Атака принесла ворам миллионы долларов. Но что еще важнее для клиентов, выяснилось, что мошенники смогли получить доступ к PIN-кодам – числовым паролям, которые теоретически являются наиболее защищенными элементами банковских транзакций – организовав атаку на серверные компьютеры, ответственные за одобрение снятия наличных.
Дело, возбужденное против трех человек Федеральным районным судом США в Южном округе Нью-Йорка, выдвигает на первый план серьезную проблему.
Хакеры атакуют инфраструктуру системы банкоматов, которая все чаще базируется на операционной системе Windows (Microsoft Corp.) и позволяет производить удаленную диагностику и наладку машин по сети Интернет. Несмотря на стандарты индустрии, требующие защищать PIN-коды криптостойким шифрованием, то есть кодированием для их маскирования от посторонних, некоторые ATM-операторы, очевидно, не применяют такой способ защиты. Утечка PIN-кодов может происходить во время их передачи между банкоматами и компьютерами, обрабатывающими транзакции.
«Предполагается, что PIN-коды должны быть неприкосновенны – но оказалось, что их не всегда шифруют, как нужно, - признает Эвайва Лайтан (Avivah Litan), аналитик Gartner. – Банкам необходима гораздо более мощная система обнаружения мошенничества и более строгая аутентификация».
Неизвестно, сколько клиентов Citibank оказались пострадавшими от этой утечки, которая продолжалась с октября 2007 года по март этого года и о которой впервые сообщил сайт Wired.com. Банк располагает 5 700 банкоматами под брендом Citibank в магазинах 7-Eleven Inc. на всей территории США, но не управляет ни одним из них.
Таким образом, ответственность ложится на плечи двух компаний: хьюстонской Cardtronics Inc., которая владеет всеми банкоматами, но управляет лишь несколькими, и брукфилдской Fiserv Inc., которая оперирует всеми остальными.
Важной проблемой в ходе расследования стал вопрос о том, как хакеры смогли проникнуть в систему, на который никто пока публично не ответил.
Известно лишь, что они взломали систему банкоматов через сервер процессора-третьей стороны, что означает, что им, возможно, вовсе не нужно было трогать банкоматы, чтобы провести атаку.
Они могли получить административный доступ к машинам – то есть, ко всей информации – через брешь в защите или подобрав пароли к этим компьютерам. Или, возможно, они установили вредоносные программы на банковский сервер, чтобы получить незашифрованные PIN-коды во время передачи.
Для потребителей это означает, что их PIN-коды были украдены из машин, которые не подали ни единого сигнала о взломе. Раньше воры обычно предпринимали шаги, которые могли привлечь какое-то внимание – к примеру, рассылали «фишинговые» письма или устанавливали фальшивые клавиатуры или даже микрокамеры на банкоматы.
Получение PIN-кода является главной операцией для преступников. Он позволяет им переносить информацию со счета на пустую карту и снимать наличные со взломанных счетов.
Дон Джексон (Don Jackson), директор SecureWorks Inc. по сбору данных об угрозах, отмечает, что он обеспокоен «тревожным» увеличением количества атак на оконечные компьютеры сетей банкоматов за последний год.
«Эта атака была довольно крупной, и я не думаю, что в этом есть что-то необычное – такое происходит ежедневно, - говорит он. – Что делает этот случай уникальным, так это удачное стечение обстоятельств, позволившее поймать этих ребят на месте преступления. Но существует множество других происшествий с банкоматами и PIN-кодами, о которых не сообщают».
Предполагаемое развитие событий освещено в судебных документах в поддержку обвинения трех лиц – Юрия Ракущинеца (Yuriy Rakushchynets), Ивана Бильце (Ivan Biltse) и Ангелины Китаевой (Angelina Kitaeva). В марте их признали виновными по двум пунктам – заговор и мошенничество. По данным обвинения, их действия способствовали получению нелегальных доходов на сумму не менее $2 млн.
Представители Citibank, подразделения Citigroup Inc., отказались сообщить такие уточняющие детали, как количество пострадавших клиентов или каким образом хакеры взломали систему. Банк уведомил клиентов и выдал им новые дебетовые карты.
«Мы хотим, чтобы наши клиенты знали, что в соответствии с законодательством, мы не возлагаем на них ответственность за мошенническую активность на их счетах», - говорится в заявлении банка.
По словам представителей Cardtronics, компания сотрудничает с властями. Представитель. Fiserv Мелани Толли (Melanie Tolley) утверждает, что в серверы Fiserv проникновений не было.
