Тысячи банкоматов Сбербанка принимают билеты “банка приколов“
Около 4 тысяч банкоматов Сбербанка нуждаются в замене, поскольку уязвимы к купюрам «банка приколов».
Об этом сообщает «Коммерсант» со ссылкой на итоги расследования многочисленных случаев хищения денег из банкоматов путем подмены реальных банкнот поддельными.
Во всех атаках на банкоматы, когда в устройство вносились купюры «банка приколов», использовались банкоматы одного производителя - NCR. На всех из них стояли валидаторы (устройство, распознающее купюры) ABV, HBV и RBV.
По данным ЦБ, на начало года в стране было более 200 тысяч банкоматов, из них 135 тысяч - с функцией приема наличных. Каждый пятый - около 40 тысяч - принадлежит производителю NCR, причем львиная доля приходится на Сбербанк.
{banner_news_show}
По словам собеседника «Ъ», знакомого с деталями расследования, проблема возникла на уровне программного обеспечения валидатора.
Валидаторы на банкоматах NCR - это по сути что-то вроде сканера с УФ-лампой, отмечает руководитель отдела исследований «Диджитал Секьюрити» Дмитрий Турченков. Шаблоны распознавания заливаются на валидатор обслуживающими сервисными центрами. «Банк весьма ограничен возможностями настроек и не может влиять на шаблоны», - сетует представитель крупного банка.
Эксперты отмечают, что проблема в использовании устаревших моделей. «Данная уязвимость связана с тем, что более точная настройка валидаторов ABV и HBV приводит к отказу приема денег банкоматами, - указывают в банке «Открытие». - Методами устранения этой ошибки может быть либо отказ от приема купюр определенных номиналов, либо замена валидаторов». Там подчеркнули, что банк не сталкивался с подобными кейсами.
Решением проблемы, по словам экспертов, могла бы стать своевременная информационная рассылка по банкам от ФинЦЕРТ ЦБ о выявленной уязвимости. Помогло бы и оперативное обновление программного обеспечения, инициированное NCR.
Однако регулятор склоняется к мысли, что банкам просто необходимо отказаться от уязвимых моделей. Банкоматы должны распознавать не менее четырех машиночитаемых защитных признаков банкнот на всей площади банкноты, заявили в ЦБ, добавив, что на сайте центробанка опубликован перечень устройств, прошедших испытание и рекомендованных ЦБ. Среди банкоматов NCR регулятор рекомендует только устройства с валидаторами GBVE и BRM.
В настоящее время NCR отказался от сервисной поддержки банкоматов с уязвимыми валидаторами и также рекомендует обновить парк. Смогут ли банки оперативно избавиться от уязвимых моделей, неизвестно.
Об этом сообщает «Коммерсант» со ссылкой на итоги расследования многочисленных случаев хищения денег из банкоматов путем подмены реальных банкнот поддельными.
Во всех атаках на банкоматы, когда в устройство вносились купюры «банка приколов», использовались банкоматы одного производителя - NCR. На всех из них стояли валидаторы (устройство, распознающее купюры) ABV, HBV и RBV.
По данным ЦБ, на начало года в стране было более 200 тысяч банкоматов, из них 135 тысяч - с функцией приема наличных. Каждый пятый - около 40 тысяч - принадлежит производителю NCR, причем львиная доля приходится на Сбербанк.
{banner_news_show}
По словам собеседника «Ъ», знакомого с деталями расследования, проблема возникла на уровне программного обеспечения валидатора.
Валидаторы на банкоматах NCR - это по сути что-то вроде сканера с УФ-лампой, отмечает руководитель отдела исследований «Диджитал Секьюрити» Дмитрий Турченков. Шаблоны распознавания заливаются на валидатор обслуживающими сервисными центрами. «Банк весьма ограничен возможностями настроек и не может влиять на шаблоны», - сетует представитель крупного банка.
Эксперты отмечают, что проблема в использовании устаревших моделей. «Данная уязвимость связана с тем, что более точная настройка валидаторов ABV и HBV приводит к отказу приема денег банкоматами, - указывают в банке «Открытие». - Методами устранения этой ошибки может быть либо отказ от приема купюр определенных номиналов, либо замена валидаторов». Там подчеркнули, что банк не сталкивался с подобными кейсами.
Решением проблемы, по словам экспертов, могла бы стать своевременная информационная рассылка по банкам от ФинЦЕРТ ЦБ о выявленной уязвимости. Помогло бы и оперативное обновление программного обеспечения, инициированное NCR.
Однако регулятор склоняется к мысли, что банкам просто необходимо отказаться от уязвимых моделей. Банкоматы должны распознавать не менее четырех машиночитаемых защитных признаков банкнот на всей площади банкноты, заявили в ЦБ, добавив, что на сайте центробанка опубликован перечень устройств, прошедших испытание и рекомендованных ЦБ. Среди банкоматов NCR регулятор рекомендует только устройства с валидаторами GBVE и BRM.
В настоящее время NCR отказался от сервисной поддержки банкоматов с уязвимыми валидаторами и также рекомендует обновить парк. Смогут ли банки оперативно избавиться от уязвимых моделей, неизвестно.