Троян Neutrino: безопасен для POS-терминалов, но не для рынка?

10 июля 2017 года Лаборатория Касперского распространила сообщение об активном появлении особой модификации трояна Neutrino, якобы атакующей POS-терминалы и компрометирующей данные банковских карт. Эта информация, получившая широкий резонанс в СМИ, обратила на себя наше пристальное внимание рядом логических несостыковок и заставила портал Retail-Loyalty.org провести собственное журналистское расследование. В первую очередь вызывает вопрос тот момент, что троян Neutrino отнесен к зловредам, атакующим ОС Windows. Как известно, под управлением этой ОС POS-терминалы (по крайней мере брендовые POS-терминалы) не работают. В таком случае, о чем в действительности может идти речь?

Мы привлекли к обсуждению целый ряд авторитетных экспертов платежной индустрии, а также структуры, являющиеся ключевыми участниками рынка.

«Троян Neutrino опасен только для терминалов оплаты (не путать с POS-терминалами) или банковских киосков самообслуживания с «банкоматной» ПИН-клавиатурой и «банкоматным» же считывателем карт. Кроме того, он может заражать еще кое-где функционирующие PC-POS’ы. Это терминалы для оплаты покупок банковскими картами, собранные на базе noname-ридера карт и обычного кассового компьютера под управлением Windows, которые используются для ввода карточных данных в кассу в тех случаях, когда на кассовом узле магазина установлен не интегрированный с ККМ POS-терминал.

В то же время этот вирус совершенно безвреден для владельцев банковских карт, которые пользуются обычными POS-терминалами, а также терминалами оплаты или же киосками банковского самообслуживания, которые оснащены встраиваемыми банковскими POS-терминалами, например, Ingenico iSelf.

Встраиваемые в киоски самообслуживания POS-терминалы Ingenico на уровне заводской прошивки оснащены аппаратными и программными системами защиты конфиденциальных данных по стандарту безопасности PCI PTS, и никакие конфиденциальные данные не выходят за пределы контура защиты терминала, а следовательно, они защищены от перехвата.

При этом совсем не важно, какая именно операционная система используется в самом киоске самообслуживания, Windows, Linux, Android и т. п.

Поэтому Ingenico Group рекомендует производителям терминалов оплаты и инфокиосков оснащать свое оборудование профессиональными средствами приема и валидации банковских карт. Это тот самый случай, когда начальная инвестиция в надежное защищенное оборудование будет работать на вас в течение долгих лет, привлекая лояльных пользователей и генерируя новые источники доходности».

 «Возможно, мы имеем дело с некоторой терминологической подменой, допущенной Лабораторией Касперского. Дело в том, что понятие «POS-терминал», обозначающее для участников платежной индустрии устройство для приема карточных платежей, иногда используют для тривиального обозначения кассового компьютера. Можно предположить, что именно о его заражении вирусом шла речь в сообщении Лаборатории Касперского. Компьютер кассы, большая часть из которых, как известно, управляется ОС Windows и, как обычный десктоп, действительно может быть заражен тем или иным трояном, с помощью которого преступники смогут похищать хранящиеся в нем данные. Но в этом случае возникает вопрос – каким образом в кассовый компьютер попадают карточные данные, которые, как известно, не могут покидать защищенной контур POS-терминала или PIN-пада. Ответ на него прост: это происходит при использовании торгово-сервисным предприятием ККМ, не интегрированной с POS-терминалом. В результате после проведения транзакции по карте с помощью защищенного сертифицированного платежного устройства кассиру необходимо внести ее данные в кассовую систему, что он и делает, прокатав магнитную полосу через встроенный в клавиатуру считыватель магнитной полосы карты. Данная операция противоречит требованиям PСI, поскольку считаные таким путем карточные данные хранятся в буфере обмена компьютерной клавиатуры и могут быть без труда скомпрометированы не только трояном, но и просто любым заинтересованным злоумышленником, имеющим физический доступ к кассе. В то же время подобная схема по-прежнему широко практикуется в России, что на фоне участившихся масштабных кибератак создает серьезные риски.

Однако вендоры POS-терминалов по понятным причинам не имеют к этой угрозе никакого отношения - ответственность здесь ложится скорее на производителей кассовых решений, допускающих реализацию таких небезопасных схем с внесением карточных данных в ККМ. Кроме того, возникают понятные вопросы к законодательным органам и регуляторам.

Так или иначе, но даже в этом случае зараженный трояном кассовый компьютер не может способствовать компрометации ПИН-кода - по той причине, что его значение клиенты вводят ПИН только на POS-терминале (в классическом понимании этого термина) либо на ПИН-паде».

«Новость была подана как констатация факта: данный вирус уже (!) атаковал POS-терминалы. Мы в нашей терминальной сети и терминальных сетях банков, использующих наше оборудование и ПО, подобных атак не выявили. Как правильно вы заметили вирус отнесен к зловредам, атакующим OС Windows, под данной операционной системой наши терминалы не работают. При этом чтобы какая-то программа смогла запуститься на терминале, необходимо, чтобы она была подписана ключом производителя, плюс ее туда должен кто-то загрузить – «просто так» ни одно ПО не может быть передано или загружен на банковский терминал, только через контролируемый канал загрузки ПО.

Конечно же, на фоне последних новостей о хакерских атаках общество уже подогрето, и многие компании могут просто спекулировать на эту тему. Однако вариант заражения вирусом не POS-терминалов, а кассовых компьютеров возможен, и сейчас мы исследуем возможность перехвата данных при обмене данными банковского терминала с кассой. Однако все протоколы передачи данных соответствуют требованиям МПС и используют все необходимые алгоритмы и сертификаты шифрования.

Если в целом рассматривать вероятность вирусных кибератак на POS-терминалы, отмечу следующее.

Конечно же, там, где есть данные, которые могут позволить украсть деньги, там всегда будет высок риск атак. Посмотрите, как часто подвергаются атакам банкоматные сети. Рост безналичных платежей в магазинах, ресторанах и сервисных предприятиях также заставляет мошенников обращать внимание на эти сегменты. Но хочу отметить следующие хорошо известные моменты:

Все POS-терминалы и ПО проходят жесткие стандарты сертификации МПС и международных сертификационных лабораторий.

Схема управления программным обеспечением и установкой его на терминал имеет несколько степеней защиты, где участвуют подписи производителей, контроль канала загрузки, секьюрные области хранения данных, шифрование при передачи данных, невозможность загрузки стороннего ПО и т. д.

Установкой терминалов занимаются сами банки или аккредитованные ими подрядчики. Это позволяет при установке и обслуживании избежать случаев вмешательства на каком-либо этапе внешних лиц, которые могут «подсунуть» что-то свое или установить на терминале какие-либо скимминговые устройства.

При любом внешнем вмешательстве или попытке вскрытия терминал переходит в режим «Tamper», после чего никто кроме поставщика не может вывести устройство из данного режима. В своей совокупности эти меры позволяют успешно противостоять атакам на POS-терминальные сети. Ну и, конечно же, мы вместе с производителями, МПС, международными лабораториями не стоим на месте и регулярно повышаем степень защиты терминалов».

Обычная путаница понятий: POS-системы (кассы на базе компьютера) и POS-терминалы (специализированные устройства для приема платежей по банковским картам на базе Linux или проприетарных систем).

Стандартные (сертифицированные) POS-терминалы проверены международными лабораториями на устойчивость ко взлому, и методы их защиты усложняются с каждым днем. Вероятность массовой компрометации POS-терминалов незначительна.

Вероятно, что упомянутая Лабораторий Касперского проблема затрагивает кассовые аппараты со старым ПО, где банковский программный модуль работал на кассе, и к такой кассе подключали простой ПИН-пад и считыватель карт. В современных же кассовых системах вся функциональность по обработки данных карт осуществляется (или должна осуществляться) на интеллектуальном ПИН-паде, который сертифицирован на соответствие всем требованиям обеспечения безопасности.

Однозначно под риском оказываются киоски самообслуживания, значительная часть которых в России построены по примитивной схеме – PC (под WIN) + картридер + touchscreen для ввода ПИН-кода. Вся обработка данных карт и ПИНа осуществляется простой программой под WIN, и в этом случае все данные действительно открыты для злоумышленников.

Чуть более сложные киоски, которые используют PC + картридер + ПИН-пад (EPP), так же не защищены от возможной атаки, поскольку давно известен метод, когда вредоносная программа запрашивает ПИН, переводя ПИН-пад в режим ввода простых цифр, а потом передает управление на настоящую программу.

Все выше сказанное относится и к банкоматам, где сердцем является PC под управлением WIN…

«Да, несколько противоречивое утверждение коллег из «Касперского» –POS-терминалы (именно терминалы, установленные в торговых сетях), ОС Windows не используют, и их, соответственно, не могут заражать вирусами. Скорее всего, коллеги оговорились и имели ввиду так называемые интеллектуальные кассы под ОС Windows, где этот вирус действительно может перехватывать данные треков 1, 2 из оперативной памяти (собственно, почему он плохо ловится антивирусами). Причем Neutrino работает только в том случае, если устройство, считывающие магнитную полосу карты, не осуществляет прямого обмена данными с банком-эквайрером, а передача данных происходит через подключенный к терминалу ПК.

Технически, как и любое «вычислительное устройство», POS-терминал, конечно же, может быть атакован, но даже если злоумышленникам и удастся получить таким способом данные карт (ПИН в любом случае не компрометируется!), они смогут их использовать только для изготовления подделок с магнитной полосой (использовать которые можно попытаться только на рынках США и стран Юго-Восточной Азии) и/или платежей в интернете (без возможности ввода пароля 3-DS), что во всех случаях довольно успешно выявляется антифродовыми системами, а во втором случае еще и легко оспаривается банком.

Neutrino  распространяется по РФ с марта 2017 года (а также по всему миру – уже достаточно давно).  В нашей сети атак с Neutrino не зафиксировано. Защита от таких атак – обычное ограничение прав на ПК, с мониторингом исходящего трафика, и запретом на установку на ПК какого-либо стороннего ПО.

А данную публикацию коллег можно скорее отнести к PR-статье, чем к оповещению о реальной угрозе. В наше экономически и финансово неспокойное время хотелось бы со стороны коллег, специализирующихся на ИТ-безопасности, наблюдать осторожное и корректное отношение к распространению подобной информации. Стоит воздерживаться от публичных заявлений (дабы напрасно не запугивать конечных потребителей продуктов и услуг), обсуждая и распространяя такую информацию в специализированных сообществах».

«Когда я прочитал данную новость в одном из электронных изданий, возникло уже устоявшееся ощущение, что СМИ неверно интерпретируют информацию. Но, к своему удивлению, чуть позднее прочитал тоже самое и в первоисточнике.

Я бы не хотел вдаваться в технические подробности, но у любого специалиста, который понимает, что такое POS-терминал и как он работает, после прочтения данной новости возникает большое количество вопросов относительно ее полезности. Вполне возможно, что речь в статье шла о других устройствах, но тогда будьте любезны, назовите их правильно и не нужно наводить тень на плетень.

По моим наблюдениям, в последнее время рынку больше вреда наносят «вирусные» сообщения подобного характера, которые очень быстро распространяются в СМИ и наводят панику в сообществе. В связи с этим выражаю благодарность порталу PLUSworld.ru и журналу «ПЛАС», которое активно ведут борьбу с такого рода информационными заражениями».

Эта и другие темы будут обсуждаться на Форуме «Банковское самообслуживание, ритейл и НДО 2017», посвящённому анализу современного состояния и перспективе развития наличного денежного обращения (НДО), банкинга и платежной индустрии в России и других странах мира,  который проводит журнал «ПЛАС». Форум пройдёт в Москве 4-5 октября 2017 года. Будем рады встрече с Вами на Форуме!