You are hereГруппы / Безопасность / Qiwi не боится трояна, найденного "Доктор Веб"
Qiwi не боится трояна, найденного "Доктор Веб"
Компания "Доктор Веб" сообщила об обнаружении троянской программы, ворующей критические данные с платёжных терминалов "одной из крупнейших российских платежных систем". Руководство компании Qiwi заверяет, что пользователям её терминалов бояться нечего.
"Доктор Веб" говорит о троянце Trojan.PWS.OSMP, который через съёмные носители (обычно USB-флешки) и последующие обращения к расположенным в Интернете серверам, попадает в операционную систему платёжного терминала (Windows). Троянец цепляется к "легальному" процессу maratl.exe, позволяя злоумышленникам менять номер счёта получателя.
Судя по описанию в базе данных компании "Доктор Веб", Trojan.PWS.OSMP существует уже более двух лет. Однако в конце прошлого месяца была обнаружена новая его модификация, которая действует по другой схеме.
"Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник", — говорится в сообщении антивирусной компании.
Как видим, пока речь идёт о предположениях, а кроме того, "Доктор Веб" ссылается на мнение специалистов из процессинговой компании о том, что "вероятность заражения терминалов этим троянцем является невысокой ввиду специфики обслуживания". Под этим, очевидно, следует понимать, что обслуживание терминалов производится с полным осознанием того, что через флешку могут проникнуть зловреды.
Что до того, о какой "одной из крупнейших российских платежных систем" идёт речь, то речь идёт о компании Qiwi. Президент группы Qiwi Андрей Романенко сообщил буквально следующее:
"Троян был обнаружен около месяца назад, Dr.Web и "Лаборатория Касперского" оперативно выпустили соответствующие антивирусы и проблема была оперативно решена. Ущерба для пользователей зафиксировано не было".
Романенко также невысоко оценил сам принцип мошеннической схемы: "Цель мошенника — получить деньги, значит, в конце цепочки будет стоять физическое лицо, которое в конце концов можно будет вычислить".
В пресс-службе Qiwi "Вебпланете" дали более развёрнутый комментарий:
"Мы знаем о появлении данного вируса, но при анализе было выявлено, что его активность крайне низка. Никаких краж и несанкционированных действий на данный момент нами не обнаружено. Мы обладаем эффективной системой мониторинга, которая при возникновении каких-либо даже самых незначительных угроз оперативно проинформирует нас о них. Наличие данного вируса мы мониторим с 20 февраля и в эту же дату предоставили агентам инструкции и рекомендации.
Поскольку при анализе данного вируса была выявлена его крайне низкая активность и все необходимые меры безопасности были предприняты, мы не планируем выпуск экстренного релиза программного обеспечения для платежных терминалов. Ежемесячно мы выпускаем плановые релизы, в которых учитываются все возможные последствия вирусов, выявленных нашей специализированной системой мониторинга вредоносных программ. Обновление терминалов происходит как удаленно по защищенному каналу GPRS, так и с помощью переносных устройств, таких как flash-накопители. Наша система безопасности обеспечена самыми современными технологиями мониторинга, обнаружения и предотвращения вирусов".
Всё это означает, что вероятность заражения новым троянцем именно терминала Qiwi крайне низка. Вместе с тем, эксперты компании "Доктор Веб" говорят о существовании бот-сети, специально ориентированной на терминалы. Как уточнили "Вебпланете" в пресс-службе компании, речь идёт о ботнете, который может включать как терминалы, так и обычные Windows-компьютеры (для последних Trojan.PWS.OSMP не страшен, но на них может подгружаться другой вредоносный контент).
В компании говорят, что оценить величину бот-сети невозможно, не имея доступа к её управляющим серверам. В "Лаборатории Касперского" также сказали, что у них на данный момент нет статистики по заражениям платёжных терминалов.
Если оценка специалистов Qiwi верна, то маловероятно, чтобы были похищены "конфигурационные файлы", о которых говорят в компании "Доктор Веб". Тем не менее такой шанс исключать нельзя.
Нам пока не удалось выяснить, насколько реально, обладая таким конфигурационным файлом, организовать на обычном компьютере виртуальный терминал и совершить с его помощью виртуальный же платёж на произвольный счёт. В компании "Доктор Веб" предполагают, что такого конфигурационного файла достаточно для создания поддельного терминала.
В компании Qiwi заверили, что даже если злоумышленникам и удастся украсть конфигурационный файл, чтобы создать поддельный терминал, то у них ничего не получится. "У нас установлена система Anti-Fraud, которая сумеет распознать атаку и заблокировать поступление платежей с данного терминала", — сообщили нам в пресс-службе компании.
© webplanet.ru
Отправить комментарий