Neutrino – вирус, который ворует деньги

«Лаборатория Касперского» 10 июня сообщила о новой модификации известного трояна Neutrino. Вирус, активно распространяющийся в России и Казахстане, атакует POS-терминалы (терминалы, позволяющие делать покупки в магазине, оплачивая их банковской картой) и похищает платежные данные, записанные на магнитных лентах. По мнению представителей «Касперского», эта модель работы для Neutrino новая: во-первых, зловредная программа активируется не сразу, как бы выжидая некоторое время. По мнению специалистов, это связано с тем, что в современных условиях вирусам необходимо некоторое время, чтобы гарантировано пройти «песочницу» (технологию, которая запускает приложения и программы с подозрительным кодом в безопасной среде, но имеет короткий период работы). Во-вторых Neutrino давно известен – он появился еще в 2013 году – тогда программу использовали как вымогатель, блокирующий работу компьютера. Модификация, которая распространяется сейчас нацелена именно на платежные терминалы, использующие устаревшую технологию магнитной ленты, а прибыль создатели вероятно планируют извлекать, похищая деньги с банковских карт, данные которых будут скопированы посредством вируса.

«В зоне риска – предприятия, которые принимают оплату картами с помощью устаревшей технологии считывания данных с магнитных лент. Защититься можно переходом на более современные и надежные системы защиты транзакций – например, те же чипы или Pay Pass», – рассказал Правила жизни Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

По словам старшего специалиста отдела безопасности банковских систем Positive Technologies Ярослава Бабина, проблема атак на POS-терминалы не новая: «Широкую огласку вредоносные приложения для POS-терминалов получили в 2011 году. За прошедшее время эксперты выявили приблизительно 10 разновидностей троянов, предназначенных для атак на платежные терминалы. Один из наиболее громких случаев использования таких троянов произошел в 2013 году, когда вирус BlackPOS заразил торговые терминалы одной из крупнейших в США торговых сетей Target и скопировал данные примерно 110 млн платежных карточек американцев.

Принцип работы у таких вирусов примерно одинаковый: после попадания на POS-терминал, троян считывает память процессов операционной системы в поиске информации достаточной для создания копии карты (ее номер, имя и фамилия владельца, дата окончания действия и др). Злоумышленник может получить ее, считав данные с магнитной полосы. В случае оплаты чипованной картой данных для ее клонирования будет недостаточно, поскольку такая карта генерирует для каждой финансовой операции индивидуальный подтверждающий код, который делает бессмысленным перехват идентификационных данных карты для дальнейшего использования».

В вопросе обеспечения безопасности эксперт PT солидарен со специалистом «Лаборатории Касперского»: «Общие правила безопасности пользователей могут быть таковы: иметь несколько карт (разграничивая их использование – для платежей в интернете, зарплатная и пр.) и ни в коем случае не хранить все свои сбережения на одной; использовать лимиты на операции; обязательно использовать 3D-Secure и SMS-информирование о совершенных операциях (это позволит при необходимости быстро заблокировать карту и увеличивает шансы на возврат денег в случае ее компрометации). Компаниям, которые используют POS-терминалы в своей работе, следует использовать специальные средства защиты, например, ПО, которое обеспечивает защиту предприятий от вредоносных программ».