Şəhərin küçələrində pul olan dəmir qutular sürətli pul həvəskarlarının diqqətini çəkməyə bilməz. Əgər əvvəllər bankomatları boşaltmaq üçün sırf fiziki üsullardan istifadə olunurdusa, indi kompüterlərlə bağlı daha çox bacarıqlı hiylələrdən istifadə olunur. İndi onlardan ən aktualı içərisində bir lövhəli mikrokompüter olan “qara qutu”dur. Bu yazıda bunun necə işlədiyini danışacağıq.
Beynəlxalq ATM İstehsalçıları Assosiasiyasının (ATMIA) rəhbəri “qara qutular” bankomatlar üçün ən təhlükəli təhlükədir.
Tipik bir bankomat bir korpusda yerləşdirilən hazır elektromexaniki komponentlər dəstidir. ATM istehsalçıları öz dəmir məhsullarını əskinas dispenserindən, kart oxuyucudan və artıq üçüncü tərəf satıcıları tərəfindən hazırlanmış digər komponentlərdən hazırlayırlar. Böyüklər üçün bir növ LEGO konstruktoru. Hazır komponentlər adətən iki bölmədən ibarət olan bankomat qutusuna yerləşdirilir: yuxarı bölmə (“kabinet” və ya “xidmət sahəsi”) və aşağı bölmə (seyf). Bütün elektromexaniki komponentlər USB və COM portları vasitəsilə bu halda host kimi çıxış edən sistem blokuna qoşulur. Bankomatların köhnə modellərində siz həmçinin SDC avtobusu vasitəsilə əlaqə tapa bilərsiniz.
ATM kartinqinin təkamülü
İçərisində böyük məbləğlər olan bankomatlar həmişə kartçıları özlərinə cəlb edir. Əvvəlcə karterlər ATM təhlükəsizliyində yalnız kobud fiziki qüsurlardan istifadə edirdilər - onlar maqnit zolaqlarından məlumatları oğurlamaq üçün skimmerlərdən və parıldayanlardan istifadə edirdilər; pinkodlara baxmaq üçün saxta pin-padlar və kameralar; və hətta saxta bankomatlar.
Sonra bankomatlar XFS (Maliyyə Xidmətləri üçün eXtensions) kimi ümumi standartlara uyğun işləyən vahid proqram təminatı ilə təchiz olunmağa başlayanda kartçılar bankomatlara kompüter virusları ilə hücum etməyə başladılar.
Onların arasında Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii və karterlərin yüklənə bilən fləş disk və ya uzaqdan idarə olunan TCP portu vasitəsilə ATM hostunda yerləşdirdiyi çoxsaylı digər adlı və adsız zərərli proqramlar var.
ATM yoluxma prosesi
XFS alt sistemini ələ keçirərək zərərli proqram icazəsiz əskinas dispenserinə əmrlər verə bilər. Və ya kart oxuyucusuna əmrlər verin: bank kartının maqnit zolağı oxuyun / yazın və hətta EMV kart çipində saxlanılan əməliyyat tarixçəsini çıxarın. EPP (Encrypting PIN Pad; encrypted pinpad) xüsusi diqqətə layiqdir. Ümumiyyətlə qəbul edilir ki, ona daxil edilmiş PİN kodu ələ keçirmək mümkün deyil. Bununla belə, XFS EPP pinpad-dən iki rejimdə istifadə etməyə imkan verir: 1) açıq rejim (müxtəlif ədədi parametrləri daxil etmək üçün, məsələn, nağdlaşdırılacaq məbləğ); 2) təhlükəsiz rejim (pinkod və ya şifrələmə açarı daxil etmək lazım olduqda EPP ona keçir). XFS-in bu xüsusiyyəti karterə MiTM hücumu həyata keçirməyə imkan verir: hostdan EPP-yə göndərilən təhlükəsiz rejimi aktivləşdirmə əmrini ələ keçirmək və sonra EPP pinpadına işin açıq rejimdə davam etməsini söyləmək. Bu mesaja cavab olaraq EPP düz mətndə düymə vuruşlarını göndərir.
"Qara qutu"nun işləmə prinsipi
Son illərdə, Europol, ATM zərərli proqram əhəmiyyətli dərəcədə inkişaf etmişdir. Kartçılara yoluxmaq üçün artıq bankomata fiziki girişə ehtiyac yoxdur. Bunun üçün bankın korporativ şəbəkəsindən istifadə edərək uzaqdan şəbəkə hücumları vasitəsilə bankomatları yoluxdura bilərlər. Qrup IB, 2016-cı ildə Avropanın 10-dan çox ölkəsində bankomatlara uzaqdan hücuma məruz qaldı.
Uzaqdan giriş vasitəsilə ATM hücumu
Antiviruslar, firmware yeniləmələrini bloklamaq, USB portlarını bloklamaq və sabit diski şifrələmək - müəyyən dərəcədə ATM-ni karterlərin virus hücumlarından qoruyur. Bəs karder ev sahibinə hücum etmirsə, ancaq birbaşa periferiyaya (RS232 və ya USB vasitəsilə) - kart oxuyucuya, pin pad və ya nağd pul dispenserinə qoşulursa necə?
"Qara qutu" ilə ilk tanışlıq
Bu gün texnoloji bilikləri olan kartçılar , sözdə bir bankomatdan nağd pulun oğurlanması üçün istifadə. "Qara qutular" Raspberry Pi kimi xüsusi olaraq proqramlaşdırılmış tək lövhəli mikrokompüterlərdir. “Qara qutular” bankomatları tamamilə sehrli (bankirlər baxımından) boşaldır. Karderlər sehrli cihazlarını birbaşa əskinas dispenserinə qoşurlar; ondan bütün mövcud pulları çıxarmaq. Belə bir hücum ATM hostunda yerləşdirilmiş bütün qoruyucu proqram təminatından (antiviruslar, bütövlüyə nəzarət, tam disk şifrələməsi və s.) yan keçir.
Raspberry Pi əsasında hazırlanmış "Qara qutu"
Ən böyük bankomat istehsalçıları və dövlət kəşfiyyat orqanları “qara qutu”nun bir neçə tətbiqi ilə üzləşiblər. bu dahiyanə kompüterlər bankomatları bütün mövcud nağd pulları tüpürməyə vadar edir; Hər 40 saniyədə 20 əskinas. Həmçinin, xüsusi xidmətlər xəbərdarlıq edir ki, karterlər ən çox apteklərdə, ticarət mərkəzlərində bankomatları hədəf alırlar; və həmçinin yolda sürücülərə xidmət göstərən bankomatlara.
Eyni zamanda, kameralar qarşısında parlamamaq üçün, ən ehtiyatlı kartçılar çox dəyərli olmayan bəzi tərəfdaşın, bir qatırın köməyinə müraciət edirlər. Və “qara qutu”nu özünə məxsus edə bilməməsi üçün istifadə edirlər . Əsas funksionallıq “qara qutu”dan çıxarılır və ona İP protokolu vasitəsilə əmrlərin kəsilmiş “qara qutu”ya uzaqdan ötürülməsi üçün kanal kimi istifadə olunan smartfon qoşulur.
Uzaqdan giriş vasitəsilə aktivləşdirmə ilə "qara qutu"nun modifikasiyası
Bankirlər baxımından bu necə görünür? Videokamera-fiksatorların qeydlərində belə bir şey baş verir: müəyyən bir şəxs yuxarı bölməni (xidmət sahəsini) açır, “sehrli qutu”nu bankomata qoşur, yuxarı bölməni bağlayır və çıxır. Bir az sonra adi müştəri kimi görünən bir neçə şəxs bankomata yaxınlaşaraq külli miqdarda pul çıxarırlar. Sonra kartçı qayıdır və kiçik sehrli cihazını bankomatdan götürür. Adətən, "qara qutu" ilə bankomat hücumu faktı yalnız bir neçə gündən sonra aşkar edilir: boş seyf və nağd pul çıxarma jurnalı uyğun gəlmədikdə. Nəticədə bank işçiləri yalnız qalır .
ATM kommunikasiyalarının təhlili
Yuxarıda qeyd edildiyi kimi, sistem bloku ilə periferik qurğular arasında qarşılıqlı əlaqə USB, RS232 və ya SDC vasitəsilə həyata keçirilir. Karder birbaşa periferik cihazın portuna qoşulur və ona əmrlər göndərir - hostdan yan keçərək. Bu olduqca sadədir, çünki standart interfeyslər heç bir xüsusi sürücü tələb etmir. Və ətraf qurğular və hostun qarşılıqlı əlaqədə olduğu xüsusi protokollar avtorizasiya tələb etmir (bütün bunlardan sonra cihaz etibarlı zonanın daxilində yerləşir); və buna görə də periferik və ev sahibinin əlaqə saxladığı bu etibarsız protokollar asanlıqla dinlənilir və təkrar hücuma asanlıqla məruz qalır.
Bu. karterlər ötürülən məlumatları toplamaq üçün onu birbaşa xüsusi periferik cihazın portuna (məsələn, kart oxuyucusu) birləşdirən proqram və ya aparat trafik analizatorundan istifadə edə bilərlər. Trafik analizatorundan istifadə edərək karter bankomat əməliyyatının bütün texniki detallarını, o cümlədən onun periferiyasının sənədləşdirilməmiş funksiyalarını (məsələn, periferik cihazın proqram təminatının dəyişdirilməsi funksiyası) öyrənir. Nəticədə karter bankomat üzərində tam nəzarətə malikdir. Eyni zamanda, trafik analizatorunun mövcudluğunu aşkar etmək olduqca çətindir.
Əskinas dispenserinə birbaşa nəzarət o deməkdir ki, bankomat kasetləri hostda yerləşdirilmiş proqram təminatının adətən etdiyi qeydlərdə heç bir fiksasiya edilmədən boşaldıla bilər. ATM avadanlığı və proqram təminatı arxitekturası ilə tanış olmayanlar üçün sehrli görünə bilər.
Qara qutular haradan gəlir?
ATM satıcıları və subpodratçılar, nağd pulun çıxarılmasına cavabdeh olan elektromexanika da daxil olmaqla, ATM aparatının diaqnostikası üçün sazlama alətləri hazırlayır. Bu kommunal xidmətlərə aşağıdakılar daxildir: , . Aşağıdakı rəqəm bu diaqnostik yardım proqramlarından bir neçəsini göstərir.
ATMDesk idarəetmə paneli
RapidFire ATM XFS idarəetmə paneli
Bir neçə diaqnostik kommunalın müqayisəli xüsusiyyətləri
Bu cür kommunal xidmətlərə giriş adətən fərdiləşdirilmiş tokenlərlə məhdudlaşır; və onlar yalnız bankomatın seyf qapısı açıq olduqda işləyirlər. Bununla belə, sadəcə olaraq, kommunal ikili kodun bir neçə baytı əvəz etməklə, karterlər "test" nağd pul çıxarılması - kommunal istehsalçı tərəfindən təqdim olunan çekləri keçmək. Karderlər bu dəyişdirilmiş kommunal proqramları öz noutbuklarında və ya bir lövhəli mikrokompüterdə quraşdırırlar, sonra isə nağd pul oğurlamaq üçün birbaşa əskinas dispenserinə qoşurlar.
Son mil və saxta prosessinq mərkəzi
Ev sahibi ilə əlaqə yaratmadan periferiya qurğuları ilə birbaşa qarşılıqlı əlaqə, taranmanın təsirli üsullarından yalnız biridir. Digər fəndlər bankomatın xarici dünya ilə əlaqə qurduğu geniş çeşidli şəbəkə interfeyslərinə malik olduğumuza əsaslanır. X.25-dən Ethernet və Cellular-a. Shodan xidmətindən istifadə edərək bir çox bankomatları müəyyən etmək və yerləşdirmək olar (onun istifadəsi üçün ən qısa təlimatlar təqdim olunur). ), ardınca həssas təhlükəsizlik konfiqurasiyasına, administratorun tənbəlliyinə və bankın müxtəlif departamentləri arasında həssas kommunikasiyalara parazitlik edən hücum.
ATM və prosessinq mərkəzi arasında ünsiyyətin "son mil"i karter üçün giriş nöqtəsi kimi xidmət edə biləcək çoxlu sayda texnologiyalarla zəngindir. Qarşılıqlı əlaqə simli (telefon xətti və ya Ethernet) və ya simsiz (Wi-Fi, mobil: CDMA, GSM, UMTS, LTE) rabitə üsulu ilə həyata keçirilə bilər. Təhlükəsizlik mexanizmlərinə aşağıdakılar daxil ola bilər: 1) VPN-i dəstəkləmək üçün aparat və ya proqram təminatı (hər ikisi standart, ƏS-də quraşdırılmış və üçüncü tərəf); 2) SSL/TLS (həm xüsusi ATM modelinə, həm də üçüncü tərəf istehsalçılarına xasdır); 3) şifrələmə; 4) mesajın autentifikasiyası.
Lakin banklar üçün sadalanan texnologiyalar çox mürəkkəbdir və buna görə də xüsusi şəbəkə qorunması ilə özlərini narahat etmirlər; və ya səhvlərlə həyata keçirin. Ən yaxşı halda, ATM VPN serverinə qoşulur və artıq özəl şəbəkə daxilində prosessinq mərkəzinə qoşulur. Bundan əlavə, banklar yuxarıda qeyd olunan müdafiə mexanizmlərini həyata keçirə bilsələr belə, karter artıq onlara qarşı effektiv hücumlara malikdir. Bu. təhlükəsizlik PCI DSS standartına uyğun olsa belə, bankomatlar hələ də həssasdır.
PCI DSS-nin əsas tələblərindən biri odur ki, bütün həssas məlumatlar ictimai şəbəkə üzərindən ötürüldükdə şifrələnməlidir. Bizdə elə şəbəkələrimiz var ki, onlardakı məlumatlar tamamilə şifrələnsin! Buna görə də belə demək cazibədardır: "Bizim məlumatlarımız şifrələnir, çünki biz Wi-Fi və GSM-dən istifadə edirik." Lakin bu şəbəkələrin çoxu kifayət qədər qorunma təmin etmir. Bütün nəsillərin mobil şəbəkələri çoxdan sındırılıb. Yekun və geri alınmaz. Hətta onların üzərindən ötürülən məlumatları tutmaq üçün cihazlar təklif edən satıcılar var.
Buna görə də, ya etibarsız rabitədə, ya da hər bir ATM-nin özü haqqında digər bankomatlara yayımladığı “özəl” şəbəkədə “saxta prosessinq mərkəzi” MiTM hücumu başlana bilər ki, bu da karterin ötürülən məlumat axınına nəzarəti ələ almasına səbəb olacaq. ATM və prosessinq mərkəzi arasında.
Minlərlə bankomat potensial təsir altındadır. Həqiqi prosessinq mərkəzinə gedərkən - karter özünün saxtasını daxil edir. Bu saxta prosessinq mərkəzi bankomata əskinasların verilməsini tapşırır. Eyni zamanda, karter öz prosessinq mərkəzini elə qurur ki, nağd pulun çıxarılması bankomata hansı kartın daxil edilməsindən asılı olmayaraq baş verir - hətta onun müddəti bitmiş və ya balansı sıfır olsa belə. Əsas odur ki, saxta prosessinq mərkəzi onu “tanır”. Saxta emal mərkəzi ya əl işi, ya da ilkin olaraq şəbəkə parametrlərini sazlamaq üçün nəzərdə tutulmuş emal mərkəzi simulyatoru ola bilər (“istehsalçıdan” karterlərə başqa hədiyyə).
Aşağıdakı rəqəm Dördüncü kasetdən 40 əskinas buraxmaq əmrlərinin dump - saxta prosessinq mərkəzindən göndərilən və ATM proqram jurnallarında saxlanılır. Demək olar ki, real görünürlər.
Saxta emal mərkəzinin əmrlərini boşaltın
Mənbə: www.habr.com