«Троян» проник в закрытые сети нескольких российских банков
Юлия КУПРИНА, Алексей НАДЕЖДИН — 25.03.2009 17:25

Компания DrWeb обнаружила в закрытых сетях банкоматов некоторых российских банков вредоносный компьютерный вирус типа Trojan.Skimer, который ворует ПИН-коды и собирает информацию о банковских картах людей, которые воспользовались зараженным банкоматом.

Мошенники получают в зараженных банкоматах чек-распечатку с данными клиентов банка и их паролями, а затем переводят с их счетов все деньги, сообщает «Интерфакс».

- Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они могли привести к некорректной работе данных устройств. Появившийся недавно вирус действует иначе и способен нанести серьезный ущерб клиентам российских банков, которые используют банкоматы. Между тем, банки уверяют, что надежно защищены от такого рода угроз. Однако в Интернете уже появились сообщения о первых пострадавших держателях карт. Так же в Интернете можно найти названия банков, чьи банкоматы подверглись атаке нового троянского вируса, - сообщил в интервью «Комсомольской правде» руководитель отдела антивирусных разработок компании DrWeb Сергей Комаров.

"Образец этого троянца Служба вирусного мониторинга компании «Доктор Веб» получила через сервис онлайн-сканера. Dr.Web классифицирует данную вредоносную программу как Trojan.Skimer. Троянский конь собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, - подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества.

В связи с тем, что, как правило, сети банкоматов не связаны с Всемирной Паутиной, единственный способ проникновения на них подобной вредоносной программы - участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода.

Все это подтверждает результаты проведенных ранее исследований, свидетельствующих о том, что причиной утечек информации в организациях финансовой сферы зачастую становятся их сотрудники. Тем не менее, особенностью данной угрозы является тот факт, что ущерб наносится не только репутации банков, но и их многочисленным клиентам", - говорится в сообщении, размещенном на сайте компании DrWeb.

К сожалению, компьютерные специалисты не дают никаких советов пользователям банкоматов, что теперь делать и как избежать риска, а список банков, чьи банкоматы заражены, не разглашают, опасаясь судебных исков от банков.

«Троян» проник в закрытые сети нескольких российских банков
Юлия КУПРИНА, Алексей НАДЕЖДИН — 25.03.2009 17:25

Компания DrWeb обнаружила в закрытых сетях банкоматов некоторых российских банков вредоносный компьютерный вирус типа Trojan.Skimer, который ворует ПИН-коды и собирает информацию о банковских картах людей, которые воспользовались зараженным банкоматом.

Мошенники получают в зараженных банкоматах чек-распечатку с данными клиентов банка и их паролями, а затем переводят с их счетов все деньги, сообщает «Интерфакс».

Сам своими глазами видел как в одном из "банкоматов" на терминале перегружалась винда!!!!! Самая настоящая!!!!!!!!!!!! XP!!!!!! :leader:
На обычных "типа POS-терминалах" в супермаркетах тоже стоит винда (меня это когда-то даже улыбнуло - поскольку заметил на таком терминале "продукт конкурирующей фирмы" - у которой мы (организация - в которой я когда-то работал :grum: ) когда-то перехватили заказ) !!!!!!!! Системные интеграторы вообще как бы "не парятся" с security. :grum:
Связаны "через сеть" (пусть даже через Swift) - не столько банкоматы сколько сами банки. С банкомата достаточно только содрать инфу о данных юзера. Ну а поскольку "терминалом банкомата" является обычный комп - то особых проблем "стырить" возникать не должно. "Закрытость сети" там вообще не играет никакой роли.

Сам своими глазами видел как в одном из "банкоматов" на терминале перегружалась винда!!!!! Самая настоящая!!!!!!!!!!!! XP!!!!!! :leader:
На обычных "типа POS-терминалах" в супермаркетах тоже стоит винда (меня это когда-то даже улыбнуло - поскольку заметил на таком терминале "продукт конкурирующей фирмы" - у которой мы (организация - в которой я когда-то работал :grum: ) когда-то перехватили заказ) !!!!!!!! Системные интеграторы вообще как бы "не парятся" с security. :grum:
Связаны "через сеть" (пусть даже через Swift) - не столько банкоматы сколько сами банки. С банкомата достаточно только содрать инфу о данных юзера. Ну а поскольку "терминалом банкомата" является обычный комп - то особых проблем "стырить" возникать не должно. "Закрытость сети" там вообще не играет никакой роли.

все это очень странно - никакой инфы в самом банкомате не должно храниться в принципе. я в эту новость с трудом верю

даже если предположить что на той самой винде что-то завелось и смогло перехватить что-то ? что ? то отослать троян никуда ничего не сможет - связи с инетом же нету

Discovered: 18 March 2009
Updated: 19 March 2009 8:53:51 AM
Type: Trojan
Infection Length: 79,872 bytes
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Trojan.Skimer is a Trojan horse that opens a back door and steals information from compromised Automated Teller Machines (ATMs).

Protection
Initial Rapid Release version 18 March 2009 revision 055
Latest Rapid Release version 19 March 2009 revision 001
Initial Daily Certified version 19 March 2009 revision 005
Latest Daily Certified version 19 March 2009 revision 005
Initial Weekly Certified release date 25 March 2009
Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Threat Assessment
Wild
Wild Level: Low
Number of Infections: 0 - 49
Number of Sites: 0 - 2
Geographical Distribution: Low
Threat Containment: Easy
Removal: Easy
Damage
Damage Level: Medium
Payload: Opens a back door
Deletes Files: Deletes Windows prefetch files
Releases Confidential Info: Steals information, including account details and PINs
Compromises Security Settings: Compromises ATM control flow
Distribution
Distribution Level: Low
Writeup By: Masaki Suenaga

все это очень странно - никакой инфы в самом банкомате не должно храниться в принципе. я в эту новость с трудом верю

В том и "шутка юмора" - что промежуточные данные хранятся (на время операции). Кроме того можно просто неправильными входными данными инициировать нужную последовательность действий на стороне банка. Мне когда-то банкомат не хотел выплёвывать карточку. Ну я тогда ввёл "выдать ноль гривен"(сумма к выдаче=0). Он немного "задумалси". Засветилось "Недопустимая операция" и он выплюнул карточку.

Сам своими глазами видел как в одном из "банкоматов" на терминале перегружалась винда!!!!! Самая настоящая!!!!!!!!!!!! XP!!!!!! :leader:
На обычных "типа POS-терминалах" в супермаркетах тоже стоит винда (меня это когда-то даже улыбнуло - поскольку заметил на таком терминале "продукт конкурирующей фирмы" - у которой мы (организация - в которой я когда-то работал :grum: ) когда-то перехватили заказ) !!!!!!!! Системные интеграторы вообще как бы "не парятся" с security. :grum:
Связаны "через сеть" (пусть даже через Swift) - не столько банкоматы сколько сами банки. С банкомата достаточно только содрать инфу о данных юзера. Ну а поскольку "терминалом банкомата" является обычный комп - то особых проблем "стырить" возникать не должно. "Закрытость сети" там вообще не играет никакой роли.

Я тоже однажды заметил что винда стоит. Там висело даже фирменное виндовое окошко с какой-то ошибкой. Я даже чуть не офигел:) Вообще они должны работать наверно под QNX, или нормальный банк по идее вообще должен писать свой софт.
Кстати под Qnx в россии работает вся оборудка нефтяной промышленности, и даже разводной мост в Питере. А в Канаде, на ее родине, ней управляются светофоры в городах и даже ядерная электростанция. Неужели так дорого и сложно для банкиров, поставить нормальную, серьезную, сделанную для таких целей ОС.:confused:
...
Ну тут хоть по прогрессивному придумали тырить деньги. В Европе вообще додумывались до создания деревянных фальшпанелей накладываемых сверху. Это вроде-бы в Швеции такие умельцы были:D Сейчас там даже поделали металлические "шары", чтоб не получалось установить. В Украине кого-то заловили неск. лет назад, там тоже не по серьезному. Просто делали эмуляторы карт и записывали инфу. Добывали у своего человека как-то.

даже если предположить что на той самой винде что-то завелось и смогло перехватить что-то ? что ? то отослать троян никуда ничего не сможет - связи с инетом же нету

Отсылать никуда и не надо (не возможно почти)- распечатывает на банкомате, как чек :34:

Номерки, фамилии, даты, ну всё, что для счастья нужно.

http://upload.wikimedia.org/wikipedia/commons/5/54/DeLaRue_ATM_Crash.jpg

Класс! Синяя смерть–как раз то, что нужно видеть в окошке АТМ, чтобы никогда не обращаться в этот банк. Винде до риалтайм надежности–как верблюду до игольного ушка.

Класс! Синяя смерть–как раз то, что нужно видеть в окошке АТМ, чтобы никогда не обращаться в этот банк. Винде до риалтайм надежности–как верблюду до игольного ушка.
Ну - защита от вирусов в этом случае актуальна. Хотя даже для винды можно писать standalone applications.

Ну - защита от вирусов в этом случае актуальна. Хотя даже для винды можно писать standalone applications.

Даже для..? Что ты хочешь сказать?
Напомню, что 1й вирус был как раз для Unix, и эксплуатировал дыру в sendmail.

Вот тут кстати, полезная статейка на похожую тему: http://community.livejournal.com/ua_bank/90424.html?page=2

Даже для..? Что ты хочешь сказать?
Напомню, что 1й вирус был как раз для Unix, и эксплуатировал дыру в sendmail.
Christmas Tree - вообще был на REXX нарисован для CMS VM/360. :grum:

Даже для..? Что ты хочешь сказать?
Напомню, что 1й вирус был как раз для Unix, и эксплуатировал дыру в sendmail.
Хочу сказать - что даже винду можно сделать безопасной. Ведь WFLP довольно трудно "заразить".

Та смысл с виндой бодаться?
Она монолитная и неповоротливая, много всяких глюков и непредсказуемых проявлений в работе. Если бы ввели какую нибудь сертификацию по надежности, то наверняка она бы провалила тесты по многим показателям.
Даже майкрософт на своих серверах свои продукты не ставит.

Та смысл с виндой бодаться?
Она монолитная и неповоротливая, много всяких глюков и непредсказуемых проявлений в работе.
Очень сильно удивишься - но "винда" как раз является "коммерческой работающей" микроядерной системой (которая очень похожа на Minix - "концептуально" ). Да и идею "выполнения системных запросов в адресном пространстве пользователя" эта самая "винда" реализовала достаточно последовательно вплоть до "загрузки драйверов устройств в адресное пространство пользователя". :grum:

Очень сильно удивишься - но "винда" как раз является "коммерческой работающей" микроядерной системой (которая очень похожа на Minix - "концептуально" ). Да и идею "выполнения системных запросов в адресном пространстве пользователя" эта самая "винда" реализовала достаточно последовательно вплоть до "загрузки драйверов устройств в адресное пространство пользователя". :grum:

Это на бумаге. А в реальности, это самая глючная и подверженная атакам платформа, и апгрейд на новую версию в обязательном порядке требует покупки новых машин.