Ang mga kahon nga puthaw nga adunay kwarta nga nagbarog sa kadalanan sa siyudad dili makapugong sa atensyon sa mga mahigugmaon sa dali nga salapi. Ug kung kaniadto puro pisikal nga pamaagi ang gigamit sa paghaw-as sa mga ATM, karon nagkadaghang hanas nga mga limbong nga may kalabotan sa kompyuter ang gigamit. Karon ang labing may kalabutan kanila mao ang usa ka "itom nga kahon" nga adunay usa ka board nga microcomputer sa sulod. Maghisgot kami kung giunsa kini molihok sa kini nga artikulo.
Ulo sa International ATM Manufacturers Association (ATMIA) "black boxes" isip labing delikado nga hulga sa mga ATM.
Ang usa ka tipikal nga ATM usa ka set sa andam nga gihimo nga mga sangkap nga electromekanikal nga gibutang sa usa ka balay. Ang mga tiggama sa ATM nagtukod sa ilang mga hardware nga gimugna gikan sa bill dispenser, card reader ug uban pang mga component nga naugmad na sa mga third-party nga suppliers. Usa ka matang sa LEGO constructor alang sa mga hamtong. Ang nahuman nga mga sangkap gibutang sa lawas sa ATM, nga kasagaran naglangkob sa duha ka kompartamento: usa ka taas nga kompartamento ("cabinet" o "lugar sa serbisyo"), ug usa ka ubos nga kompartamento (luwas). Ang tanan nga mga electromekanikal nga sangkap konektado pinaagi sa USB ug COM port sa yunit sa sistema, nga sa kini nga kaso naglihok ingon usa ka host. Sa karaan nga mga modelo sa ATM mahimo ka usab nga makit-an ang mga koneksyon pinaagi sa SDC bus.
Ang ebolusyon sa ATM carding
Ang mga ATM nga adunay daghang kantidad sa sulod kanunay nga makadani sa mga carder. Sa sinugdan, gipahimuslan lang sa mga carder ang grabeng pisikal nga kakulangan sa proteksyon sa ATM - migamit sila og mga skimmer ug shimmers aron mangawat og datos gikan sa magnetic stripes; peke nga mga pin pad ug mga camera para sa pagtan-aw sa mga pin code; ug bisan mga peke nga ATM.
Dayon, sa dihang ang mga ATM nagsugod sa pagkasangkapan sa hiniusang software nga naglihok sumala sa komon nga mga sumbanan, sama sa XFS (eXtensions for Financial Services), ang mga carder nagsugod sa pag-atake sa mga ATM nga adunay mga virus sa kompyuter.
Lakip niini mao ang Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii ug uban pang daghan nga ginganlan ug wala hinganli nga malware, nga gitanom sa mga carder sa ATM host pinaagi sa bootable USB flash drive o pinaagi sa TCP remote control port.
Proseso sa impeksyon sa ATM
Nakuha na ang XFS subsystem, ang malware mahimong mag-isyu og mga command sa banknote dispenser nga walay pagtugot. O paghatag ug mga sugo sa card reader: basaha/isulat ang magnetic stripe sa usa ka bank card ug kuhaa pa ang kasaysayan sa transaksyon nga gitipigan sa EMV card chip. Ang EPP (Encrypting PIN Pad) angay nga espesyal nga atensyon. Sa kasagaran gidawat nga ang PIN code nga gisulod niini dili ma-intercept. Bisan pa, gitugotan ka sa XFS nga gamiton ang EPP pinpad sa duha nga mga mode: 1) bukas nga mode (alang sa pagsulod sa lainlaing mga parameter sa numero, sama sa kantidad nga i-cash out); 2) luwas nga paagi (ang EPP mobalhin niini kung kinahanglan nimo nga mosulod sa usa ka PIN code o yawe sa pag-encrypt). Kini nga bahin sa XFS nagtugot sa carder sa paghimo sa usa ka pag-atake sa MiTM: intercept ang safe mode activation command nga gipadala gikan sa host ngadto sa EPP, ug dayon ipahibalo ang EPP pinpad nga kini kinahanglan nga magpadayon sa pagtrabaho sa open mode. Agig tubag niini nga mensahe, ang EPP nagpadala sa mga keystroke sa tin-aw nga teksto.
Prinsipyo sa operasyon sa usa ka "itom nga kahon"
Sa bag-ohay nga mga tuig, Europol, ATM malware nga milambo pag-ayo. Ang mga carder dili na kinahanglan nga adunay pisikal nga pag-access sa usa ka ATM aron mataptan kini. Mahimo nilang mataptan ang mga ATM pinaagi sa mga pag-atake sa hilit nga network gamit ang corporate network sa bangko. Ang Group IB, sa 2016 sa labaw pa sa 10 nga mga nasud sa Europe, ang mga ATM gipailalom sa hilit nga pag-atake.
Pag-atake sa usa ka ATM pinaagi sa hilit nga pag-access
Ang mga antivirus, pagbabag sa mga update sa firmware, pagbabag sa mga USB port ug pag-encrypt sa hard drive - sa pipila ka bahin mapanalipdan ang ATM gikan sa mga pag-atake sa virus sa mga carder. Apan unsa man kung ang carder dili moatake sa host, apan direktang nagkonektar sa periphery (pinaagi sa RS232 o USB) - sa usa ka card reader, pin pad o cash dispenser?
Unang kaila sa "itom nga kahon"
Karong mga tech-savvy carder , gamit ang gitawag nga pagpangawat og kwarta gikan sa ATM. Ang "itom nga mga kahon" espesipikong giprograma nga single-board microcomputers, sama sa Raspberry Pi. Ang "mga itom nga kahon" walay sulod nga mga ATM sa hingpit, sa usa ka hingpit nga mahika (gikan sa punto sa panglantaw sa mga banker) nga paagi. Gikonektar sa mga carder ang ilang magic device direkta ngadto sa bill dispenser; aron makuha ang tanan nga magamit nga salapi gikan niini. Kini nga pag-atake molapas sa tanang security software nga gipakatap sa ATM host (antivirus, integrity monitoring, full disk encryption, ug uban pa).
"Black box" base sa Raspberry Pi
Ang pinakadako nga mga tiggama sa ATM ug mga ahensya sa paniktik sa gobyerno, nag-atubang sa daghang mga pagpatuman sa "itom nga kahon", nga kining mga maabtik nga kompyuter mag-aghat sa mga ATM sa pagluwa sa tanang magamit nga kwarta; 40 ka banknotes matag 20 segundos. Ang mga serbisyo sa seguridad nagpasidaan usab nga ang mga carder kasagarang target sa mga ATM sa mga botika ug shopping center; ug ingon man sa mga ATM nga nagserbisyo sa mga motorista sa pagbiyahe.
Sa parehas nga oras, aron dili magpakita sa atubangan sa mga camera, ang labing mabinantayon nga mga carder nangayo tabang sa pipila nga dili kaayo bililhon nga kauban, usa ka mula. Ug aron dili niya magamit ang "itom nga kahon" alang sa iyang kaugalingon, gigamit nila . Gikuha nila ang yawe nga pag-andar gikan sa "itom nga kahon" ug gikonektar ang usa ka smartphone niini, nga gigamit ingon usa ka channel alang sa layo nga pagpadala sa mga mando sa gihubo nga "itom nga kahon" pinaagi sa IP protocol.
Pagbag-o sa "itom nga kahon", nga adunay pagpaaktibo pinaagi sa hilit nga pag-access
Unsa ang hitsura niini gikan sa punto sa panglantaw sa mga banker? Sa mga rekording gikan sa mga video camera, usa ka butang nga sama niini ang mahitabo: ang usa ka tawo nag-abli sa ibabaw nga kompartamento (serbisyo nga lugar), nagkonektar sa usa ka "magic box" sa ATM, nagsira sa ibabaw nga kompartamento ug mibiya. Taud-taud, daghang mga tawo, morag ordinaryo nga mga kustomer, miduol sa ATM ug mi-withdraw og dakong kantidad sa kuwarta. Ang carder unya mibalik ug gikuha ang iyang gamay nga magic device gikan sa ATM. Kasagaran, ang kamatuoran sa usa ka ATM nga pag-atake sa usa ka "itom nga kahon" nadiskobrehan lamang human sa pipila ka mga adlaw: sa diha nga ang walay sulod nga luwas ug ang cash withdrawal log dili motakdo. Ingon usa ka sangputanan, ang mga empleyado sa bangko mahimo ra .
Pagtuki sa mga komunikasyon sa ATM
Ingon sa nahisgutan sa ibabaw, ang interaksyon tali sa yunit sa sistema ug mga aparato sa peripheral gihimo pinaagi sa USB, RS232 o SDC. Ang carder direktang nagkonektar sa pantalan sa peripheral device ug nagpadala sa mga sugo niini - nga nag-bypass sa host. Kini yano ra, tungod kay ang mga standard nga interface wala magkinahanglan bisan unsang piho nga mga drayber. Ug ang proprietary protocols diin ang peripheral ug ang host nakig-interact wala magkinahanglan og pagtugot (human sa tanan, ang device nahimutang sulod sa usa ka kasaligang zone); ug busa kining walay kasegurohan nga mga protocol, diin ang peripheral ug ang host nakig-estorya, daling ma-eavesdrop ug daling madala sa pag-replay sa mga pag-atake.
Nga. Ang mga carder mahimong mogamit ug software o hardware traffic analyzer, direktang magkonektar niini sa pantalan sa usa ka partikular nga peripheral device (pananglitan, card reader) aron makolekta ang gipasa nga datos. Gamit ang traffic analyzer, nahibal-an sa carder ang tanan nga teknikal nga mga detalye sa operasyon sa ATM, lakip ang walaβy dokumento nga mga function sa mga peripheral niini (pananglitan, ang function sa pagbag-o sa firmware sa usa ka peripheral device). Ingon usa ka sangputanan, ang carder nakakuha sa hingpit nga kontrol sa ATM. Sa parehas nga oras, lisud nga mahibal-an ang presensya sa usa ka traffic analyzer.
Ang direktang pagkontrol sa banknote dispenser nagpasabot nga ang mga ATM cassette mahimong mahabwa nga walay bisan unsang recording sa mga troso, nga kasagarang gisulod sa software nga gipakatap sa host. Alang niadtong dili pamilyar sa ATM hardware ug software architecture, kini mahimong tan-awon sama sa salamangka.
Diin gikan ang mga itom nga kahon?
Ang mga supplier ug subcontractor sa ATM nagpalambo sa mga gamit sa pag-debug aron masusi ang hardware sa ATM, lakip ang mga mekaniko sa kuryente nga responsable sa pag-withdraw sa salapi. Lakip niini nga mga utilities: , . Ang numero sa ubos nagpakita sa ubay-ubay pa nga mga diagnostic utilities.
ATMDesk Control Panel
RapidFire ATM XFS Control Panel
Ang pagtandi nga mga kinaiya sa daghang mga gamit sa diagnostic
Ang pag-access sa maong mga utilities kasagarang limitado sa personalized nga mga token; ug motrabaho ra sila kung abli ang ATM safe door. Bisan pa, pinaagi lamang sa pag-ilis sa pipila ka byte sa binary code sa utility, carders "pagsulay" pag-withdraw sa salapi - pag-bypass sa mga tseke nga gihatag sa tiggama sa utility. Ang mga carder nag-instalar sa maong giusab nga mga utilities sa ilang laptop o single-board microcomputer, nga direktang konektado sa banknote dispenser aron makahimo og dili awtorisadong pag-withdraw sa salapi.
"Katapusang milya" ug peke nga sentro sa pagproseso
Direkta nga pakig-uban sa periphery, nga walaβy komunikasyon sa host, usa lamang sa epektibo nga mga pamaagi sa carding. Ang ubang mga teknik nagsalig sa kamatuoran nga kita adunay usa ka halapad nga lainlain nga mga interface sa network diin ang ATM nakigsulti sa gawas sa kalibutan. Gikan sa X.25 hangtod sa Ethernet ug cellular. Daghang mga ATM ang mahimong mailhan ug ma-localize gamit ang serbisyo sa Shodan (ang labing mubu nga mga panudlo alang sa paggamit niini gipresentar. ), - nga adunay sunod-sunod nga pag-atake nga nagpahimulos sa usa ka huyang nga pagsumpo sa seguridad, pagkatapulan sa tagdumala ug huyang nga komunikasyon tali sa lainlaing mga departamento sa bangko.
Ang "katapusan nga milya" sa komunikasyon tali sa ATM ug sa sentro sa pagproseso dato sa daghang lainlain nga mga teknolohiya nga mahimoβg magsilbi nga punto sa pagsulod sa carder. Ang interaksyon mahimong ipahigayon pinaagi sa wired (linya sa telepono o Ethernet) o wireless (Wi-Fi, cellular: CDMA, GSM, UMTS, LTE) nga paagi sa komunikasyon. Ang mga mekanismo sa seguridad mahimong maglakip sa: 1) hardware o software aron suportahan ang VPN (parehong sumbanan, gitukod sa OS, ug gikan sa mga ikatulo nga partido); 2) SSL/TLS (parehong espesipiko sa usa ka partikular nga modelo sa ATM ug gikan sa mga tiggama sa ikatulo nga partido); 3) pag-encrypt; 4) panghimatuud sa mensahe.
Hinuon, nga alang sa mga bangko ang nalista nga mga teknolohiya daw komplikado kaayo, ug busa wala sila maghasol sa ilang kaugalingon sa espesyal nga proteksyon sa network; o gipatuman nila kini nga adunay mga sayup. Sa labing kaayo nga kaso, ang ATM nakigsulti sa VPN server, ug naa sa sulod sa pribadong network kini nagkonektar sa sentro sa pagproseso. Dugang pa, bisan kung ang mga bangko nakahimo sa pagpatuman sa mga mekanismo sa pagpanalipod nga gilista sa ibabaw, ang carder adunay epektibo nga mga pag-atake batok kanila. Nga. Bisan kung ang seguridad nagsunod sa sumbanan sa PCI DSS, ang mga ATM huyang gihapon.
Usa sa kinauyokan nga mga kinahanglanon sa PCI DSS mao nga ang tanang sensitibong datos kinahanglang ma-encrypt kon ipadala sa publikong network. Ug kami sa tinuud adunay mga network nga orihinal nga gidisenyo sa paagi nga ang datos sa kanila hingpit nga na-encrypt! Busa, makatintal ang pag-ingon: "Na-encrypt ang among data tungod kay gigamit namon ang Wi-Fi ug GSM." Bisan pa, kadaghanan niini nga mga network wala maghatag igong seguridad. Ang mga cellular network sa tanang henerasyon dugay na nga gi-hack. Sa katapusan ug dili mabakwi. Ug adunay bisan mga supplier nga nagtanyag mga aparato aron makapugong sa mga datos nga gipasa sa ibabaw nila.
Busa, bisan sa usa ka walay kasegurohan nga komunikasyon o sa usa ka "pribado" nga network, diin ang matag ATM nagsibya sa iyang kaugalingon ngadto sa ubang mga ATM, ang usa ka "peke nga sentro sa pagproseso" nga pag-atake sa MiTM mahimong masugdan - nga mosangpot sa carder sa pag-ilog sa kontrol sa mga agos sa datos nga gipadala tali sa ATM ug sentro sa pagproseso.
Liboan ka mga ATM ang posibleng maapektuhan. Sa pagpaingon sa tinuod nga sentro sa pagproseso, ang cardr nagsal-ot sa iyang kaugalingon, peke. Kini nga peke nga sentro sa pagproseso naghatag mga mando sa ATM aron mahatagan ang mga banknotes. Sa kini nga kaso, ang carder nag-configure sa sentro sa pagproseso niini sa paagi nga ang cash gi-isyu bisan unsa nga kard ang gisulod sa ATM - bisan kung kini na-expire o adunay zero nga balanse. Ang nag-unang butang mao nga ang peke nga sentro sa pagproseso "nakaila" niini. Ang peke nga sentro sa pagproseso mahimong usa ka produkto nga hinimo sa balay o usa ka simulator sa sentro sa pagproseso, nga orihinal nga gidisenyo alang sa pag-debug sa mga setting sa network (laing regalo gikan sa "manufacturer" sa mga carder).
Sa mosunod nga hulagway dump of commands para sa pag-isyu og 40 ka banknotes gikan sa ikaupat nga cassette - gipadala gikan sa peke nga processing center ug gitipigan sa ATM software logs. Morag tinuod sila.
Command dump sa usa ka peke nga sentro sa pagproseso
Source: www.habr.com