Тысячи банкоматов Сбербанка принимают билеты «банка приколов»

автор: admin

Около 4 тысяч банкоматов Сбербанка нуждаются в замене, поскольку уязвимы к купюрам «банка приколов».

Об этом сообщает «Коммерсант» со ссылкой на итоги расследования многочисленных случаев хищения денег из банкоматов путем подмены реальных банкнот поддельными.

Во всех атаках на банкоматы, когда в устройство вносились купюры «банка приколов», использовались банкоматы одного производителя — NCR. На всех из них стояли валидаторы (устройство, распознающее купюры) ABV, HBV и RBV.

По данным ЦБ, на начало года в стране было более 200 тысяч банкоматов, из них 135 тысяч — с функцией приема наличных. Каждый пятый — около 40 тысяч — принадлежит производителю NCR, причем львиная доля приходится на Сбербанк.

По словам собеседника «Ъ», знакомого с деталями расследования, проблема возникла на уровне программного обеспечения валидатора.

Валидаторы на банкоматах NCR — это по сути что-то вроде сканера с УФ-лампой, отмечает руководитель отдела исследований «Диджитал Секьюрити» Дмитрий Турченков. Шаблоны распознавания заливаются на валидатор обслуживающими сервисными центрами. «Банк весьма ограничен возможностями настроек и не может влиять на шаблоны», — сетует представитель крупного банка.

Эксперты отмечают, что проблема в использовании устаревших моделей. «Данная уязвимость связана с тем, что более точная настройка валидаторов ABV и HBV приводит к отказу приема денег банкоматами, — указывают в банке «Открытие». — Методами устранения этой ошибки может быть либо отказ от приема купюр определенных номиналов, либо замена валидаторов». Там подчеркнули, что банк не сталкивался с подобными кейсами.

Решением проблемы, по словам экспертов, могла бы стать своевременная информационная рассылка по банкам от ФинЦЕРТ ЦБ о выявленной уязвимости. Помогло бы и оперативное обновление программного обеспечения, инициированное NCR.

Однако регулятор склоняется к мысли, что банкам просто необходимо отказаться от уязвимых моделей. Банкоматы должны распознавать не менее четырех машиночитаемых защитных признаков банкнот на всей площади банкноты, заявили в ЦБ, добавив, что на сайте центробанка опубликован перечень устройств, прошедших испытание и рекомендованных ЦБ. Среди банкоматов NCR регулятор рекомендует только устройства с валидаторами GBVE и BRM.

В настоящее время NCR отказался от сервисной поддержки банкоматов с уязвимыми валидаторами и также рекомендует обновить парк. Смогут ли банки оперативно избавиться от уязвимых моделей, неизвестно.