В текущем году СМИ активно освещали инциденты, связанные с ИБ и иной безопасностью, уделяя особое внимание финансовому сектору. Например, с начала года чуть ли не каждую неделю злодеи или просто отчаявшиеся люди предпринимали незаконные манипуляции с банкоматами, и информация об этом не сходила с лент новостей – просто не успевала сойти. Банкоматы вывозили, взрывали, взламывали, раскурочивали… А кое-кто при атаках на банкоматы использовал методы и инструменты, связанные с высокими технологиями.
Вот – одна из таких историй от ведущего эксперта по информационной безопасности InfoWatch - Марии Вороновой.
В один прекрасный или, скорее, не очень хороший день сотрудники банка выявили при инкассации его банкомата нехватку денежных средств. Размер недостачи был сопоставим с суммой закладываемой в банкомат денежной наличности, то есть оказался довольно значительным. Сотрудники не поверили своим глазам и актам выгрузки из банкомата, «скинули» недостачу на невыясненные обстоятельства и решили разобраться со счетчиками позже. Об этом происшествии они не поставили в известность ни службу экономической безопасности, ни отдел информационной безопасности. В банкомат снова загрузили денежные средства, а на следующий день он опять оказался пустым.
То же самое обнаружилось во время инкассаций в нескольких других офисах банка, территориально распределенных по регионам страны, – всего около 10 случаев. При этом во время инкассаций проводился визуальный осмотр, но каких-либо физических повреждений ни на одном из банкоматов выявлено не было.
РеагированиеСлужбы экономической, физической и информационной безопасности банка начали тщательно отрабатывать произошедшие инциденты. В спектр версий вошли как внешние атаки, так и инсайдерство. Меры принимались сразу в нескольких направлениях:- задача №1 – минимизация вероятности продолжения серии атак для предотвращения дальнейших убытков;- задача №2 – внутреннее расследование и сбор информации для подачи заявлений о возникновении страховых случаев в страховую компанию; - задача №3 – подача заявлений в правоохранительные органы и взаимодействие с ними.
Действовать требовалось одновременно по всем фронтам и максимально оперативно. Кроме того, было решено безотлагательно провести инкассацию всех банкоматов банка (в первую очередь, тех, которые, по данным мониторинга, попали в «зону риска») на предмет подтверждения или опровержения факта мошеннических действий. В ряде регионов по согласованию с руководством было намечено снизить лимиты загрузки, в других – полностью разинкассировать банкоматы. Были временно закрыты для доступа 24-часовые зоны, в срочном порядке менялись на банкоматах пароли локальных администраторов и удаленных подключений.
Правда, несколько региональных управляющих все же решили банкоматы не трогать, аргументировав это тем, что паника населения – страшнее. А в неспокойный кризисный год, когда банки закрываются один за другим, не работающие во всем регионе банкоматы станут поводом для слухов и «черного» пиара. А риск «обрушения» филиала банка из-за паники населения, подогреваемой слухами о скором отзыве его лицензии, – выше, чем риск потери денежных средств как таковых.
РасследованиеВо время просмотра первой же записи с камер видеонаблюдения выяснилось, что банкомат выдавал деньги практически «добровольно» и большими пачками. Человек в надвинутой на лоб шапке с прижатым к уху телефоном подходил к банкомату, но не дотрагивался ни до его корпуса, ни до PIN-пада. Он просто подходил, и банкомат начинал выдавать деньги, которые человек с телефоном складывал в спортивную сумку. Сам он выглядел… как лицо неопределенной национальности среднего возраста и роста – что называется, без особых примет.
Примерно такая же картина была получена сотрудниками служб безопасности и правоохранительных органов по другим эпизодам. Различия состояли лишь во времени реализации инцидентов (где-то они произошли в районе полуночи, где-то – ближе к 4–5 часам утра) и в количестве злоумышленников (от одного до нескольких человек, раз в 15–20 мин сменявших друг друга). Каждая процедура изъятия денежной наличности занимала от 1 до 3 ч.
Одновременно шла работа в других направлениях. Были сняты образы с пострадавших банкоматов, и их исследованиями занялась служба информационной безопасности банка. Группа расследования запрашивала и уточняла данные по скомпрометированным банкоматам – марки, модели, места установки, IP-адреса. Кроме того, поднимались журналы системы мониторинга состояния банкоматов, лог-файлы сетевого взаимодействия.
Исследование снятых с банкоматов образов показало, что все лог-файлы на банкоматах были затерты. Но – не полностью. Обнаруженные остатки утилиты, предназначенной для затирания данных и, соответственно, следов преступления, а также заполнение файловой системы «мусором» показали, что отработала эта утилита почему-то не до конца – данные удалось частично восстановить.