Scatole di ferru cù soldi chì stanu nantu à i carrughji di a cità ùn ponu micca attrae l'attenzione di l'amatori di soldi rapidu. È s'è prima i metudi puramente fisici eranu usati per sviutata l'ATM, avà sò usati sempre più scherzi di computer. Avà u più pertinenti di elli hè una "scatola nera" cù un microcomputer unicu à l'internu. Avemu da parlà cumu si travaglia in stu articulu.
Capu di l'Associazione Internaziunale di i Produttori di ATM (ATMIA) "scatole nere" cum'è a minaccia più periculosa per l'ATM.
Un ATM tipicu hè un inseme di cumpunenti elettromeccanici pronti allughjati in una casa. I pruduttori di ATM custruiscenu e so creazioni hardware da u dispenser di fattura, lettore di carte è altri cumpunenti digià sviluppati da fornitori di terzu. Una sorta di costruttore LEGO per adulti. I cumpunenti finiti sò posti in u corpu di l'ATM, chì sò generalmente custituiti da dui compartimenti: un compartment suprana ("cabinet" o "zona di serviziu"), è un compartment inferiore (seguru). Tutti i cumpunenti elettromeccanicu sò cunnessi via USB è porti COM à l'unità di sistema, chì in questu casu agisce cum'è un òspite. Nantu à i mudelli ATM più vechji, pudete ancu truvà cunnessione via l'autobus SDC.
L'evoluzione di u carding ATM
L'ATMs cù sume enormi in l'internu attrae invariabilmente i carders. À u principiu, i carders sfruttavanu solu e carenze fisiche grossi di a prutezzione di l'ATM - anu utilizatu skimmers è shimmers per arrubbari dati da strisce magnetiche; falsi pin pad è camere per vede i codici pin; è ancu ATM falsi.
Dopu, quandu l'ATM cuminciaru à esse equipati di un software unificatu chì operanu secondu i normi cumuni, cum'è XFS (eXtensions for Financial Services), i carders cuminciaru à attaccà l'ATM cù virus informatici.
Frà elli sò Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii è altri numerosi malware chjamatu è senza nome, chì i carders piantanu nantu à l'ospitu ATM sia attraversu un USB flash drive bootable o attraversu un portu di cuntrollu remoto TCP.
U prucessu di infezzione ATM
Dopu avè catturatu u sottosistema XFS, u malware pò emette cumandamenti à u dispenser di banconote senza autorizazione. O dà cumandamenti à u lettore di carte: leghje / scrivite a striscia magnetica di una carta bancaria è ancu ricuperà a storia di a transazzione guardata in u chip di a carta EMV. EPP (Encrypting PIN Pad) meriteghja una attenzione speciale. Hè generalmente accettatu chì u codice PIN inseritu ùn pò micca esse interceptatu. In ogni casu, XFS permette di utilizà u pinpad EPP in dui modi: 1) modalità aperta (per inserisce diversi paràmetri numerichi, cum'è a quantità per esse cashed); 2) Modu sicuru (EPP cambia à questu quandu avete bisognu di inserisce un codice PIN o chjave di criptografia). Questa funzione di XFS permette à u carder di realizà un attaccu MiTM: intercepte u cumandamentu di attivazione di u modu sicuru chì hè mandatu da l'ospitu à l'EPP, è dopu informà à u pinpad EPP chì deve cuntinuà à travaglià in modu apertu. In risposta à stu missaghju, EPP manda chjavi in testu chjaru.
Principiu di funziunamentu di una "scatola nera"
In l'ultimi anni, Europol, ATM malware hà evolutu significativamente. Carders ùn anu più bisognu di avè accessu fisicu à un ATM per infettà. Puderanu infettà l'ATM per attacchi di rete remoti utilizendu a reta corporativa di u bancu. Gruppu IB, in 2016 in più di i paesi europei 10, ATMs eranu sottumessi à attacchi remoti.
Attaccu à un ATM via accessu remoto
Antivirus, bluccà l'aghjurnamenti di firmware, bluccà i porti USB è criptà u discu duru - in una certa misura prutegge l'ATM da l'attacchi di virus da i carders. Ma chì se u carder ùn attaccà micca l'ospite, ma si cunnetta direttamente à a periferia (via RS232 o USB) - à un lettore di carte, pin pad o cash dispenser?
Prima cunniscenza cù a "scatola nera"
Carders di l'oghje di tecnulugia , usendu u cusì chjamatu per arrubbari cash da un ATM. "scatole nere" sò specificamente programati microcomputer unicu, cum'è u Raspberry Pi. "Caselle nere" svuotate l'ATM cumpletamente, in una manera completamente magica (da u puntu di vista di i banchieri). Carders cunnette u so dispusitivu magicu direttamente à u dispenser fattura; per caccià tutti i soldi dispunibili da ellu. Stu attaccu passa per tuttu u software di sicurezza implementatu nantu à l'ospite ATM (antivirus, monitoraghju di integrità, criptografia di discu sanu, etc.).
"Scatola nera" basatu annantu à Raspberry Pi
I più grandi pruduttori di ATM è l'agenzii di intelligenza di u guvernu, di fronte à parechje implementazioni di a "scatola nera", chì questi computer intelligenti inducenu l'ATM à sputà tutti i soldi dispunibili; 40 banconote ogni 20 seconde. I servizii di sicurezza avvisanu ancu chì i carders sò più spessu destinati à l'ATM in farmacie è centri cummerciale; è ancu à l'ATMs chì servenu i motoristi in viaghju.
À u listessu tempu, per ùn apparisce micca davanti à e camere, i carders più prudenti piglianu l'aiutu di un cumpagnu micca assai preziosu, una mula. È cusì ch'ellu ùn pò micca appropritatu a "scatola negra" per ellu stessu, usanu . Eliminanu e funziunalità chjave da a "scatola nera" è cunnetta un smartphone à questu, chì hè utilizatu cum'è un canale per trasmette remotamente cumandamenti à a "scatola nera" spogliata via u protocolu IP.
Mudificazione di a "scatola nera", cù attivazione via accessu remota
Ciò chì pare da u puntu di vista di i banchieri ? In l'arregistramentu da videocamere, succede qualcosa di questu: una certa persona apre u compartment superiore (zona di serviziu), cunnetta una "scatola magica" à l'ATM, chjude u compartment superiore è esce. Un pocu dopu, parechje persone, apparentemente i clienti ordinali, si avvicinanu à l'ATM è ritiranu enormi quantità di soldi. Allora u carder torna è ripiglià u so picculu dispusitivu magicu da l'ATM. Di genere, u fattu di un attaccu ATM da una "scatola nera" hè scupertu solu dopu à uni pochi di ghjorni: quandu u sicuru viotu è u logu di retirazzione di cash ùn currispondenu micca. In u risultatu, l'impiegati bancari ponu solu .
Analisi di e cumunicazioni ATM
Comu nutatu sopra, l'interazzione trà l'unità di sistema è i dispositi periferichi hè realizatu via USB, RS232 o SDC. U carder si cunnetta direttamente à u portu di u dispositivu perifericu è li manda cumandamenti - bypassing the host. Questu hè abbastanza simplice, perchè l'interfaccia standard ùn necessitanu micca un driver specificu. È i protokolli privati per i quali u perifericu è l'ospitu interagiscenu ùn anu micca bisognu d'autorizazione (dopu tuttu, u dispusitivu hè situatu in una zona di fiducia); è dunque questi protokolli insicuri, per mezu di i quali u perifericu è l'ospiti cumunicanu, sò facilmente eavesdropped è facilmente suscettibile à attacchi di replay.
Chì. Carders ponu utilizà un analizatore di u trafficu di software o hardware, cunnettendu direttamente à u portu di un dispositivu perifericu specificu (per esempiu, un lettore di carte) per cullà e dati trasmessi. Utilizendu un analizzatore di trafficu, u carder ampara tutti i dettagli tecnichi di l'operazione di l'ATM, cumprese funzioni senza documentazione di i so periferichi (per esempiu, a funzione di cambià u firmware di un dispositivu perifericu). In u risultatu, u carder guadagna u cuntrollu tutale di l'ATM. À u listessu tempu, hè abbastanza difficiuli di detect a prisenza di un analizzatore di trafficu.
U cuntrollu direttu nantu à u dispenser di banconote significa chì i cassette ATM ponu esse svuotate senza alcuna registrazione in i logs, chì sò normalment inseriti da u software implementatu nantu à l'ospite. Per quelli chì ùn sò micca familiarizati cù l'architettura di hardware è software ATM, pò veramente vede cum'è magia.
Da induve venenu i scatuli neri ?
I fornitori di ATM è i subcontraenti sviluppanu utilità di debugging per diagnosticà l'hardware ATM, cumprese i meccanichi elettrici rispunsevuli di i ritiri di soldi. Frà queste utilità: , . A figura sottu mostra parechje altre utilità di diagnostica.
Pannellu di cuntrollu ATMDesk
Pannellu di cuntrollu RapidFire ATM XFS
Caratteristiche comparative di parechje utilities di diagnostichi
L'accessu à tali utilità hè normalment limitatu à tokens persunalizati; è travaglianu solu quandu a porta sicura di l'ATM hè aperta. Tuttavia, simpricimenti da rimpiazzà uni pochi bytes in u codice binariu di l 'utilità, carders Ritirata di soldi "test" - sguassate i cuntrolli furniti da u fabricatore di l'utilità. Carders installanu tali utilità mudificate nantu à u so laptop o un microcomputer à bordu unicu, chì sò dopu cunnessi direttamente à u dispenser di banconote per fà ritirati di soldi micca autorizati.
"Ultimu migliu" è centru di trasfurmazioni falsi
L'interazzione diretta cù a periferia, senza cumunicazione cù l'ospiti, hè solu una di e tecniche di carding efficace. L'altri tecniche s'appoghjanu nantu à u fattu chì avemu una larga varietà di interfacce di rete per mezu di quale l'ATM cumunica cù u mondu esternu. Da X.25 à Ethernet è cellulare. Parechji ATM ponu esse identificati è localizzati cù u serviziu Shodan (l'istruzzioni più cuncisi per u so usu sò presentati ), - cù un attaccu sussegwente chì sfrutta una cunfigurazione di sicurità vulnerabile, laziness di l'amministratore è cumunicazioni vulnerabile trà diversi dipartimenti di u bancu.
L'"ultimu chilometru" di cumunicazione trà l'ATM è u centru di trasfurmazioni hè riccu in una larga varietà di tecnulugii chì ponu serve cum'è un puntu d'entrata per u carder. L'interazzione pò esse realizatu via u metudu di cumunicazione cablata (linea telefonica o Ethernet) o wireless (Wi-Fi, cellulari: CDMA, GSM, UMTS, LTE). Meccanismi di sicurità pò include: 1) hardware o software per supportà VPN (sia standard, integrata in u SO, è da terze parti); 2) SSL / TLS (sia specifichi per un mudellu ATM particulari è da i fabricatori di terzu); 3) criptografia; 4) autentificazione missaghju.
Tuttavia, chì per i banche i tecnulugii listati parenu assai cumplessi, è per quessa ùn si preoccupanu micca cù una prutezzione speciale di a rete; o l'implementanu cù errori. In u megliu casu, l'ATM cumunicà cù u servitore VPN, è digià in a reta privata cunnetta à u centru di trasfurmazioni. Inoltre, ancu s'è i banche riescenu à implementà i meccanismi protettivi elencati sopra, u carder hà digià attacchi efficaci contr'à elli. Chì. Ancu s'è a sicurità cumplessi cù u standard PCI DSS, l'ATM sò sempre vulnerabili.
Unu di l'esigenti core di PCI DSS hè chì tutti i dati sensibili devenu esse criptati quandu sò trasmessi nantu à una reta publica. È avemu veramente rete chì sò stati urigginariamenti cuncepiti in modu chì i dati in elli sò cumpletamente criptati! Dunque, hè tentativu di dì: "I nostri dati sò criptati perchè usemu Wi-Fi è GSM". Tuttavia, assai di sti reti ùn furnisce micca una sicurità abbastanza. E rete cellulari di tutte e generazioni sò longu pirate. Infine è irrevocabilmente. È ci sò ancu fornituri chì offrenu dispositi per intercepte e dati trasmessi sopra.
Dunque, sia in una cumunicazione insicura sia in una reta "privata", induve ogni ATM si trasmette à altri ATM, pò esse iniziatu un attaccu MiTM "falso centru di trasfurmazione" - chì portarà à u carder piglià u cuntrollu di i flussi di dati trasmessi trà ATM è centru di trasfurmazioni.
Migliaia di ATM sò potenzialmente affettati. In a strada di u centru di prucessu genuu, u cardr inserisce u so propiu, falsu. Stu centru di trasfurmazioni falsi dà cumandamenti à l'ATM per dispenser billeti. In questu casu, u carder cunfigurà u so centru di trasfurmazioni in tale manera chì i soldi sò emessi, indipendentemente da quale carta hè inserita in l'ATM - ancu s'ellu hè scadutu o hà un saldo zero. A cosa principal hè chì u centru di prucessu falsu "ricunnosce". Un centru di trasfurmazioni falsi pò esse un pruduttu in casa o un simulatore di centru di trasfurmazioni, urigginariamente pensatu per debugging paràmetri di rete (un altru rigalu da u "fabbricante" à i carders).
In a stampa seguente dump of commands for issued 40 banknotes da u quartu cassette - mandatu da un centru di trasfurmazioni falsi è almacenati in logs di software ATM. Sembranu quasi veri.
Dump di cumanda di un centru di trasfurmazioni falsi
Source: www.habr.com