Троянец превратит компьютер в платёжный терминал?

Компания "Доктор Веб" сообщила об обнаружении троянской программы, ворующей критические данные с платёжных терминалов "одной из крупнейших российских платежных систем". Руководство компании Qiwi заверяет, что пользователям её терминалов бояться нечего.

"Доктор Веб" говорит о троянце Trojan.PWS.OSMP, который через съёмные носители (обычно USB-флешки) и последующие обращения к расположенным в Интернете серверам, попадает в операционную систему платёжного терминала (Windows). Троянец цепляется к "легальному" процессу maratl.exe, позволяя злоумышленникам менять номер счёта получателя.

Судя по описанию в базе данных компании "Доктор Веб", Trojan.PWS.OSMP существует уже более двух лет. Однако в конце прошлого месяца была обнаружена новая его модификация, которая действует по другой схеме.

"Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник", — говорится в сообщении антивирусной компании.

Как видим, пока речь идёт о предположениях, а кроме того, "Доктор Веб" ссылается на мнение специалистов из процессинговой компании о том, что "вероятность заражения терминалов этим троянцем является невысокой ввиду специфики обслуживания". Под этим, очевидно, следует понимать, что обслуживание терминалов производится с полным осознанием того, что через флешку могут проникнуть зловреды.

Что до того, о какой "одной из крупнейших российских платежных систем" идёт речь, то речь идёт о компании Qiwi. Президент группы Qiwi Андрей Романенко сообщил CNews буквально следующее:

"Троян был обнаружен около месяца назад, Dr.Web и "Лаборатория Касперского" оперативно выпустили соответствующие антивирусы и проблема была оперативно решена. Ущерба для пользователей зафиксировано не было".

Романенко также невысоко оценил сам принцип мошеннической схемы: "Цель мошенника — получить деньги, значит, в конце цепочки будет стоять физическое лицо, которое в конце концов можно будет вычислить".

В пресс-службе Qiwi "Вебпланете" дали более развёрнутый комментарий:

"Мы знаем о появлении данного вируса, но при анализе было выявлено, что его активность крайне низка. Никаких краж и несанкционированных действий на данный момент нами не обнаружено. Мы обладаем эффективной системой мониторинга, которая при возникновении каких-либо даже самых незначительных угроз оперативно проинформирует нас о них. Наличие данного вируса мы мониторим с 20 февраля и в эту же дату предоставили агентам инструкции и рекомендации.

Поскольку при анализе данного вируса была выявлена его крайне низкая активность и все необходимые меры безопасности были предприняты, мы не планируем выпуск экстренного релиза программного обеспечения для платежных терминалов. Ежемесячно мы выпускаем плановые релизы, в которых учитываются все возможные последствия вирусов, выявленных нашей специализированной системой мониторинга вредоносных программ. Обновление терминалов происходит как удаленно по защищенному каналу GPRS, так и с помощью переносных устройств, таких как flash-накопители. Наша система безопасности обеспечена самыми современными технологиями мониторинга, обнаружения и предотвращения вирусов".

Всё это означает, что вероятность заражения новым троянцем именно терминала Qiwi крайне низка. Вместе с тем, эксперты компании "Доктор Веб" говорят о существовании бот-сети, специально ориентированной на терминалы. Как уточнили "Вебпланете" в пресс-службе компании, речь идёт о ботнете, который может включать как терминалы, так и обычные Windows-компьютеры (для последних Trojan.PWS.OSMP не страшен, но на них может подгружаться другой вредоносный контент).

В компании говорят, что оценить величину бот-сети невозможно, не имея доступа к её управляющим серверам. В "Лаборатории Касперского" также сказали, что у них на данный момент нет статистики по заражениям платёжных терминалов.

Если оценка специалистов Qiwi верна, то маловероятно, чтобы были похищены "конфигурационные файлы", о которых говорят в компании "Доктор Веб". Тем не менее такой шанс исключать нельзя.

Нам пока не удалось выяснить, насколько реально, обладая таким конфигурационным файлом, организовать на обычном компьютере виртуальный терминал и совершить с его помощью виртуальный же платёж на произвольный счёт. В компании "Доктор Веб" предполагают, что такого конфигурационного файла достаточно для создания поддельного терминала.

(Обновлено в 16:20) В компании Qiwi "Вебпланету" заверили, что даже если злоумышленникам и удастся украсть конфигурационный файл, чтобы создать поддельный терминал, то у них ничего не получится. "У нас установлена система Anti-Fraud, которая сумеет распознать атаку и заблокировать поступление платежей с данного терминала", — сообщили нам в пресс-службе компании.



Источник: www.webplanet.ru




Если вы хотите разместить свою статью или новость - присылайте ее по адресу .