Ysterbokse met geld wat in die strate van die stad staan, kan nie anders as om die aandag van liefhebbers van vinnige geld te trek nie. En as in die verlede suiwer fisiese metodes gebruik is om kitsbanke leeg te maak, word nou meer en meer vaardige truuks wat met rekenaars verband hou, gebruik. Nou is die mees relevante van hulle die "swart boks" met 'n enkelbord-mikrorekenaar binne. Ons sal in hierdie artikel praat oor hoe dit werk.
Hoof van die Internasionale Vereniging van OTM-vervaardigers (ATMIA) "swart bokse" as die gevaarlikste bedreiging vir kitsbanke.
'n Tipiese OTM is 'n stel gereedgemaakte elektromeganiese komponente wat in een behuising geplaas word. OTM-vervaardigers bou hul ysterskeppings uit 'n banknoot-dispenser, kaartleser en ander komponente wat reeds deur derdeparty-verkopers ontwikkel is. 'n Soort LEGO-konstruktor vir volwassenes. Voltooide komponente word in die OTM-kas geplaas, wat gewoonlik uit twee kompartemente bestaan: die boonste kompartement ("kas" of "diensarea") en die onderste kompartement (kluis). Alle elektromeganiese komponente word via USB- en COM-poorte aan die stelseleenheid gekoppel, wat in hierdie geval as 'n gasheer optree. Op ouer modelle van OTM'e kan jy ook verbindings vind via die SDC-bus.
Die evolusie van OTM-kaarte
OTM'e met groot bedrae binne lok altyd kaarters na hulle. Aanvanklik het kaarters slegs growwe fisieke gebreke in OTM-sekuriteit uitgebuit - hulle het skimmers en glinsters gebruik om data van magnetiese strepe te steel; vals penblokkies en kameras om pinkodes te bekyk; en selfs vals OTM'e.
Toe OTM'e toe toegerus is met verenigde sagteware wat volgens algemene standaarde werk, soos XFS (eXtensions for Financial Services), het kaarters begin om OTM'e met rekenaarvirusse aan te val.
Onder hulle is Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii, en talle ander genoemde en naamlose wanware wat kaarters op die OTM-gasheer plant, hetsy via 'n selflaaibare flitsskyf of via die afstandbeheer-TCP-poort.
OTM infeksie proses
Nadat die XFS-substelsel vasgelê is, kan die wanware sonder magtiging opdragte aan die banknoot-uitdeler uitreik. Of gee opdragte aan die kaartleser: lees / skryf die magnetiese streep van 'n bankkaart en onttrek selfs die transaksiegeskiedenis wat op die EMV-kaartskyfie gestoor is. EPP (Encrypting PIN Pad; encrypted pinpad) verdien spesiale aandag. Dit word algemeen aanvaar dat die PIN-kode wat daarop ingevoer is nie onderskep kan word nie. XFS laat jou egter toe om die EPP-penblok in twee modusse te gebruik: 1) oopmodus (vir die invoer van verskeie numeriese parameters, soos die bedrag wat uitbetaal moet word); 2) veilige modus (EPP skakel na dit wanneer jy 'n pinkode of enkripsiesleutel moet invoer). Hierdie kenmerk van XFS stel die kaarthouer in staat om 'n MiTM-aanval uit te voer: om die veilige modus-aktiveringsopdrag wat vanaf die gasheer na die EPP gestuur word, te onderskep, en dan vir die EPP-penblok te vertel dat werk in oopmodus moet voortgaan. In reaksie op hierdie boodskap stuur EPP toetsaanslagen in gewone teks.
Die beginsel van werking van die "swart boks"
In onlangse jare, Europol, OTM-wanware het aansienlik ontwikkel. Kaarteerders hoef nie meer fisiese toegang tot 'n OTM te hê om dit te besmet nie. Hulle kan OTM'e besmet deur middel van afgeleë netwerkaanvalle deur die bank se korporatiewe netwerk hiervoor te gebruik. Groep IB, in 2016 in meer as 10 lande in Europa, was OTM'e onderhewig aan afgeleë aanvalle.
OTM-aanval via afstandtoegang
Antivirusse, blokkering van firmware-opdaterings, blokkering van USB-poorte en enkripteer van die hardeskyf – beskerm tot 'n mate die OTM teen virusaanvalle deur kaarters. Maar wat as die kaarthouer nie die gasheer aanval nie, maar direk aan die periferie koppel (via RS232 of USB) - aan 'n kaartleser, penblokkie of kontantverdeler?
Die eerste kennismaking met die "swart boks"
Vandag, tegnies-vaardige kaarters , gebruik vir diefstal van kontant uit 'n OTM sg. "swart bokse" is spesifiek geprogrammeerde enkelbord-mikrorekenaars, soos die Raspberry Pi. "Swart bokse" leë OTM'e op 'n skoon, heeltemal magiese (uit die oogpunt van bankiers) manier. Kaarteerders koppel hul towertoestel direk aan die banknoot-uitdeler; om alle beskikbare geld daaruit te haal. So 'n aanval omseil alle beskermingsagteware wat op die OTM-gasheer ontplooi is (antivirusse, integriteitsbeheer, volledige skyf-enkripsie, ens.).
"Black box" gebaseer op Raspberry Pi
Die grootste vervaardigers van kitsbanke en regeringsintelligensie-agentskappe, wat gekonfronteer word met verskeie implementerings van die "swart boks", dat hierdie vernuftige rekenaars OTM'e oorreed om alle beskikbare kontant uit te spoeg; 40 banknote elke 20 sekondes. Spesiale dienste waarsku ook dat kaarters meestal kitsbanke in apteke, winkelsentrums teiken; en ook na kitsbanke wat motoriste op pad bedien.
Terselfdertyd, om nie voor die kameras te skyn nie, gryp die versigtigste kaardeerders die een of ander nie baie waardevolle maat, 'n muil, te hulp. En sodat hy nie die “black box” vir homself kon toeëien nie, gebruik hulle . Die sleutelfunksie word uit die "swart boks" verwyder en 'n slimfoon word daaraan gekoppel, wat gebruik word as 'n kanaal vir afgeleë oordrag van opdragte na die afgekapte "swart boks" via die IP-protokol.
Wysiging van die "swart boks", met aktivering via afstandtoegang
Hoe lyk dit vanuit die oogpunt van bankiers? Op die opnames van videokameras-fikseerders gebeur iets soos die volgende: 'n sekere persoon maak die boonste kompartement (diensarea) oop, koppel die "magic box" aan die OTM, maak die boonste kompartement toe en vertrek. ’n Bietjie later nader verskeie mense, oënskynlik gewone kliënte, die OTM en onttrek groot bedrae geld. Die kaarter kom dan terug en haal sy klein towertoestel by die OTM. Gewoonlik word die feit van 'n OTM-aanval met 'n "swart boks" eers na 'n paar dae opgespoor: wanneer 'n leë kluis en 'n kontantonttrekkingslogboek nie ooreenstem nie. Gevolglik word bankwerknemers net oorgelaat .
Ontleding van OTM-kommunikasie
Soos hierbo genoem, word die interaksie tussen die stelseleenheid en randtoestelle via USB, RS232 of SDC uitgevoer. Die kaarter koppel direk aan die poort van die perifere toestel en stuur opdragte na dit - omseil die gasheer. Dit is redelik eenvoudig omdat die standaard-koppelvlakke geen spesifieke drywers benodig nie. En eie protokolle, waarvolgens die randapparatuur en die gasheer in wisselwerking is, vereis nie magtiging nie (die toestel is immers binne die vertroude sone geleë); en daarom word hierdie onveilige protokolle, waaroor die perifere en die gasheer kommunikeer, maklik afgeluister en maklik vatbaar vir 'n herhalingsaanval.
Daardie. kaarters kan 'n sagteware- of hardeware-verkeersanaliseerder gebruik, wat dit direk aan die poort van 'n spesifieke randtoestel (byvoorbeeld na 'n kaartleser) koppel om oorgedrade data in te samel. Deur die verkeersontleder te gebruik, leer die kaarthouer al die tegniese besonderhede van die OTM-operasie, insluitend ongedokumenteerde funksies van sy periferie (byvoorbeeld die funksie om die firmware van 'n perifere toestel te verander). Gevolglik het die kaarthouer volle beheer oor die OTM. Terselfdertyd is dit nogal moeilik om die teenwoordigheid van 'n verkeersontleder op te spoor.
Direkte beheer oor die banknoot-dispenser beteken dat die OTM-kassette leeggemaak kan word sonder enige fiksasie in die logs wat die sagteware wat op die gasheer ontplooi is, normaalweg maak. Vir diegene wat nie vertroud is met OTM-hardeware en sagteware-argitektuur nie, is dit regtig hoe magie kan lyk.
Waar kom swart bokse vandaan?
OTM-verskaffers en subkontrakteurs ontwikkel ontfoutingsinstrumente om die OTM-hardeware te diagnoseer, insluitend die elektromeganika wat verantwoordelik is vir kontantonttrekkings. Hierdie nutsprogramme sluit in: , . Die onderstaande figuur toon nog 'n paar van hierdie diagnostiese hulpmiddels.
ATMDesk-kontrolepaneel
RapidFire OTM XFS-kontrolepaneel
Vergelykende kenmerke van verskeie diagnostiese hulpmiddels
Toegang tot sulke nutsdienste is normaalweg beperk tot gepersonaliseerde tekens; en hulle werk net wanneer die OTM-kluisdeur oop is. Maar bloot deur 'n paar grepe in die binêre kode van die nut te vervang, carders "toets" kontantonttrekking - omseil die tjeks wat deur die nutsvervaardiger verskaf word. Kaarthouers installeer hierdie gewysigde nutsprogramme op hul skootrekenaar of enkelbord-mikrorekenaar, wat hulle dan direk in 'n banknoot-dispenser inprop om kontant te steel.
Die laaste myl en die valse verwerkingsentrum
Direkte interaksie met randapparatuur, sonder om met die gasheer te kommunikeer, is slegs een van die effektiewe metodes van kaardering. Ander truuks maak staat op die feit dat ons 'n wye verskeidenheid netwerkkoppelvlakke het waardeur die OTM met die buitewêreld kommunikeer. Van X.25 tot Ethernet en Cellular. Baie OTM'e kan met die Shodan-diens geïdentifiseer en opgespoor word (die mees bondige instruksies vir die gebruik daarvan word aangebied ), gevolg deur 'n aanval wat parasiteer op 'n kwesbare sekuriteitskonfigurasie, luiheid van die administrateur en kwesbare kommunikasie tussen verskeie departemente van die bank.
Die "laaste myl" van kommunikasie tussen die OTM en die verwerkingsentrum is ryk aan 'n wye verskeidenheid tegnologieë wat as 'n toegangspunt vir die kaarter kan dien. Interaksie kan uitgevoer word via 'n bedrade (telefoonlyn of Ethernet) of draadlose (Wi-Fi, sellulêre: CDMA, GSM, UMTS, LTE) kommunikasiemetode. Sekuriteitsmeganismes kan die volgende insluit: 1) hardeware of sagteware om VPN te ondersteun (beide standaard, ingebou in die bedryfstelsel, en derdeparty); 2) SSL/TLS (beide spesifiek vir 'n spesifieke OTM-model en van derdeparty-vervaardigers); 3) enkripsie; 4) boodskap verifikasie.
Maar dat die gelyste tegnologieë vir banke baie kompleks is, en daarom steur hulle hulle nie aan spesiale netwerkbeskerming nie; of implementeer dit met foute. In die beste geval koppel die OTM aan die VPN-bediener, en reeds binne die private netwerk koppel dit aan die verwerkingsentrum. Daarbenewens, selfs al slaag die banke daarin om bogenoemde verdedigingsmeganismes te implementeer, het die kaarthouer reeds effektiewe aanvalle teen hulle. Daardie. selfs al voldoen die sekuriteit aan die PCI DSS-standaard, is OTM'e steeds kwesbaar.
Een van die hoofvereistes van die PCI DSS is dat alle sensitiewe data, wanneer dit oor 'n publieke netwerk versend word, geënkripteer moet word. En ons het wel netwerke wat oorspronklik so ontwerp is dat die data daarin heeltemal geïnkripteer is! Daarom is dit aanloklik om te sê: "Ons data is geïnkripteer omdat ons Wi-Fi en GSM gebruik." Baie van hierdie netwerke bied egter nie voldoende beskerming nie. Sellulêre netwerke van alle generasies is lank reeds gekap. Finaal en onherroeplik. En daar is selfs verkopers wat toestelle aanbied om die data wat oor hulle versend word, te onderskep.
Daarom, óf in onveilige kommunikasie, óf in 'n "privaat" netwerk, waar elke OTM oor homself na ander OTM's uitsaai, kan 'n "vals verwerkingsentrum" MiTM-aanval geïnisieer word - wat daartoe sal lei dat die kaarthouer beheer neem van die datavloei wat oorgedra word. tussen OTM en verwerkingsentrum.
Duisende OTM'e word moontlik geraak. Op pad na 'n egte verwerkingsentrum - die kaarthouer sit sy eie, vals een in. Hierdie vals verwerkingsentrum gee die OTM opdrag om banknote uit te gee. Terselfdertyd stel die kaarthouer sy verwerkingsentrum so in dat kontantonttrekking plaasvind ongeag watter kaart in die kitsbank geplaas word – al het dit verval of 'n nulbalans het. Die belangrikste ding is dat die valse verwerkingsentrum dit "herken". 'n Vals verwerkingsentrum kan óf 'n handwerk of 'n verwerkingsentrumsimulator wees, wat oorspronklik ontwerp is om netwerkinstellings te ontfout (nog 'n geskenk van die "vervaardiger" aan kaarters).
Die volgende figuur storting van opdragte om 40 banknote uit die vierde kasset uit te reik - gestuur vanaf 'n vals verwerkingsentrum en gestoor in OTM-sagtewarelogboeke. Hulle lyk amper eg.
Gooi opdragte van 'n vals verwerkingsentrum
Bron: will.com