Информация с магнитной полосы платежных карт и ПИН-коды держателей похищались с использованием вредоносного программного обеспечения. Программа инсталлируется путем доступа к системному блоку компьютера банкомата. В USB-порт компьютера вставляется flash-память и под рабочей записью запускается исполняемый файл (пароли администратора и BIOS не используются). Осуществляется взаимодействие с оборудованием банкомата на уровне драйверов. Из транзакций перехватываются второй трек и ПИН-блок. У данной преступной группы имелась программа по генерации номеров карт активации. Карты активации генерировались по определенному принципу: часть трека карты составляла заданную константу. На основании этой константы вредоносное программное обеспечение на компьютере банкомата «узнавало» свои карты и позволяло войти в альтернативное меню, управлять которым можно было с ПИН-клавиатуры банкомата. Второй трек магнитной полосы внутри банкомата обрабатывается в открытом виде. Поэтому программа просто перехватывала его и записывала в файл. ПИН-блок на компьютере банкомата обрабатывается в зашифрованном внутри ПИН-клавиатуры виде, то есть на компьютере находится только криптограмма. Но вредоносное программное обеспечение могло расшифровывать ПИН-блоки с использованием штатной функции ПИН-клавиатур, в том числе для PCI EPP (ПИН-клавиатуры, сертифицированной по стандарту PCI DSS).

Было выявлено несколько версий инсталлятора вируса: test4.exe, test5.exe, test6.exe и др. При заражении:

• в директории с: /windows/создается файл, маскирующийся под легальный: lsass.exe (настоящий находится в директории system32);

• программа прописывается в реестр и загружается в память;

• осуществляется взаимодействие с оборудованием банкомата на уровне драйверов;

• из транзакций, направляемых в процессинговый центр, перехватывается второй трек и ПИН-блок;

• ПИН-блок расшифровывается на ПИН-клавиатуре (штатная функция);

• второй трек и ПИН-блок зашифровываются на собственном ключе вируса и записываются в файл trl или trl2 в директории с:/windows/;

• при инициировании транзакции по ранее сгенерированной карте (карты активации, начинаются с цифры 4) активируется ПИН-клавиатура;

• в течение 15–20 секунд можно начать вводить команды, нажимая определенные клавиши на ПИН-клавиатуре:

— запрос версии ПО банкомата;

— сколько накоплено информации (количество карт и ПИН);

— распечатать накопленную информацию на чековую ленту;

— записать накопленную информацию на SIM-карту;

— удалить накопленную информацию;

— удалить вирус (удаляется из памяти, переписывается в реестре в другое место, сохраняется на жестком диске);

— перезагрузить банкомат;

— выдать купюры (требует пароль).

В качестве карт активации использовались следующие карты: 4773419549651379, 4183557684583198, 4460308669682769, 4074195357318139, 4234342506353628, 4797711436470943, 4712874388376864, 4873134660204598, 4625190408744296, 4824182872942026. Программное обеспечение позволяет сгенерировать гораздо большее количество карт, но алгоритм работы генератора номеров был разработан таким образом, что при каждом нажатии на кнопку команды генерации в интерфейсе выдавался список карт из 20 номеров и при каждом новом запуске программы номера генерировались заново в том же порядке. Поэтому злоумышленники использовали ограниченный набор карт активации.

1 декабря 2008 г. о данной проблеме узнала компания производитель банкоматов Diebold, 11 декабря был произведен анализ вредоносной программы в США, 23 декабря была выпущена «заплатка» и предоставлена банкам. Зараженные банкоматы были выявлены в Санкт-Петербурге, Москве, Калининграде, Екатеринбурге, Кемерово, Новокузнецке, Новосибирске, Барнауле, Украине, Объединенных Арабских Эмиратах, ЮАР.

То же самое вредоносное программное обеспечение было обнаружено и на банкомате NCR 5877 в Санкт-Петербурге 5 марта 2009 г. Проведенный анализ показал, что было осуществлено копирование только вторых треков, ПИН-код не был расшифрован. Вредоносное обеспечение не было полностью адаптировано к банкоматам данного производителя.

Указанное вредоносное программное обеспечение на банкоматах Diebold имеет функцию выдачи купюр из кассет. Для ее активации программа запрашивает пароль, который формируется по определенному алгоритму, обычно один злоумышленник активировал команду на банкомате, вредоносное ПО выдавало код, в ответ на который нужно было ввести другой, связанный с ним. Код ответа сообщался сообщником по телефону. Данная уязвимость сохраняется и на сегодняшний день. Множество таких атак были отмечены в 2009–2010 гг. в России, в 2011 г. — на территории Украины.

Возможность получения наличных денежных средств из банкомата (без его взлома или хищения) является одной из криминальных целей.

В сентябре 2006 г. телекомпания WAVY-TV сообщила об инциденте в Virginia Beach, (штат Вирджиния, США), где хакер получил права администратора на ATM и изменил номиналы загруженных купюр на 5-долларовые вместо 20-долларовых. Это стало возможно в результате того, что пароли доступа в систему были оставлены по умолчанию.

В 2006 г. на Украине были отмечены очень высокотехнологичные атаки на инфраструктуру банкоматных сетей. В результате инкассации ATM разными банками-эквайрерами зафиксированы значительные суммы недостач. При этом в историях авторизаций ATM-операций на суммы недостач не обнаружено, на хосте зафиксированы отключения ATM (переход в офлайн). При анализе электронных журналов ATM обнаружены авторизационные запросы на 5 грн., 10 грн. и авторизационные ответы на 4000 грн., 8000 грн. (40 купюр — максимальное количество, выдаваемых на один раз купюр по 100 грн. или 200 грн.). Операции проводились в ATM разных банков с использованием одних и тех же номеров карт. Мошеннические операции не видны хосту (ATM в офлайн), невозможно осуществлять мониторинг мошеннических транзакций. Злоумышленники избрали своей целью банкоматы, подключенные с использованием радиорелейных каналов связи, при этом банки не использовали ни VPN-каналы, ни функцию MAC. Предположительно, данная атака была осуществлена путем перехвата подключения банкомата на мошеннический эмулятор хост-системы процессинга. Мошенники вставляли карту в банкомат и направляли запрос на выдачу наличных денежных средств. Но данные запросы не попадали к эквайреру, эмулятор хоста мошенников на все запросы выдавал положительную авторизацию. В то время как банкомат выдавал мошенникам денежные средства, эквайрер думал, что с банкоматом просто отсутствует связь.

2008 г., Линкольн (штат Небраска, США). Двум молодым парням, Джордану Эске и Николасу Фостеру, удалось обмануть банкомат, при помощи стандартных кодов «убедив» машину, что она наполнена однодолларовыми купюрами вместо двадцаток.

В 2009 г. в Великобритании был зафиксирован случай «мошеннической подмены хоста». Банкомат был отсоединен от хоста процессингового центра и подключен к ноутбуку. При использовании в данном банкомате карт на авторизационные запросы отвечал не эмитент, а эмулятор хоста.

2009 г., Башкортостан. В крупном уфимском супермаркете злоумышленники, использовав пароль администратора по умолчанию, установили собственный курс американской валюты в банкомате, повысив его до 1500 рублей. Загружая в банкомат по одной купюре, они обменяли $800 на 1,2 млн рублей.

4 марта 2009 г. в г. Москве с поличным задержан злоумышленник при попытке получения наличных из банкомата Smartcash 107 (компании Europeum), оборудованного диспенсером DeLARue с интерфейсом RS-232. Он подключил к ноутбуку диспенсер банкомата и использовал программу NMDWTest (специализированная тестовая программа, созданная компанией — производителем банковского оборудования De La Rue для технического обслуживания и проверки функционирования модуля для выдачи банкнот NMD-100). С помощью данной программы возможно извлечение банкнот без вскрытия сейфовой части банкомата.

В 2013 г. банкоматы подверглись атаке вредоносным кодом под названием Ploutus. Распространяемый в текущей версии с помощью CD-дисков код направлен на перехват контроля над банкоматом с целью извлечения имеющихся в нем наличных денег. Анализ инцидентов показал, что злоумышленники, получив доступ к CD-приводу банкомата, помещали туда новый загрузочный диск. С этого диска загружались файлы вредоносной программы Ploutus на жесткий диск банкомата и отключались установленные в системе антивирусные программы. После успешной загрузки вредоносного кода в систему Ploutus активировался определенной комбинаций нажатий на функциональные клавиши устройства, после чего появлялась возможность отправлять команды на выдачу наличных денег с внешней клавиатуры. Атака была зафиксирована в Мексике, Китае, Франции, Бразилии, Малайзии на банкоматах NCR, Wincor Nixdorf.