Троянский вор. Что тащит на своем хвосте вирус, проникший в платежные терминалы?
Зловредное программное обеспечение добралось до терминалов мгновенных платежей - сообщение об этом появилось недавно на сайте антивирусной компании "Доктор Веб". Событие, конечно, тревожное, но ожидаемое. Это ведь не первый случай виртуальной атаки на "ящики с деньгами" - в начале 2009 года в российских банкоматах был обнаружен вирус, который в течение нескольких месяцев собирал и передавал "хозяину" информацию о счетах клиентов банков, необходимую для снятия денег. С точки зрения вирусописателей терминалы мало чем отличаются от банкоматов - по сути это тоже компьютеры, связанные в единую сеть. А платежные терминалы QIWI, о которых идет речь, - лакомый кусок для заказчиков зловредного ПО: их более 100 тысяч - половина всех таких устройств, установленных в стране, а оборот в 2010 году составил порядка 200 миллиардов рублей. Какие выводы предстоит сделать?
Во-первых, опасность может приходить не только из Интернета. Обнаружили трояна, как рассказывает Сергей Комаров, руководитель отдела антивирусных разработок и исследований "Доктор Веб", в ходе изучения бот-сети, формируемой вирусом BackDoor.Pushnik: "Так мы узнали, что иногда этот троянец закачивает по сети Интернет ПО Trojan.PWS.OSMP. Исследовав эту угрозу, мы поняли, что оно может иметь отношение к платежным терминалам". И, как оказалось, самое непосредственное: попадая в операционную систему "ящика" QIWI, вирус Trojan.PWS.OSMP изменяет содержимое одного из ключевых внутренних процессов - подменяет номер счета получателя внесенных средств на "хозяйский". Средства информационной безопасности сработали оперативно. По данным Бориса Кима, председателя комитета по платежным системам и банковским инструментам НАУЭТ и председателя совета директоров QIWI, Trojan.PWS.OSMP успел заразить 10 терминалов, с которых было проведено около 100 транзакций. Все инфицированные терминалы были заблокированы.
Но как вирус мог попасть в терминалы, если они, как поясняют в QIWI, не подключены к Интернету? Большинство экспертов склоняются к простому варианту - через USB-флэшку с зараженным ПО BackDoor.Pushnik. Злоумышленники скачали с нее вирус на терминал - там есть соответствующий слот для обновления ПО или перезапуска зависшего устройства. PR-директор QIWI Александра Высочкина предполагает и такой сценарий: специалист, работавший с терминалом, не соблюдал правил безопасности и случайно заразил служебную флэшку без всякого умысла. Правда, указывают эксперты по безопасности, сам автономный принцип работы наладчиков на объектах может спровоцировать их к неправедным поступкам. Тимур Аитов, исполнительный директор Ассоциации российских банков, уверен, что действие по заражению терминала было умышленным, и выполнил его тот, кто имел доступ к блоку управления терминалом. А им может оказаться как специалист-наладчик, так и сам владелец терминала. Впрочем, тут вопрос больше не к сервисным службам, а к самому программному обеспечению. Ведь вирусу удалось в два счета подменить ключевые данные - счет получателя денег. "Хотя суммы ущерба, получившие огласку, незначительны, очевидно, что экономить на безопасности нельзя, потому что подобные атаки и даже более изощренные будут повторяться",- резюмирует Тимур Аитов.
А вот с этим есть некая загвоздка. Ведь аппаратные средства защиты терминалов типа "сторожевого таймера" (watchdog), флэшки с защитой (E-Token), которые можно программно связать с конкретными сотрудниками и их действиями в системе, требуют денег из кармана владельца терминала, который для QIWI является агентом. Секрет коммерческого успеха терминальной сети во многом кроется в удачной бизнес-стратегии, основанной на массовом привлечении партнеров-агентов (их сейчас около 8 тысяч) и минимальных требованиях к ним. Чтобы стать владельцем терминального бизнеса, всего-то и нужно быть юридическим лицом, приобрести терминал стоимостью несколько десятков тысяч рублей и зарегистрировать контрольно-кассовую технику. Предложений в Интернете типа "доходный бизнес под ключ" - множество. Фактически можно потратиться на терминал, поставить его на даче и жить с процентов, которые оставят соседи, желающие без хлопот оплатить свет и газ, а также гастарбайтеры, работающие у этих соседей, - они с удовольствием будут перечислять родственникам заработанные деньги.
Конечно, на даче много не заработать. Но в хорошем людном месте дневной оборот терминала, говорит Аитов, доходит до 10 000 долларов день, что дает комиссионный доход на уровне 200-300 долларов ежесуточно, или около 10 000 долларов в месяц с одного терминала. А себестоимость транзакций, указывает эксперт, при этом крайне мала - от 0,01 цента до нескольких центов. Таким образом, простенькая, агентская схема организации бизнеса является тем "неизбежным злом", которым расплачивается потребитель за удобство и оперативность платежей.
Такая ситуация была возможна лишь при низкой конкуренции на рынке. Но сегодня все изменилось - операторы платежных сервисов дают потребителю доступ к платежным сервисам через все большее число интерфейсов: мобильных, терминальных, интернетовских, стирая различия между поставщиками. "Число клиентов операторов электронных денег приближается к 30 миллионам, и это означает, что экстенсивный рост уже скоро исчерпается и начнется реальная битва за абонентов", - считает Виктор Достов, председатель совета ассоциации "Электронные деньги". При этом, отмечает Дмитрий Шмаков, вице-президент по маркетингу и коммерческой деятельности ChronoPay, одним из самых быстрорастущих направлений являются платежи по банковским картам. "Почти все российские электронные платежные системы реализовали в этом году возможность пополнения кошельков и возможность оплаты услуг с помощью банковских карт", - отмечает он.
Напрашивается вывод, что появление на сцене трояна Trojan.PWS.OSMP - это сигнал того, что рынок электронных платежей скоро изменится, причем революционно. Ведь на горизонте уже маячит новый инструмент - универсальная электронная карта (УЭК), запуска которой в считаные месяцы потребовал Кремль. В том, что она будет обладать платежной функцией, сомневаться не приходится: государство кровно заинтересовано в уходе населения от кэша в безналичные денежные расчеты. В будущем УЭК может стать мощным конкурентом для нынешних игроков, например для международных платежных систем. Не зря же которую неделю подряд не стихают дискуссии вокруг законопроекта "О национальной платежной системе". А для владельцев терминальных сетей УЭК открывает совсем другие горизонты. Ведь это стабильный ресурс для расширения платежного бизнеса, к тому же гарантированный государством. Так что появление "троянского коня" в платежных терминалах говорит не столько о происках конкурентов, сколько о грядущем глобальном переделе на рынке электронных платежей. Некоторые детали этого нового расклада мы узнаем совсем скоро - Дмитрий Медведев поручил чиновникам разработать нормативно-законодательную базу УЭК к 1 мая.
Троян неудержимый
В "Лаборатории Касперского" сообщают, что недавно отловленный троянец Trojan.PWS.OSMP - вовсе не нов. "Первое его появление датируется 8 апреля 2008 года, - рассказывает Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского". - И через несколько недель экземпляр этой программы детектировался практически всеми антивирусами". С тех пор в руки антивирусных компаний попало еще порядка десяти экземпляров подобных программ. Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 года, - рассказывает Сергей Комаров из компании "Доктор Веб", - действует по совсем новой схеме: она крадет с терминала конфигурационный файл, чтобы потом, возможно, злоумышленники могли создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме. Только в нынешнем году защитные системы "Лаборатории Касперского" отразили около 30 тысяч попыток заражения по всей России, а некоторые экземпляры этих вредоносных программ добрались до Эквадора.
Чем грозит появление троянца в сети платежных терминалов?
Борис Ким, председатель комитета по платежным системам и банковским инструментам НАУЭТ: "Во-первых, это ошибка не всей сети QIWI, а лишь некоторых агентов, которые пренебрегли элементарными мерами безопасности. Во-вторых, само по себе появление вирусов не страшно: они всегда атаковали и будут атаковать популярные сервисы. Это как в организме человека: вирусов полно, но иммунитет держит их под контролем. Данный случай - вполне рядовой, но важно, что компания умеет эффективно бороться с угрозами безопасности".
Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского": "Данная ситуация - первая ласточка серьезной угрозы, которая нависла над всяческими платежными терминалами всех родов и мастей. Способы борьбы с этой угрозой известны. Но чтобы эта борьба началась, людям нужно активно реагировать на данные инциденты: требуйте возврата денег, пишите заявления в милицию, только так можно заставить бизнес обратить внимание на вопросы, связанные c безопасностью таких правильных и удобных вещей, как терминалы".
Тимур Аитов, исполнительный директор Ассоциации российских банков: "Факт фиксации троянца в сети терминалов QIWI говорит скорее не о слабой защищенности самих терминалов, а о том, что бизнесом в сети занимаются случайные люди. В целом угрозы безопасности в этой сфере не оригинальны и схожи с теми, которые давно существуют для банковских платежных систем. Если киберпреступники продолжат интересоваться терминалами, их владельцам придется срочно перенимать соответствующий банковский опыт и технологии".
Николай Федотов, главный аналитик Infowatch: "Вредоносное ПО в платежных терминалах - это та угроза, появления которой специалисты ожидали еще в 2009 году, после того как была успешно применена троянская программа, заражавшая банкоматы и воровавшая атрибуты банковских карт с пин-кодами. По сравнению с ними терминалы оплаты, которые принадлежат разным владельцам и подключаются к публичной сети Интернет, выглядят гораздо более простой добычей для злоумышленников: управляющее ПО терминалов более доступно для изучения, а заразить их легче.
Вирус мог попадать на платежный терминал не только через зараженную флэшку, но также и при удаленном обновлении системы, через предварительное заражение софта в депозитарии, через подкуп обслуживающего персонала. Способов намного больше, чем для банкомата. А впереди - новые угрозы.
Посмотрите на активно развивающуюся систему мобильных платежей - возможностей внедрения троянов там еще больше. Это, конечно, удобно, когда пользователь оплачивает товары и услуги нажатием пары кнопок на своем смартфоне. Но мобильный девайс превращается при этом в такой же платежный терминал. Только степень его защиты еще ниже. А возможности внедрения троянской программы еще шире, чем для спецтерминала типа "Киви".
Исключить вообще кражи денег троянами типа Trojan.PWS.OSMP невозможно. Поэтому следует иметь вторую линию обороны: подробный аудит всех операций на технически независимых компьютерах плюс организационная процедура для расследования инцидентов и возврата денег потерпевшим. Если украденные деньги станут возвращать оперативно и без неприятных переживаний, будет все в порядке - клиенты не станут бояться пользоваться платежной системой. А вот если потерпевшему придется ходить по инстанциям, унижаться перед бюрократами, собирать справки для возврата собственных средств, это способно поставить крест на самой благой идее, ведь люди просто станут избегать пользоваться такой платежной системой".
Во-первых, опасность может приходить не только из Интернета. Обнаружили трояна, как рассказывает Сергей Комаров, руководитель отдела антивирусных разработок и исследований "Доктор Веб", в ходе изучения бот-сети, формируемой вирусом BackDoor.Pushnik: "Так мы узнали, что иногда этот троянец закачивает по сети Интернет ПО Trojan.PWS.OSMP. Исследовав эту угрозу, мы поняли, что оно может иметь отношение к платежным терминалам". И, как оказалось, самое непосредственное: попадая в операционную систему "ящика" QIWI, вирус Trojan.PWS.OSMP изменяет содержимое одного из ключевых внутренних процессов - подменяет номер счета получателя внесенных средств на "хозяйский". Средства информационной безопасности сработали оперативно. По данным Бориса Кима, председателя комитета по платежным системам и банковским инструментам НАУЭТ и председателя совета директоров QIWI, Trojan.PWS.OSMP успел заразить 10 терминалов, с которых было проведено около 100 транзакций. Все инфицированные терминалы были заблокированы.
Но как вирус мог попасть в терминалы, если они, как поясняют в QIWI, не подключены к Интернету? Большинство экспертов склоняются к простому варианту - через USB-флэшку с зараженным ПО BackDoor.Pushnik. Злоумышленники скачали с нее вирус на терминал - там есть соответствующий слот для обновления ПО или перезапуска зависшего устройства. PR-директор QIWI Александра Высочкина предполагает и такой сценарий: специалист, работавший с терминалом, не соблюдал правил безопасности и случайно заразил служебную флэшку без всякого умысла. Правда, указывают эксперты по безопасности, сам автономный принцип работы наладчиков на объектах может спровоцировать их к неправедным поступкам. Тимур Аитов, исполнительный директор Ассоциации российских банков, уверен, что действие по заражению терминала было умышленным, и выполнил его тот, кто имел доступ к блоку управления терминалом. А им может оказаться как специалист-наладчик, так и сам владелец терминала. Впрочем, тут вопрос больше не к сервисным службам, а к самому программному обеспечению. Ведь вирусу удалось в два счета подменить ключевые данные - счет получателя денег. "Хотя суммы ущерба, получившие огласку, незначительны, очевидно, что экономить на безопасности нельзя, потому что подобные атаки и даже более изощренные будут повторяться",- резюмирует Тимур Аитов.
А вот с этим есть некая загвоздка. Ведь аппаратные средства защиты терминалов типа "сторожевого таймера" (watchdog), флэшки с защитой (E-Token), которые можно программно связать с конкретными сотрудниками и их действиями в системе, требуют денег из кармана владельца терминала, который для QIWI является агентом. Секрет коммерческого успеха терминальной сети во многом кроется в удачной бизнес-стратегии, основанной на массовом привлечении партнеров-агентов (их сейчас около 8 тысяч) и минимальных требованиях к ним. Чтобы стать владельцем терминального бизнеса, всего-то и нужно быть юридическим лицом, приобрести терминал стоимостью несколько десятков тысяч рублей и зарегистрировать контрольно-кассовую технику. Предложений в Интернете типа "доходный бизнес под ключ" - множество. Фактически можно потратиться на терминал, поставить его на даче и жить с процентов, которые оставят соседи, желающие без хлопот оплатить свет и газ, а также гастарбайтеры, работающие у этих соседей, - они с удовольствием будут перечислять родственникам заработанные деньги.
Конечно, на даче много не заработать. Но в хорошем людном месте дневной оборот терминала, говорит Аитов, доходит до 10 000 долларов день, что дает комиссионный доход на уровне 200-300 долларов ежесуточно, или около 10 000 долларов в месяц с одного терминала. А себестоимость транзакций, указывает эксперт, при этом крайне мала - от 0,01 цента до нескольких центов. Таким образом, простенькая, агентская схема организации бизнеса является тем "неизбежным злом", которым расплачивается потребитель за удобство и оперативность платежей.
Такая ситуация была возможна лишь при низкой конкуренции на рынке. Но сегодня все изменилось - операторы платежных сервисов дают потребителю доступ к платежным сервисам через все большее число интерфейсов: мобильных, терминальных, интернетовских, стирая различия между поставщиками. "Число клиентов операторов электронных денег приближается к 30 миллионам, и это означает, что экстенсивный рост уже скоро исчерпается и начнется реальная битва за абонентов", - считает Виктор Достов, председатель совета ассоциации "Электронные деньги". При этом, отмечает Дмитрий Шмаков, вице-президент по маркетингу и коммерческой деятельности ChronoPay, одним из самых быстрорастущих направлений являются платежи по банковским картам. "Почти все российские электронные платежные системы реализовали в этом году возможность пополнения кошельков и возможность оплаты услуг с помощью банковских карт", - отмечает он.
Напрашивается вывод, что появление на сцене трояна Trojan.PWS.OSMP - это сигнал того, что рынок электронных платежей скоро изменится, причем революционно. Ведь на горизонте уже маячит новый инструмент - универсальная электронная карта (УЭК), запуска которой в считаные месяцы потребовал Кремль. В том, что она будет обладать платежной функцией, сомневаться не приходится: государство кровно заинтересовано в уходе населения от кэша в безналичные денежные расчеты. В будущем УЭК может стать мощным конкурентом для нынешних игроков, например для международных платежных систем. Не зря же которую неделю подряд не стихают дискуссии вокруг законопроекта "О национальной платежной системе". А для владельцев терминальных сетей УЭК открывает совсем другие горизонты. Ведь это стабильный ресурс для расширения платежного бизнеса, к тому же гарантированный государством. Так что появление "троянского коня" в платежных терминалах говорит не столько о происках конкурентов, сколько о грядущем глобальном переделе на рынке электронных платежей. Некоторые детали этого нового расклада мы узнаем совсем скоро - Дмитрий Медведев поручил чиновникам разработать нормативно-законодательную базу УЭК к 1 мая.
Троян неудержимый
В "Лаборатории Касперского" сообщают, что недавно отловленный троянец Trojan.PWS.OSMP - вовсе не нов. "Первое его появление датируется 8 апреля 2008 года, - рассказывает Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского". - И через несколько недель экземпляр этой программы детектировался практически всеми антивирусами". С тех пор в руки антивирусных компаний попало еще порядка десяти экземпляров подобных программ. Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 года, - рассказывает Сергей Комаров из компании "Доктор Веб", - действует по совсем новой схеме: она крадет с терминала конфигурационный файл, чтобы потом, возможно, злоумышленники могли создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме. Только в нынешнем году защитные системы "Лаборатории Касперского" отразили около 30 тысяч попыток заражения по всей России, а некоторые экземпляры этих вредоносных программ добрались до Эквадора.
Чем грозит появление троянца в сети платежных терминалов?
Борис Ким, председатель комитета по платежным системам и банковским инструментам НАУЭТ: "Во-первых, это ошибка не всей сети QIWI, а лишь некоторых агентов, которые пренебрегли элементарными мерами безопасности. Во-вторых, само по себе появление вирусов не страшно: они всегда атаковали и будут атаковать популярные сервисы. Это как в организме человека: вирусов полно, но иммунитет держит их под контролем. Данный случай - вполне рядовой, но важно, что компания умеет эффективно бороться с угрозами безопасности".
Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского": "Данная ситуация - первая ласточка серьезной угрозы, которая нависла над всяческими платежными терминалами всех родов и мастей. Способы борьбы с этой угрозой известны. Но чтобы эта борьба началась, людям нужно активно реагировать на данные инциденты: требуйте возврата денег, пишите заявления в милицию, только так можно заставить бизнес обратить внимание на вопросы, связанные c безопасностью таких правильных и удобных вещей, как терминалы".
Тимур Аитов, исполнительный директор Ассоциации российских банков: "Факт фиксации троянца в сети терминалов QIWI говорит скорее не о слабой защищенности самих терминалов, а о том, что бизнесом в сети занимаются случайные люди. В целом угрозы безопасности в этой сфере не оригинальны и схожи с теми, которые давно существуют для банковских платежных систем. Если киберпреступники продолжат интересоваться терминалами, их владельцам придется срочно перенимать соответствующий банковский опыт и технологии".
Николай Федотов, главный аналитик Infowatch: "Вредоносное ПО в платежных терминалах - это та угроза, появления которой специалисты ожидали еще в 2009 году, после того как была успешно применена троянская программа, заражавшая банкоматы и воровавшая атрибуты банковских карт с пин-кодами. По сравнению с ними терминалы оплаты, которые принадлежат разным владельцам и подключаются к публичной сети Интернет, выглядят гораздо более простой добычей для злоумышленников: управляющее ПО терминалов более доступно для изучения, а заразить их легче.
Вирус мог попадать на платежный терминал не только через зараженную флэшку, но также и при удаленном обновлении системы, через предварительное заражение софта в депозитарии, через подкуп обслуживающего персонала. Способов намного больше, чем для банкомата. А впереди - новые угрозы.
Посмотрите на активно развивающуюся систему мобильных платежей - возможностей внедрения троянов там еще больше. Это, конечно, удобно, когда пользователь оплачивает товары и услуги нажатием пары кнопок на своем смартфоне. Но мобильный девайс превращается при этом в такой же платежный терминал. Только степень его защиты еще ниже. А возможности внедрения троянской программы еще шире, чем для спецтерминала типа "Киви".
Исключить вообще кражи денег троянами типа Trojan.PWS.OSMP невозможно. Поэтому следует иметь вторую линию обороны: подробный аудит всех операций на технически независимых компьютерах плюс организационная процедура для расследования инцидентов и возврата денег потерпевшим. Если украденные деньги станут возвращать оперативно и без неприятных переживаний, будет все в порядке - клиенты не станут бояться пользоваться платежной системой. А вот если потерпевшему придется ходить по инстанциям, унижаться перед бюрократами, собирать справки для возврата собственных средств, это способно поставить крест на самой благой идее, ведь люди просто станут избегать пользоваться такой платежной системой".
Ещё новости по теме:
18:20