12.11.2025 09:44
ptsecurity 0 788 Источник

Всем привет! Вновь на связи аналитики из команды PT Cyber Analytics. Мы сопровождаем различные red‑team‑проекты и и помогаем клиентам разобраться в результатах работы этичных хакеров. Мы детально анализируем проведённые тесты, оцениваем риски, связанные с обнаруженными уязвимостями, определяем уровень защищённости компаний и разрабатываем рекомендации по устранению слабых мест в инфраструктуре. Сегодня мы хотим поделиться с вами знаниями, полученными в ходе исследований безопасности банкоматов. В подготовке этого материала нам помогали коллеги из отдела исследования безопасности банковских систем и реверс‑инженеры из отдела анализа приложений.

Основная цель анализа защищенности банкоматов — выявить сценарии хищения денег, которые могут реализовать хакеры различного происхождения (внешние злоумышленники или внутренние, например, технический персонал банка) и уровня подготовки: от случайного преступника, использующего готовое ВПО, до сервисного инженера, имеющего знания о внутреннем устройстве банкомата, а также расширенный доступ к оборудованию. Дополнительно могут рассматриваться сценарии проникновения в сеть банка, обусловленные недостаточной защитой банковского периметра. Сценарии формируются из обнаруженных этичными хакерами недостатков конфигурации и уязвимостей, возникающих на различных уровнях работы банкомата. После этого специалисты дают рекомендации, которые позволяют компаниям защитить свои устройства от несанкционированного воздействия.

Для лучшего понимания всего вышесказанного мы в первую очередь (в первой части статьи) разберем устройство банкоматов и расскажем об основных видах атак на них. А после этого (во второй части) — рассмотрим некоторые виды актуальных атак на банкоматы, а также дадим рекомендации по их предотвращению.

Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных деяний. Наша цель — рассказать о существующих уязвимостях, которыми могут воспользоваться злоумышленники, и дать рекомендации по защите. Авторы не несут ответственности за использование информации.

Сначала сделаем небольшое отступление к истории вопроса.

История развития атак на банкоматы

Первый действующий банкомат был установлен в Лондоне 27 июня 1967 года. Он не имел возможности проверки баланса (в связи с чем максимальная сумма операции ограничивалась 10 фунтами) и работал только на выдачу наличных, принимая специальные чеки. А уже в 1968 году предприимчивый шведский инженер обнаружил способ расшифрования PIN‑кодов клиентов. Это позволило ему путешествовать по стране, снимая кроны из банкоматов, пока его не остановила полиция.

Тот самый первый банкомат (источник: Google Images)
Тот самый первый банкомат (источник: Google Images)

Несмотря на то что с 1968 года банкоматы прошли путь от примитивных машин для выдачи денег до сложных многофункциональных устройств, они все так же продолжают привлекать злоумышленников. Банкомат является точкой быстрого доступа к крупным денежным суммам, а число устройств значительно затрудняет их охрану: многие банкоматы находятся в малолюдных местах с круглосуточным временем работы (например, на автомобильных заправках). В связи с этим исторически повышенное внимание уделялось защите банкоматов от физических атак — вес современного устройства может превышать полтонны, внутри корпуса устанавливаются разнообразные датчики (положения, температуры, открытия секций и тому подобное).

Но если сейф внутри банкомата наиболее защищен от вскрытия, то уровень защиты от проникновения в зону с управляющим оборудованием, по нашим оценкам, остается низким. Это делает банкомат уязвимым не только к физическим, но и к логическим атакам, популярность которых среди хакеров в последнее время стала расти.

Количество обнаруженных семплов ВПО для банкоматов (по году первой загрузки на сайт VirusTotal)
Количество обнаруженных семплов ВПО для банкоматов (по году первой загрузки на сайт VirusTotal)

По данным Cisco Talos, с 2009 года регулярно фиксируется все большее число новых вариантов ВПО, ориентированного на банкоматы. Хотя общее количество выявленных семплов остается сравнительно небольшим в сравнении с другими категориями вредоносных программ, такая тенденция не осталась без последствий: уже в 2020 году в Европе было зарегистрировано на 269% больше логических атак на банкоматы по сравнению с предыдущим годом. Примечательно, что при этом средний ущерб вырос почти в тысячу раз — от относительно скромных сумм, не превышающих тысячи евро, до более чем миллиона евро.

Как следствие, ВПО для банкоматов перестало быть эксклюзивным продуктом. Это привело к уменьшению его стоимости на торговых площадках и снижению порога входа для злоумышленников. Обнаруженное в 2017 году ВПО Cutlet Maker поставлялось с подробной инструкцией по применению на русском языке. Она включала советы по устранению неполадок, которые могут возникнуть при использовании ПО в различных банкоматах.

Фрагмент инструкции, поставляемой злоумышленниками в комплекте с ВПО Cutlet Maker (источник: Trend Micro)
Фрагмент инструкции, поставляемой злоумышленниками в комплекте с ВПО Cutlet Maker (источник: Trend Micro)

А уже в 2024 году на торговых площадках появилось предложение о продаже ВПО с несколькими удобными вариантами оплаты, включая ежемесячную подписку.

ВПО для банкоматов с тремя вариантами оплаты (Источник: x.com/DarkWebInformer)
ВПО для банкоматов с тремя вариантами оплаты (Источник: x.com/DarkWebInformer)

Главным недостатком логических атак является сложность — именно поэтому на увеличение их числа серьезно влияет распространение ВПО и последующее снижение порога входа для преступников. Однако ключевым преимуществом логических атак является то, что они проходят незаметнее, чем физическое вмешательство, и часто позволяют злоумышленникам неоднократно возвращаться к уже зараженному устройству. Не стоит забывать и о том, что современные банкоматы все чаще оснащаются кассетами с антивандальной защитой: при попытке физического воздействия на такие кассеты содержимое банкомата заливается несмываемой краской, что делает дальнейшее использование наличных невозможным.

Краткая статистика атак

С 2019 по 2022 год количество преступлений, связанных с банкоматами, увеличилось на 600%, при этом только за период с 2021 по 2022 год рост составил 165%. На показатель повлияло как учащение логических атак, так и увеличение числа физических нападений на устройства (традиционно составляют основную долю всех преступлений, связанных с банкоматами). Ярким примером стала ситуация в Германии, где в 2022 году было зафиксировано 496 взрывов банкоматов — рекордный показатель за всю историю наблюдений. В 2023 году число подобных инцидентов по всему миру превысило 18 тысяч.

Финансовые потери от атак продолжают расти как в глобальном, так и в региональном разрезе. По итогам 2023 года мировые прямые убытки банков от мошенничества с банкоматами достигли 2,4 миллиарда долларов США. Европа за тот же период потеряла 173 миллиона евро, из которых 67 миллионов пришлись на атаки, связанные со скиммингом. Особенно острой проблема остается для США: несмотря на то что на долю страны приходится лишь 25,29% мирового объема транзакций, американские банки несут 42,32% глобальных убытков. Такая диспропорция связана с тем, что традиционные методы мошенничества, такие как скимминг, по‑прежнему остаются значительной угрозой во многих странах. В 2023 году 45% всех случаев мошенничества с банкоматами было связано именно со скиммингом, что привело к потерям более 900 миллионов долларов США только в Северной Америке. Было скомпрометировано более 315 тысяч карт, что затронуло как минимум 3 тысячи финансовых учреждений.

Нарастающая активность злоумышленников закономерно стимулирует рост рынка решений в области защиты банкоматов. По данным отчета Automatic Teller Machine (ATM) Security Global Market Report 2025, объем мирового рынка информационной безопасности банкоматов увеличился с 17,77 миллиарда долларов в 2024 году до 18,91 миллиарда в 2025 году при среднегодовом темпе роста 6,4%. Эксперты связывают эту динамику с несколькими факторами: увеличением числа банкоматов по всему миру, усложнением киберугроз и ужесточением требований регуляторов к обеспечению безопасности финансовых сервисов.

Тем не менее подход к защите устройств по‑прежнему остается неоднородным. Приоритетом для многих банков остаются меры физической защиты, в то время как защита системной части устройств — операционных систем, драйверов, логики работы управляющего программного обеспечения — часто оказывается на втором плане. Это создает серьезные риски: согласно исследованию RTM Group, проведенному в 2022 году, проникнуть внутрь корпуса банкомата без активации сигнализации можно в каждом втором случае, что позволяет злоумышленнику беспрепятственно взаимодействовать с оборудованием. Недооценка логических рисков приводит к тому, что многие устройства остаются уязвимыми к атакам, не требующим от преступника высокой квалификации и способным нанести значительный ущерб за короткое время.

Тем временем финансовые технологии не стоят на месте и способствуют появлению все новых атак: только в США за первое полугодие 2024 года потери от мошенничества с криптовалютными банкоматами составили 65 миллионов долларов США. В условиях стремительно развивающихся угроз комплексный подход к защите банкоматов, объединяющий меры физической и программной защиты, становится необходимостью для обеспечения устойчивости финансовой инфраструктуры.

Как устроен банкомат

Для того чтобы лучше понимать векторы атак, нужно разобраться в устройстве банкомата и тех процессах, которые происходят при его нормальной работе. В рамках этой статьи процесс взаимодействия пользователя с банкоматом будет рассмотрен для примерной конфигурации, представленной на схеме ниже.

Схема работы банкомата
Схема работы банкомата

Стоит отметить, что схема описывает частный случай, рассматриваемый в рамках статьи, и не отображает конфигурацию по умолчанию, которая может изменяться от устройства к устройству. Теперь разберем каждый из этапов на схеме, начиная с предъявления карты и заканчивая снятием или внесением средств. Для этого представим, что каждый из этапов представляет собой отдельный уровень работы банкомата, которому отведены свои задачи.

1. Уровень пользователя (устройства ввода и приложение‑киоск)

Для удобства можно воспринимать отдельные компоненты и внутренние процессы банкомата как функционирующие на разных уровнях.

Взаимодействие пользователя с устройством ограничивается предъявлением карты и выбором операции. Ранее начать работу с банкоматом можно было только одним способом — вставив карту в картридер. Тогда были широко распространены атаки на перехват карточных данных, такие как скимминг и шимминг (полученная информация использовалась злоумышленниками для изготовления дубликатов платежных карт). Сегодня такие методы почти утратили актуальность на территории России благодаря внедрению дополнительных защитных механизмов и снижению доли банкоматов, уязвимых к этим атакам.

С распространением бесконтактных карт в дополнение к картридерам на банкоматах появились считыватели, работающие по технологии NFC (near‑field communication). В некоторых банкоматах можно обойтись и без карты: используется одноразовый QR‑код, который либо генерируется на экране банкомата и сканируется в мобильном приложении банка, либо создается в приложении и считывается банкоматом.

Для защиты от несанкционированного доступа к карте дополнительно запрашивается PIN‑код. Значение PIN‑кода вводится с использованием шифрующей PIN‑панели (или пинпада), состоящей из клавиатуры и криптографического модуля. Таким образом, PIN‑код не передается и не хранится в открытом виде. Проверка PIN‑блока (зашифрованного значения PIN‑кода) осуществляется процессинговым центром. Стоит отметить, что в современных банкоматах, реализующих функциональность мини‑офиса (подробнее об этом ниже), перед началом работы может дополнительно выполняться подтверждение личности клиента — например, с использованием биометрических модулей технологии распознавания лица.

После подтверждения личности клиента банкомат предлагает выбрать операцию: снятие наличных, просмотр баланса, перевод средств или другую. Несмотря на то что внутри банкомата расположен обычный компьютер, пользователь не имеет возможности взаимодействовать с ним в полном объеме. Все необходимые функции пользователю предоставляет одно полноэкранное банковское приложение, запущенное в режиме киоска.

2. Уровень ОС (управляющее ПО и средства защиты)

Как уже было сказано ранее, внутри банкомата расположен обычный компьютер. Рассмотрим, какие процессы происходят на этом уровне, пока не затрагивая оборудование для выдачи денежных средств.

Часть банкомата, в которой находится компьютер, называется сервисной зоной. Эта область отделена от внешнего мира непрочной дверцей, закрытой на простой замок. Вместе с тем в устройствах одной серии часто используется один ключ, который можно свободно приобрести на интернет‑площадках.

Кроме системного блока в сервисной зоне банкомата находится сетевое оборудование и подключения периферийных устройств банкомата (картридера, считывателей, пинпада и диспенсера). Связь между периферийными устройствами и системным блоком осуществляется по интерфейсам USB, Ethernet, PCI или COM.

Чаще всего компьютер банкомата функционирует под управлением Windows. Если ранее в основном применялась Windows Embedded, то в настоящее время — чаще Windows IoT (она основана на Windows 10 и используется во встраиваемых системах). Кроме того, в рамках импортозамещения все большее число банкоматов переводят на ОС на базе Linux.

Банкомат под управлением Windows (источник: Reddit)
Банкомат под управлением Windows (источник: Reddit)

Помимо банковского приложения, запущенного в режиме киоска, в ОС функционирует управляющее программное обеспечение банкомата, а также средства защиты, например:

  • антивирусное программное обеспечение;

  • средства контроля за запуском ПО (такие как Windows AppLocker), ограничивающие выполнение посторонних программ;

  • VPN‑клиент, используемый для организации безопасного соединения с удаленными узлами во внутренней сети банка.

Ключевым компонентом на уровне ОС является управляющее программное обеспечение (УПО). Ранее УПО разрабатывали производители банкоматов, что приводило к проблемам с совместимостью при использовании оборудования разных вендоров в одном парке устройств. Однако с распространением стандарта управления оборудованием CEN/XFS (подробнее о нем далее) появились универсальные решения, позволяющие управлять устройствами различных производителей. Сейчас в большей части банкоматов используется мультивендорное УПО на основе CEN/XFS, обеспечивающее наилучшую совместимость и позволяющее унифицировать обслуживание разнородного парка устройств.

Хотя основными функциями УПО являются управление периферийным оборудованием банкомата и взаимодействие с процессинговым центром, в зависимости от реализации оно может включать ряд дополнительных возможностей. К примеру, в его состав может входить ПО для сервера мониторинга, который позволяет удаленно управлять сетью устройств самообслуживания. Для облегчения физического обслуживания банкомата дополнительные возможности (например, быстрый вызов диагностических утилит из отдельного меню) могут быть реализованы в режиме супервизора, доступном только техническому персоналу.

3. Сетевой уровень (обмен данными с процессинговым центром и сервером удаленного мониторинга)

После выбора операции необходимо проверить возможность ее выполнения. За принятие решения отвечает процессинговый центр — сервер во внутренней сети банка, который проверяет:

  • данные карты и корректность введенного PIN‑кода, который запрашивается повторно перед выполнением операции;

  • отсутствие ограничений по выбранной карте;

  • баланс средств пользователя.

Чтобы предотвратить перехват и модификацию ответов процессингового центра, обмен данными между ним и банкоматом защищается шифрованием, чаще всего с использованием VPN‑соединения. В роли протокола обмена сообщениями часто используются NDC или DDC, ставшие негласным стандартом для коммуникации с процессинговым центром еще до появления мультивендорного УПО. Кроме того, распространено использование стандарта ISO 8583 и его модификаций. Стоит отметить, что вендоры УПО могут разрабатывать собственные протоколы для обмена данными с процессинговым центром, сохраняя поддержку стандартных протоколов для обеспечения обратной совместимости.

Помимо процессингового центра, банкомат может взаимодействовать с сервером мониторинга, который используется для удаленного управления, контроля состояния устройства и загрузки обновлений. В отличие от взаимодействия с процессинговым центром, зачастую такая коммуникация не защищается шифрованием.

4. Уровень прошивки (обмен данными с оборудованием)

После получения подтверждения от процессингового центра УПО инициирует обмен данными с диспенсером, выполняющим выдачу денежных средств, или с модулем приема наличных (в зависимости от выбранной операции). На этом уровне происходит взаимодействие с устройствами, которые в подавляющем большинстве банкоматов размещаются в наиболее защищенной части — сейфовой зоне. Кроме диспенсера в сейфе может находиться модуль рециркуляции (в некоторых вариантах это оборудование располагается частично в сервисной зоне). В отличие от сервисной зоны, в которой находится остальное периферийное оборудование, сейфовая сделана из более прочных материалов и имеет отдельный ключ.

Диспенсер (без кассет) в сейфе банкомата (источник: LiveJournal)
Диспенсер (без кассет) в сейфе банкомата (источник: LiveJournal)

Управление оборудованием осуществляется по стандарту CEN/XFS, который описывает клиент‑серверную архитектуру, состоящую из менеджера оборудования (XFS Manager) и сервисных провайдеров (Service Provider). API менеджера оборудования реализуется УПО, а под сервисным провайдером понимают драйвер, содержащий набор стандартных функций для управления и получения информации о периферийном устройстве — например, о диспенсере, картридере или модуле приема наличных.

Архитектура стандарта CEN/XFS
Архитектура стандарта CEN/XFS

Для выдачи денежных средств диспенсер выбирает необходимое количество купюр из кассет банкомата, перемещает их в лоток для выдачи денег и открывает шаттер (створку, ограничивающую доступ к лотку для денег). Данные, передающиеся между УПО и диспенсером, могут шифроваться, а перед началом обмена информацией производится проверка подлинности, чтобы исключить возможность подмены устройств. Алгоритмы шифрования и аутентификации реализуются встроенным программным обеспечением (прошивкой) диспенсера.

При внесении наличных купюры проходят проверку подлинности на валидаторе. Эта процедура особенно важна для банкоматов с функцией рециркуляции, которые составляют большую часть в парке устройств. В отличие от традиционных устройств, работающих только на выдачу наличных, такие банкоматы могут использовать для выдачи банкноты, внесенные ранее другими пользователями. Это повышает важность безошибочного определения фальшивых купюр.

Классификация атак на банкоматы

Теперь, когда устройство и принцип работы банкомата стали более понятны, можно ближе рассмотреть угрозы, связанные с этими устройствами. Широкий перечень возможных атак на банкоматы может быть разделен на две большие группы в зависимости от объекта и характера воздействия злоумышленника — физические и логические.

Физические атаки направлены на непосредственное физическое воздействие на банкомат или его компоненты. Цель — получение денежных средств или вмешательство в нормальную работу устройства без использования программных методов. Это традиционные атаки, которым банкоматы подвергались задолго до появления узконаправленного вредоносного ПО. Для проведения таких атак не требуются особые знания, и часть из них направлена не на сам банкомат, а на его пользователей.

Разновидности физических атак на банкоматы
Разновидности физических атак на банкоматы

В отличие от физических атак, логические атаки требуют от исполнителя специализированных навыков и большей технической подготовки: в их основе лежит эксплуатация недостатков в ПО банкомата и его сетевом окружении. Несмотря на сложность, такие атаки привлекают меньше внимания и позволяют многократно возвращаться к скомпрометированному банкомату для повторного получения прибыли, что делает их наиболее опасными для банков.

Задача специалистов по анализу защищенности — выявлять программные уязвимости, которые позволяют проводить логические атаки. Поэтому в нашей статье мы не будем уделять особое внимание физическим атакам, но подробнее остановимся на логических. Они подразделяются на две категории: системные и сетевые.

Системные атаки направлены на эксплуатацию функций или изменение логики приложений, функционирующих на уровне ОС банкомата. Цель таких атак — получение денежных средств или обход защитных механизмов. Отдельное место занимают атаки с внешним управлением диспенсером (black box): в то время как большая часть атак в этой категории требует от хакера предварительного получения доступа к ОС, атака типа black box подразумевает подключение устройства злоумышленника напрямую к диспенсеру. Важно отметить, что атаки типа black box могут проводиться и на другие периферийные устройства банкомата (например, на валидатор банкнот). В рамках этой статьи будет рассмотрено именно взаимодействие с диспенсером.

Разновидности системных атак на банкоматы
Разновидности системных атак на банкоматы

Сетевые атаки направлены на сетевые компоненты банкомата. Хакеры могут попытаться перехватить, подделать или иным образом воспользоваться передаваемыми по сети данными либо получить удаленный доступ к управлению банкоматом. Наибольшую опасность представляют атаки, целью которых является взаимодействие с процессинговым центром: в случае недостаточной защиты хакер может подделывать ответы, передаваемые на банкомат, и проводить операции выдачи денежных средств, даже если они были отклонены на стороне процессинга.

Разновидности сетевых атак на банкоматы
Разновидности сетевых атак на банкоматы

Нужно понимать, что для проведения большей части системных и сетевых атак необходимо иметь доступ к оборудованию в сервисной зоне банкомата. В рамках анализа защищенности специалисты по умолчанию имеют этот доступ — хакер же может получить его, проделав отверстие в корпусе банкомата или вскрыв замок на дверце сервисной зоны. Не стоит забывать и о том, что ключ от сервисной зоны в ряде случаев можно приобрести на интернет‑площадке или получить от инсайдера — например, технического инженера, занимающегося обслуживанием оборудования банкомата.

Лишь часть описанных атак приводит к выдаче денежных средств, остальные воздействия представляют собой промежуточные шаги по достижению этой цели. Так, злоумышленник может стремиться получить доступ к удаленному управлению банкоматом по сети и далее развивать атаку на уровне ОС уже методами, относящимся в такой классификации к системным атакам. Для представления взаимосвязи может быть использована матрица, которая отражает возможные переходы между атаками, позволяющие реализовать полноценный сценарий выдачи денежных средств.

Ниже представлен пример такой матрицы: стрелка в строке указывает на переход к атаке в соответствующем столбце, а галочка отражает возможность получения злоумышленником денежных средств в результате проведения атаки.

Матрица переходов между атаками
Матрица переходов между атаками

Вот как можно использовать матрицу для построения сценария выдачи денег:

  1. Выход из режима киоска сам по себе не приводит к выдаче денежных средств, но при этом является промежуточным шагом. За ним может следовать эксплуатация уязвимостей ОС и ПО, обход локальных политик безопасности или эксплуатация недостатков сетевой конфигурации (к примеру, хакер может попробовать выгрузить конфигурацию VPN‑клиента после получения доступа к ОС).

  2. В свою очередь, эксплуатация уязвимостей ОС и ПО может привести к выдаче денежных средств — к примеру, если в УПО есть недостатки. Кроме того, эта атака может стать и промежуточным шагом: например, при наличии уязвимостей в используемом VPN‑клиенте злоумышленник способен получить доступ к защищенному сетевому трафику и перехватывать передаваемые данные.

В некоторых столбцах отсутствуют стрелки — это означает, что для проведения атаки хакеру достаточно иметь доступ к сервисной зоне банкомата. Например, для получения доступа к жесткому диску не нужно выполнять дополнительные шаги: это действие может стать первым шагом полноценного вектора хищения денег.

Пример использования матрицы переходов
Пример использования матрицы переходов

Общее представление о возможных сценариях выдачи денежных средств можно получить с помощью матрицы, но самое интересное кроется в деталях. Поэтому в следующей главе мы рассмотрим наиболее распространенные атаки на банкоматы, с которыми встречались наши исследователи безопасности банковских систем.

Мы вернёмся совсем скоро! Не переключайтесь!

Алёна Кремзер

Аналитик

Людмила Осипова

Аналитик

@ Направление проектов по кибербезопасности, Positive Technologies

Комментарии (0)