Банкоматный червь оказался «уткой»

Информация о сетевой угрозе, дающей возможность хакерам при помощи вредоносного кода обкрадывать пользователей банкоматов, сильно преувеличена. К такому выводу пришли специалисты по информационной безопасности, проанализировав принципы работы червя Skimer, обнаруженного в марте в нескольких терминалах. Эксперты уверяют, что вирус не только не может распространяться в закрытых системах банкоматов, но и не дает никакой возможности с его помощью обокрасть клиента. Теперь антивирусные эксперты приходят к выводу, что целью создания программы было нанесение репутационного ущерба банкам или производителю терминалов.

Напомним, что в марте в СМИ появился ряд сообщений о новом вирусе Skimer, поражающем банкоматы. Источниками этой информации стали антивирусные компании, зафиксировавшие случаи заражения банковских терминалов новой вредоносной программой. Вендоры сообщали, что червь позволяет неким злоумышленникам снимать деньги со счетов граждан, воруя PIN-коды пластиковых карт. При этом специалисты отмечали, что инфицировать закрытые системы банкоматов достаточно трудно, а точнее, практически невозможно, если только среди преступников не окажется человек, имеющий доступ к программному обеспечению терминалов.

Появление трояна, похищающего информацию о пластиковых картах и при этом не приводящего к выходу из строя самих банкоматов, эксперты назвали прорывом в индустрии вирусописания. До этого вредоносные программы, ориентированные на банковские терминалы, становились источниками неисправности аппаратов. «Уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах клиентов, которые ранее пользовались зараженным банкоматом, – сообщали в компании «Доктор Веб». – Тем самым с помощью полученной информации злоумышленники получают возможность уводить со счетов людей все деньги, которыми они располагают».

При этом в сообщениях антивирусных вендоров, касающихся зараженных новым вирусом банкоматов, фигурировали конкретные банки. В частности, упоминались Росбанк и «Петрокоммерц». Производители защитного ПО уточнили, что инфицированию подвержены аппараты производства компании Diebold (а это каждый третий банковский терминал в России), на которых установлена операционная система Windows XP Embedded.

Тут же последовали комментарии со стороны упомянутых банков, в которых сообщалось, что заражению подверглось всего несколько машин, проблема вполне устранима, и причин для серьезного беспокойства у клиентов быть не должно. Diebold, в свою очередь, заверила, что давно знает о существовании вируса и еще в январе проинформировала об этом своих клиентов. Кроме того, компания опровергла все появившиеся слухи о том, что злоумышленники получили какой-либо доступ к базам данных о клиентах. «По сведениям, которыми располагает компания Diebold, на данный момент случаев получения доступа к базам данных банковских клиентов не зафиксировано, – сообщили в компании. – Для того, чтобы внедрить вредоносное ПО, мошенники должны иметь физический доступ к «начинке» конкретного банкомата».

Спустя почти два месяца специалисты пришли к выводу, что целью появления вируса для банкоматов могла быть вовсе не кража денежных средств со счетов клиентов, а очернение репутации конкретных финансовых организаций или той же компании Diebold. Как сообщает «Коммерсантъ», такое заключение эксперты в области кибербезопасности сделали, изучив принцип работы вируса. Например, в антивирусной компании ESET отметили, что современные банкоматы не работают с открытыми PIN-кодами. Номера шифруются еще при вводе на клавиатуре и только потом поступают в процессинговый центр. Как добавляют в ESET, кража PIN-кода, зашифрованного 128-разрядным ключом, вряд ли осчастливит злоумышленников.

Антивирусные эксперты считают, что вероятность распространения червя в сети банкоматов с технической точки зрения практически равна нулю, поэтому, скорее всего, целью появления Skimer была провокация волны сообщений в СМИ, чтобы нанести удар по репутации банков или производителя банкоматов. Получить деньги с зараженного банкомата хакеры с помощью этой программы в любом случае не смогут.