ATM Incident Evidence Package
Практический defensive-чеклист evidence для ATM-инцидентов и disputes.
ATM Incident Evidence Package
Кратко
ATM incident evidence package — согласованный набор данных для расследования сбоя, fraud-case, security incident или dispute. Его задача — восстановить последовательность событий и отделить физическое движение наличных от процессингового результата.
Когда нужен
- no dispense;
- partial dispense;
- cash presented but not taken;
- cash trapping;
- card trapping;
- jackpotting;
- black box attack;
- malware suspicion;
- reconciliation mismatch;
- клиентская претензия.
Основные источники доказательств
| Источник | Что проверять |
|---|---|
| EJ | Хронологию ATM-session и transaction events |
| Device / XFS logs | Команды, результаты, ошибки, shutter, cash taken, retract, retain |
| Host / switch logs | Authorization, advice, reversal, completion, response codes |
| Counters | Cassette, reject, retract и cash unit status |
| Reconciliation | Расхождения физического и процессингового движения |
| CCTV | Физический контекст и действия около ATM |
| Security alerts | Tamper, service mode, allowlisting, EDR, network anomalies |
| Service records | Инкассацию, ремонт, обновления, доступ подрядчиков |
| Customer complaint | Время, ATM location, сумма, описание результата |
flowchart LR
CLAIM["Customer complaint"]
ID["Transaction identification"]
EJ["EJ"]
HOST["Host log"]
SWITCH["Switch log"]
DISPENSER["Dispenser log"]
COUNTERS["Cassette counters"]
CCTV["CCTV"]
SECURITY["Security alerts"]
SERVICE["Service report"]
DECISION["Decision and follow-up"]
CLAIM --> ID
ID --> EJ
ID --> HOST
ID --> SWITCH
ID --> DISPENSER
ID --> COUNTERS
ID --> CCTV
ID --> SECURITY
ID --> SERVICE
EJ --> DECISION
HOST --> DECISION
SWITCH --> DECISION
DISPENSER --> DECISION
COUNTERS --> DECISION
CCTV --> DECISION
SECURITY --> DECISION
SERVICE --> DECISIONEvidence по типам инцидентов
No dispense
- authorization result;
- dispense attempt;
- dispenser error;
- reversal/advice;
- EJ;
- reconciliation.
Partial dispense
- requested amount;
- фактически предъявленная и взятая сумма;
- device counters;
- reject/retract;
- adjustment/reversal logic;
- CCTV.
Cash trapping
- shutter и
cash takenevents; - физический осмотр;
- CCTV;
- повторяющиеся обращения;
- reconciliation.
Card trapping
- eject/retain/capture events;
- наличие карты в штатном хранилище;
- CCTV;
- inspection report;
- последующие операции по карте.
Skimming / shimming
- inspection report;
- card reader и tamper events;
- CCTV;
- список затронутых карт;
- fallback, chip и contactless context;
- последующие fraud-операции.
Jackpotting
- dispenser activity;
- отсутствие normal transaction context;
- tamper и service events;
- ATM PC logs;
- counters;
- CCTV;
- reconciliation.
Black box attack
- unauthorized dispenser activity;
- tamper evidence;
- device events;
- отсутствие соответствующей авторизации;
- CCTV;
- reconciliation mismatch.
ATM malware
- ATM PC, application и OS logs;
- integrity monitoring, allowlisting и EDR alerts;
- software distribution и service access records;
- network telemetry;
- device events;
- EJ и reconciliation.
Reconciliation mismatch
- EJ;
- host/switch records;
- counters;
- CIT documents;
- manual adjustments;
- service events.
Suspicious withdrawal / Russian anti-fraud signal
- признак возможной выдачи наличных без добровольного согласия клиента;
- ATM transaction identifiers;
- authorization request/response;
- fraud monitoring event;
- EJ и device events;
- host / switch logs;
- сведения о предшествующей ДБО-активности, если доступны;
- customer notification;
- complaint / dispute materials.
flowchart LR
SUSPICIOUS["Suspicious withdrawal"]
TX["ATM transaction"]
FRAUD["Fraud signal"]
EJ["EJ"]
HOST["Host log"]
SWITCH["Switch log"]
COMPLAINT["Customer complaint"]
DECISION["Decision"]
SUSPICIOUS --> TX
TX --> FRAUD
TX --> EJ
TX --> HOST
TX --> SWITCH
FRAUD --> DECISION
EJ --> DECISION
HOST --> DECISION
SWITCH --> DECISION
COMPLAINT --> DECISIONРиски
- неполные логи;
- рассинхронизация времени;
- разные transaction IDs;
- отсутствие correlation ID;
- потеря CCTV;
- ручные корректировки без аудита;
- логирование sensitive authentication data;
- изменение evidence после инцидента.
Минимальные правила
- фиксировать время и timezone;
- сохранять оригиналы evidence;
- документировать источник и цепочку передачи;
- маскировать PAN в рабочих представлениях;
- не сохранять PIN, clear PIN block или ключи;
- отделять факт от гипотезы;
- помечать
needs_review, если доказательств недостаточно.
Связанные заметки
- ATM-Dispute-Lifecycle
- ATM-Электронный-Журнал
- ATM-Reconciliation
- ATM-No-Dispense-и-Reversal
- ATM-Security-Threat-Model
- ATM-Fraud-Monitoring
- ATM-Russia-Anti-Fraud-Cash-Withdrawal
- ATM-Russia-Offline-Operation
- ATM-Jackpotting
- ATM-Malware-Attacks
- ATM-Cash-Trapping
- ATM-Card-Trapping
- ATM-Skimming
- ATM-Shimming
Источники
- PCI SSC: Document Library — PCI DSS v4.0.1.
- Mastercard: Chargeback Guide — ATM disputes.
- Diebold Nixdorf: Vynamic View Log & Journal Manager.
Ссылаются на эту заметку
Заметка
ATM — база знаний
Заметка
Электронный журнал ATM — виды и особенности
Заметка
Cash Recycling Business Case
Заметка
ATM Managed Services
Заметка
ATM dispute lifecycle
Заметка
No Dispense и Reversal
Заметка
ATM Reconciliation
Заметка
Sequence Diagram: Снятие наличных (Withdrawal)
Заметка
ATM Black Box Attacks
Заметка
ATM Card Trapping
Заметка
ATM Cash Trapping
Заметка
ATM Jackpotting
Заметка
ATM Malware Attacks
Заметка
PCI Standards for ATM
Заметка
ATM Skimming
Заметка
ATM Security Threat Model
Заметка
XFS as ATM Attack Surface
Заметка
Глоссарий ATM — индекс терминов