Популярная в России модель банкоматов не отличает сувенирные купюры от подлинных
Производителю известно о фактах хищений с использованием этой уязвимости в четырех российских банках. Часть случаев стали публичными. Так, 23 августа СМИ сообщили о внесении 800 тыс. руб. купюрами «банка приколов» в банкомат Юникредит-банка. Ранее схожие кейсы были с банкоматами МКБ (хищение 565 тыс. руб.) и Райффайзенбанка (122 тыс. руб.). В прошлом году проходили сообщения о хищении в банкоматах Сбербанка (на 5 млн руб. в Санкт-Петербурге).
По данным ЦБ, на начало года в стране было более 200 тыс. банкоматов, из них 135 тыс.— с функцией приема наличных. Согласно информации на сайте NCR, в России 40 тыс. устройств производителя. Клиентами компании являются Сбербанк, Альфа-банк, Газпромбанк, Юникредит-банк, Райффайзенбанк, Росбанк.
По словам собеседника «Коммерсанта», знакомого с деталями расследования инцидентов, проблема в программном обеспечении валидатора. По словам руководителя отдела исследований «Диджитал Секьюрити» Дмитрия Турченкова, валидаторы на банкоматах NCR — это по сути что-то вроде сканера с УФ-лампой. Шаблоны распознавания заливаются на валидатор обслуживающими сервисными центрами. Банк весьма ограничен возможностями настроек и не может влиять на шаблоны.
Эксперты отмечают, что проблема в использовании устаревших моделей.
Об отсутствии банкоматов NCR старых модификаций сообщили в Альфа-банке, ВТБ, «Открытии» и Почта-банке. В Сбербанке отметили, что банкоматов NCR c указанными валидаторами в сети менее 5%, в МКБ — менее 1%, в Росбанке — всего несколько устройств.
Решением проблемы, по словам экспертов, могла бы стать своевременная информационная рассылка по банкам от ФинЦЕРТ ЦБ о выявленной уязвимости. Помогло бы и оперативное обновление программного обеспечения, инициированное NCR. Однако регулятор склоняется к мысли, что банкам просто необходимо отказаться от уязвимых моделей. На сайте ЦБ опубликован перечень устройств, прошедших испытание и рекомендованных ЦБ. Среди банкоматов NCR регулятор рекомендует только устройства с валидаторами GBVE и BRM.
В NCR от комментариев отказались. Однако источники отмечают, что в настоящее время NCR отказался от сервисной поддержки банкоматов с уязвимыми валидаторами и также рекомендует обновить парк.
Производителю известно о фактах хищений с использованием этой уязвимости в четырех российских банках. Часть случаев стали публичными. Так, 23 августа СМИ сообщили о внесении 800 тыс. руб. купюрами «банка приколов» в банкомат Юникредит-банка. Ранее схожие кейсы были с банкоматами МКБ (хищение 565 тыс. руб.) и Райффайзенбанка (122 тыс. руб.). В прошлом году проходили сообщения о хищении в банкоматах Сбербанка (на 5 млн руб. в Санкт-Петербурге).
По данным ЦБ, на начало года в стране было более 200 тыс. банкоматов, из них 135 тыс.— с функцией приема наличных. Согласно информации на сайте NCR, в России 40 тыс. устройств производителя. Клиентами компании являются Сбербанк, Альфа-банк, Газпромбанк, Юникредит-банк, Райффайзенбанк, Росбанк.
По словам собеседника «Коммерсанта», знакомого с деталями расследования инцидентов, проблема в программном обеспечении валидатора. По словам руководителя отдела исследований «Диджитал Секьюрити» Дмитрия Турченкова, валидаторы на банкоматах NCR — это по сути что-то вроде сканера с УФ-лампой. Шаблоны распознавания заливаются на валидатор обслуживающими сервисными центрами. Банк весьма ограничен возможностями настроек и не может влиять на шаблоны.
Эксперты отмечают, что проблема в использовании устаревших моделей.
Об отсутствии банкоматов NCR старых модификаций сообщили в Альфа-банке, ВТБ, «Открытии» и Почта-банке. В Сбербанке отметили, что банкоматов NCR c указанными валидаторами в сети менее 5%, в МКБ — менее 1%, в Росбанке — всего несколько устройств.
Решением проблемы, по словам экспертов, могла бы стать своевременная информационная рассылка по банкам от ФинЦЕРТ ЦБ о выявленной уязвимости. Помогло бы и оперативное обновление программного обеспечения, инициированное NCR. Однако регулятор склоняется к мысли, что банкам просто необходимо отказаться от уязвимых моделей. На сайте ЦБ опубликован перечень устройств, прошедших испытание и рекомендованных ЦБ. Среди банкоматов NCR регулятор рекомендует только устройства с валидаторами GBVE и BRM.
В NCR от комментариев отказались. Однако источники отмечают, что в настоящее время NCR отказался от сервисной поддержки банкоматов с уязвимыми валидаторами и также рекомендует обновить парк.
Производителю известно о фактах хищений с использованием этой уязвимости в четырех российских банках. Часть случаев стали публичными. Так, 23 августа СМИ сообщили о внесении 800 тыс. руб. купюрами «банка приколов» в банкомат Юникредит-банка. Ранее схожие кейсы были с банкоматами МКБ (хищение 565 тыс. руб.) и Райффайзенбанка (122 тыс. руб.). В прошлом году проходили сообщения о хищении в банкоматах Сбербанка (на 5 млн руб. в Санкт-Петербурге).
По данным ЦБ, на начало года в стране было более 200 тыс. банкоматов, из них 135 тыс.— с функцией приема наличных. Согласно информации на сайте NCR, в России 40 тыс. устройств производителя. Клиентами компании являются Сбербанк, Альфа-банк, Газпромбанк, Юникредит-банк, Райффайзенбанк, Росбанк.
По словам собеседника «Коммерсанта», знакомого с деталями расследования инцидентов, проблема в программном обеспечении валидатора. По словам руководителя отдела исследований «Диджитал Секьюрити» Дмитрия Турченкова, валидаторы на банкоматах NCR — это по сути что-то вроде сканера с УФ-лампой. Шаблоны распознавания заливаются на валидатор обслуживающими сервисными центрами. Банк весьма ограничен возможностями настроек и не может влиять на шаблоны.
Эксперты отмечают, что проблема в использовании устаревших моделей.
Об отсутствии банкоматов NCR старых модификаций сообщили в Альфа-банке, ВТБ, «Открытии» и Почта-банке. В Сбербанке отметили, что банкоматов NCR c указанными валидаторами в сети менее 5%, в МКБ — менее 1%, в Росбанке — всего несколько устройств.
Решением проблемы, по словам экспертов, могла бы стать своевременная информационная рассылка по банкам от ФинЦЕРТ ЦБ о выявленной уязвимости. Помогло бы и оперативное обновление программного обеспечения, инициированное NCR. Однако регулятор склоняется к мысли, что банкам просто необходимо отказаться от уязвимых моделей. На сайте ЦБ опубликован перечень устройств, прошедших испытание и рекомендованных ЦБ. Среди банкоматов NCR регулятор рекомендует только устройства с валидаторами GBVE и BRM.
В NCR от комментариев отказались. Однако источники отмечают, что в настоящее время NCR отказался от сервисной поддержки банкоматов с уязвимыми валидаторами и также рекомендует обновить парк.
Подписаться на нас
Крымский мост. Фото: t.me/Aksenov82
Стоп-кадр с видео
Фото: t.me/lokobasket
Фото: Денис Яковлев / Югополис