Троянский вор. Что тащит на своем хвосте вирус, проникший в платежные терминалы?

Зловредное программное обеспечение добралось до терминалов мгновенных платежей — сообщение об этом появилось на сайте антивирусной компании «Доктор Веб». Событие, конечно, тревожное, но ожидаемое. Это ведь не первый случай виртуальной атаки на «ящики с деньгами» — в начале 2009 года в российских банкоматах был обнаружен вирус, который в течение нескольких месяцев собирал и передавал «хозяину» информацию о счетах клиентов банков, необходимую для снятия денег.

С точки зрения вирусописателей терминалы мало чем отличаются от банкоматов — по сути это тоже компьютеры, связанные в единую сеть. А платежные терминалы QIWI, о которых идет речь, — лакомый кусок для заказчиков зловредного ПО: их более 100 тысяч — половина всех таких устройств, установленных в стране, а оборот в 2010 году составил порядка 200 миллиардов рублей. Какие выводы предстоит сделать?

Во-первых, опасность может приходить не только из Интернета. Обнаружили трояна, как рассказывает Сергей Комаров, руководитель отдела антивирусных разработок и исследований «Доктор Веб», в ходе изучения бот-сети, формируемой вирусом BackDoor.Pushnik: «Так мы узнали, что иногда этот троянец закачивает по сети Интернет ПО Trojan.PWS.OSMP. Исследовав эту угрозу, мы поняли, что оно может иметь отношение к платежным терминалам».

И, как оказалось, самое непосредственное: попадая в операционную систему «ящика» QIWI, вирус Trojan.PWS.OSMP изменяет содержимое одного из ключевых внутренних процессов — подменяет номер счета получателя внесенных средств на «хозяйский». Средства информационной безопасности сработали оперативно. По данным Бориса Кима, председателя комитета по платежным системам и банковским инструментам НАУЭТ и председателя совета директоров QIWI, Trojan.PWS.OSMP успел заразить 10 терминалов, с которых было проведено около 100 транзакций. Все инфицированные терминалы были заблокированы.

Но как вирус мог попасть в терминалы, если они, как поясняют в QIWI, не подключены к Интернету? Большинство экспертов склоняются к простому варианту — через USB-флэшку с зараженным ПО BackDoor.Pushnik. Злоумышленники скачали с нее вирус на терминал — там есть соответствующий слот для обновления ПО или перезапуска зависшего устройства. PR-директор QIWI Александра Высочкина предполагает и такой сценарий: специалист, работавший с терминалом, не соблюдал правил безопасности и случайно заразил служебную флэшку без всякого умысла.

Правда, указывают эксперты по безопасности, сам автономный принцип работы наладчиков на объектах может спровоцировать их к неправедным поступкам. Тимур Аитов, исполнительный директор Ассоциации российских банков, уверен, что действие по заражению терминала было умышленным, и выполнил его тот, кто имел доступ к блоку управления терминалом. А им может оказаться как специалист-наладчик, так и сам владелец терминала.

Впрочем, тут вопрос больше не к сервисным службам, а к самому программному обеспечению. Ведь вирусу удалось в два счета подменить ключевые данные — счет получателя денег. «Хотя суммы ущерба, получившие огласку, незначительны, очевидно, что экономить на безопасности нельзя, потому что подобные атаки и даже более изощренные будут повторяться»,— резюмирует Тимур Аитов.

А вот с этим есть некая загвоздка. Ведь аппаратные средства защиты терминалов типа «сторожевого таймера» (watchdog), флэшки с защитой (E-Token), которые можно программно связать с конкретными сотрудниками и их действиями в системе, требуют денег из кармана владельца терминала, который для QIWI является агентом.

Секрет коммерческого успеха терминальной сети во многом кроется в удачной бизнес-стратегии, основанной на массовом привлечении партнеров-агентов (их сейчас около 8 тысяч) и минимальных требованиях к ним. Чтобы стать владельцем терминального бизнеса, всего-то и нужно быть юридическим лицом, приобрести терминал стоимостью несколько десятков тысяч рублей и зарегистрировать контрольно-кассовую технику.

Предложений в Интернете типа «доходный бизнес под ключ» — множество. Фактически можно потратиться на терминал, поставить его на даче и жить с процентов, которые оставят соседи, желающие без хлопот оплатить свет и газ, а также гастарбайтеры, работающие у этих соседей, — они с удовольствием будут перечислять родственникам заработанные деньги.

Конечно, на даче много не заработать. Но в хорошем людном месте дневной оборот терминала, говорит Аитов, доходит до 10 000 долларов день, что дает комиссионный доход на уровне 200—300 долларов ежесуточно, или около 10 000 долларов в месяц с одного терминала. А себестоимость транзакций, указывает эксперт, при этом крайне мала — от 0,01 цента до нескольких центов. Таким образом, простенькая, агентская схема организации бизнеса является тем «неизбежным злом», которым расплачивается потребитель за удобство и оперативность платежей.

Такая ситуация была возможна лишь при низкой конкуренции на рынке. Но сегодня все изменилось — операторы платежных сервисов дают потребителю доступ к платежным сервисам через все большее число интерфейсов: мобильных, терминальных, интернетовских, стирая различия между поставщиками. «Число клиентов операторов электронных денег приближается к 30 миллионам, и это означает, что экстенсивный рост уже скоро исчерпается и начнется реальная битва за абонентов», — считает Виктор Достов, председатель совета ассоциации «Электронные деньги».

При этом, отмечает Дмитрий Шмаков, вице-президент по маркетингу и коммерческой деятельности ChronoPay, одним из самых быстрорастущих направлений являются платежи по банковским картам. «Почти все российские электронные платежные системы реализовали в этом году возможность пополнения кошельков и возможность оплаты услуг с помощью банковских карт», — отмечает он.

Напрашивается вывод, что появление на сцене трояна Trojan.PWS.OSMP — это сигнал того, что рынок электронных платежей скоро изменится, причем революционно. Ведь на горизонте уже маячит новый инструмент — универсальная электронная карта (УЭК), запуска которой в считаные месяцы потребовал Кремль.

В том, что она будет обладать платежной функцией, сомневаться не приходится: государство кровно заинтересовано в уходе населения от кэша в безналичные денежные расчеты. В будущем УЭК может стать мощным конкурентом для нынешних игроков, например для международных платежных систем. Не зря же которую неделю подряд не стихают дискуссии вокруг законопроекта «О национальной платежной системе».

А для владельцев терминальных сетей УЭК открывает совсем другие горизонты. Ведь это стабильный ресурс для расширения платежного бизнеса, к тому же гарантированный государством. Так что появление «троянского коня» в платежных терминалах говорит не столько о происках конкурентов, сколько о грядущем глобальном переделе на рынке электронных платежей. Некоторые детали этого нового расклада мы узнаем совсем скоро — Дмитрий Медведев поручил чиновникам разработать нормативно-законодательную базу УЭК к 1 мая.

Автор: Елена Покатаева, ИТОГИ