Сеть платежных терминалов атаковала вредоносная программа Trojan.PWS.OSMP. Вирус встраивается в работу процессов операционной системы на платформе Windows. По замыслу хакеров, результатом должна стать подмена номеров счетов, в адрес которых направляют свои платежи пользователи сервиса. Много ли они таким образом заработали?
Это не первая попытка атак на терминалы Qiwi, в базах разработчиков антивирусного программного обеспечения находятся больше десятка модификаций троянцев семейства OSMP. Но ни одна из этих попыток еще ни к чему не привела. Они были заранее обречены на провал, потому что терминалы Qiwi, за исключением очень небольшой части сети, не имеют доступа в интернет. О существовании вируса, описанного Dr. Web, нам известно с 20 февраля. Уже тогда были предприняты все необходимые меры по решению этой проблемы, благодаря чему ни агенты, ни клиенты Qiwi не пострадали.
Внедрение вируса в терминал возможно только при физическом доступе к его технической части с использованием съемного носителя (флэшки). Поэтому заражения происходят с помощью тех людей, которые занимаются обслуживанием. Такие попытки были и есть, но реального ущерба от них нет: у Qiwi выстроена многоуровневая система защиты. Во-первых, это стандартные противовирусные программы и firewall, во-вторых – онлайн проверка подлинности (отсутствия модификации) программы терминала, в-третьих – система фрод-мониторинга. Если какой-то телефон или электронный кошелек начинает часто пополняться из разных терминалов, то такие транзакции блокируются.
Понятно, что любая финансовая система привлекает много желающих незаконно воспользоваться деньгами, и на этой почве у терминальных хакеров возникли две идеи. Первая – сделать сеть из терминалов, чтобы они участвовали в DOS-атаках, но это невозможно, так как большинство из них не имеют выхода в интернет. Сигнал от терминала идет сначала оператору связи, а затем к провайдеру моментальных платежей – по выделенному каналу связи. Это не открытый интернет и сформировать сеть из терминалов просто не получится. Вторая идея заключается в том чтобы перенаправлять платежные транзакции на другие счета или другой телефонный номер. Это тоже не проходит, потому что система мониторинга платежного сервиса отслеживает подозрительные пополнения одних и тех же счетов телефонов и электронных кошельков. Подозрительные транзакции блокируются.
Увы, в сети платежных терминалов Qiwi злоумышленникам нечем поживиться, и поэтому они распространяют вирусы не только в терминалах. Пару лет назад была зафиксирована первая заметная атака хакеров на банкоматы. Трояны (Trojan.Skimer) передавали в чужие руки номера банковских карт вместе с пин-кодами. Очевидно, через зараженный банкомат пользователям, чьи карты компрометируются, может быть нанесен больший ущерб, чем в терминале, где в самом худшем случае можно потерять лишь сумму перевода. Однако и в этом случае угроза носит только локальный характер и успешно решается применением антивирусной защиты и эффективными системами мониторинга.
Следите за обновлениями Slon.ru в вашей социальной сети:
ВКонтакте или
Facebook.
Всё таки ваша статья здесь и новость от 24.02.2011 в дилерской части сайта вашей компании (которая приводится ниже), по моему мнению "немного" отличаются. Интересуют два ключевых предложения "массовое распространение вредоносного ПО" и "...при подключении их к терминалу, скрытно для пользователя, устанавливается компонент, который из сети Интернет скачивает и устанавливает основной модуль, несущий деструктивное воздействие". Т.е. всё таки судя по новости массовое заражение было. И судя по всему массовым оно не могло быть с помощью съёмных носителей о которых вы говорите. Трудно представить что одновременно таковые получили одновременный доступ к большому количеству терминалов. Так же не совсем понятно, то каким образом скачивался основной модуль вредоносного ПО если автоматы не подключены к интернету. А в целом интересная и полезная статья. Спасибо.
Автоматы 24.02.2011 17:58:20
Добрый день. Сегодня было зафиксировано массовое распространение вредоносного ПО, которое при попадании на терминал начинает подменять номера счетов, указанные плательщиками, на свои. В связи с этим денежные средства плательщиков попадают на счета злоумышленников. Как было установлено, с ранее зараженных съёмных носителей (usb-флеш, съёмные жёсткие диски), при подключении их к терминалу, скрытно для пользователя, устанавливается компонент, который из сети Интернет скачивает и устанавливает основной модуль, несущий деструктивное воздействие.
Во избежание заражения Ваших терминалов и последующих претензий абонентов, настоятельно рекомендуем: 1) отключить на терминалах автозапуск подключаемых устройств; 2) ограничить возможность сетевого обмена с адресами, не используемыми для проведения платежей; 3) использовать лицензионные антивирусные средства (на данный момент вредоносное ПО детектируется продуктами Kaspersky и Dr.We b).
Также информируем Вас о том, что по мере выявления заражённых терминалов они будут блокироваться до устранения владельцем терминала описанной выше проблемы. Информация о заблокированных терминалах будет оперативно передаваться курирующему менеджеру для последующего информирования агента о блокировке.
При возникновении каких-либо вопросов вы можете обращаться по адресу: fraud@osmp.ru.
RSS
2
экспорт в блог
Сеть платежных терминалов 
Следите за обновлениями Slon.ru в вашей социальной сети:
