносной программой. Как только банкомат был опустошен, вредоносная программа удаляла себя, используя процесс «глубокого удаления», не оставляя практически никаких следов того, каким образом был ограблен банкомат.

Даже поверхностный анализ лог-файлов системы ПТКС может выявить применение функции «kill switch» — а значит и использование существующего современного хакерского ПО, вместо применения никому неизвестных устройств, в какой-либо способ воздействующих на сканирующее устройство ПТКС.
+
+8
ramarren
ramarren
7 февраля 2019, 13:23
#
Программисты, покайтесь!
+
+81
Qwerty1999
Qwerty1999
7 февраля 2019, 19:49
#
Вы слышали от разработчиков дырявого софта МЕдос хоть намёки на покаяние — их основной аргумент — это не мы такие бестолковые, что в нашей локальной сети, на сервере версионирования, на фтп-ресурсе где складированы обновления с середины мая паслись никому не известные хакеры, а это хакеры такие умные.
И конечно никаких извинений за более чем восьми миллиардный ущерб экономике страны, нанесенный при помощи их дырявого ПО и неизвестных хакеров.
Чтобы оставить комментарий, нужно войти или зарегистрироваться