Scatole di ferru cù soldi chì stanu nantu à i carrughji di a cità ùn ponu micca attrae l'attenzione di l'amatori di soldi rapidu. È s'è prima i metudi puramente fisici eranu usati per sviutata l'ATM, avà sò usati sempre più scherzi di computer. Avà u più pertinenti di elli hè una "scatola nera" cù un microcomputer unicu à l'internu. Avemu da parlà cumu si travaglia in stu articulu.
Capu di l'Associazione Internaziunale di i Produttori di ATM (ATMIA)
Un ATM tipicu hè un inseme di cumpunenti elettromeccanici pronti allughjati in una casa. I pruduttori di ATM custruiscenu e so creazioni hardware da u dispenser di fattura, lettore di carte è altri cumpunenti digià sviluppati da fornitori di terzu. Una sorta di costruttore LEGO per adulti. I cumpunenti finiti sò posti in u corpu di l'ATM, chì sò generalmente custituiti da dui compartimenti: un compartment suprana ("cabinet" o "zona di serviziu"), è un compartment inferiore (seguru). Tutti i cumpunenti elettromeccanicu sò cunnessi via USB è porti COM à l'unità di sistema, chì in questu casu agisce cum'è un òspite. Nantu à i mudelli ATM più vechji, pudete ancu truvà cunnessione via l'autobus SDC.
L'evoluzione di u carding ATM
L'ATMs cù sume enormi in l'internu attrae invariabilmente i carders. À u principiu, i carders sfruttavanu solu e carenze fisiche grossi di a prutezzione di l'ATM - anu utilizatu skimmers è shimmers per arrubbari dati da strisce magnetiche; falsi pin pad è camere per vede i codici pin; è ancu ATM falsi.
Dopu, quandu l'ATM cuminciaru à esse equipati di un software unificatu chì operanu secondu i normi cumuni, cum'è XFS (eXtensions for Financial Services), i carders cuminciaru à attaccà l'ATM cù virus informatici.
Frà elli sò Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii è altri numerosi malware chjamatu è senza nome, chì i carders piantanu nantu à l'ospitu ATM sia attraversu un USB flash drive bootable o attraversu un portu di cuntrollu remoto TCP.
U prucessu di infezzione ATM
Dopu avè catturatu u sottosistema XFS, u malware pò emette cumandamenti à u dispenser di banconote senza autorizazione. O dà cumandamenti à u lettore di carte: leghje / scrivite a striscia magnetica di una carta bancaria è ancu ricuperà a storia di a transazzione guardata in u chip di a carta EMV. EPP (Encrypting PIN Pad) meriteghja una attenzione speciale. Hè generalmente accettatu chì u codice PIN inseritu ùn pò micca esse interceptatu. In ogni casu, XFS permette di utilizà u pinpad EPP in dui modi: 1) modalità aperta (per inserisce diversi paràmetri numerichi, cum'è a quantità per esse cashed); 2) Modu sicuru (EPP cambia à questu quandu avete bisognu di inserisce un codice PIN o chjave di criptografia). Questa funzione di XFS permette à u carder di realizà un attaccu MiTM: intercepte u cumandamentu di attivazione di u modu sicuru chì hè mandatu da l'ospitu à l'EPP, è dopu informà à u pinpad EPP chì deve cuntinuà à travaglià in modu apertu. In risposta à stu missaghju, EPP manda chjavi in testu chjaru.
Principiu di funziunamentu di una "scatola nera"
In l'ultimi anni,
Attaccu à un ATM via accessu remoto
Antivirus, bluccà l'aghjurnamenti di firmware, bluccà i porti USB è criptà u discu duru - in una certa misura prutegge l'ATM da l'attacchi di virus da i carders. Ma chì se u carder ùn attaccà micca l'ospite, ma si cunnetta direttamente à a periferia (via RS232 o USB) - à un lettore di carte, pin pad o cash dispenser?
Prima cunniscenza cù a "scatola nera"
Carders di l'oghje di tecnulugia
"Scatola nera" basatu annantu à Raspberry Pi
I più grandi pruduttori di ATM è l'agenzii di intelligenza di u guvernu, di fronte à parechje implementazioni di a "scatola nera",
À u listessu tempu, per ùn apparisce micca davanti à e camere, i carders più prudenti piglianu l'aiutu di un cumpagnu micca assai preziosu, una mula. È cusì ch'ellu ùn pò micca appropritatu a "scatola negra" per ellu stessu, usanu
Mudificazione di a "scatola nera", cù attivazione via accessu remota
Ciò chì pare da u puntu di vista di i banchieri ? In l'arregistramentu da videocamere, succede qualcosa di questu: una certa persona apre u compartment superiore (zona di serviziu), cunnetta una "scatola magica" à l'ATM, chjude u compartment superiore è esce. Un pocu dopu, parechje persone, apparentemente i clienti ordinali, si avvicinanu à l'ATM è ritiranu enormi quantità di soldi. Allora u carder torna è ripiglià u so picculu dispusitivu magicu da l'ATM. Di genere, u fattu di un attaccu ATM da una "scatola nera" hè scupertu solu dopu à uni pochi di ghjorni: quandu u sicuru viotu è u logu di retirazzione di cash ùn currispondenu micca. In u risultatu, l'impiegati bancari ponu solu
Analisi di e cumunicazioni ATM
Comu nutatu sopra, l'interazzione trà l'unità di sistema è i dispositi periferichi hè realizatu via USB, RS232 o SDC. U carder si cunnetta direttamente à u portu di u dispositivu perifericu è li manda cumandamenti - bypassing the host. Questu hè abbastanza simplice, perchè l'interfaccia standard ùn necessitanu micca un driver specificu. È i protokolli privati per i quali u perifericu è l'ospitu interagiscenu ùn anu micca bisognu d'autorizazione (dopu tuttu, u dispusitivu hè situatu in una zona di fiducia); è dunque questi protokolli insicuri, per mezu di i quali u perifericu è l'ospiti cumunicanu, sò facilmente eavesdropped è facilmente suscettibile à attacchi di replay.
Chì. Carders ponu utilizà un analizatore di u trafficu di software o hardware, cunnettendu direttamente à u portu di un dispositivu perifericu specificu (per esempiu, un lettore di carte) per cullà e dati trasmessi. Utilizendu un analizzatore di trafficu, u carder ampara tutti i dettagli tecnichi di l'operazione di l'ATM, cumprese funzioni senza documentazione di i so periferichi (per esempiu, a funzione di cambià u firmware di un dispositivu perifericu). In u risultatu, u carder guadagna u cuntrollu tutale di l'ATM. À u listessu tempu, hè abbastanza difficiuli di detect a prisenza di un analizzatore di trafficu.
U cuntrollu direttu nantu à u dispenser di banconote significa chì i cassette ATM ponu esse svuotate senza alcuna registrazione in i logs, chì sò normalment inseriti da u software implementatu nantu à l'ospite. Per quelli chì ùn sò micca familiarizati cù l'architettura di hardware è software ATM, pò veramente vede cum'è magia.
Da induve venenu i scatuli neri ?
I fornitori di ATM è i subcontraenti sviluppanu utilità di debugging per diagnosticà l'hardware ATM, cumprese i meccanichi elettrici rispunsevuli di i ritiri di soldi. Frà queste utilità:
Pannellu di cuntrollu ATMDesk
Pannellu di cuntrollu RapidFire ATM XFS
Caratteristiche comparative di parechje utilities di diagnostichi
L'accessu à tali utilità hè normalment limitatu à tokens persunalizati; è travaglianu solu quandu a porta sicura di l'ATM hè aperta. Tuttavia, simpricimenti da rimpiazzà uni pochi bytes in u codice binariu di l 'utilità, carders
"Ultimu migliu" è centru di trasfurmazioni falsi
L'interazzione diretta cù a periferia, senza cumunicazione cù l'ospiti, hè solu una di e tecniche di carding efficace. L'altri tecniche s'appoghjanu nantu à u fattu chì avemu una larga varietà di interfacce di rete per mezu di quale l'ATM cumunica cù u mondu esternu. Da X.25 à Ethernet è cellulare. Parechji ATM ponu esse identificati è localizzati cù u serviziu Shodan (l'istruzzioni più cuncisi per u so usu sò presentati
L'"ultimu chilometru" di cumunicazione trà l'ATM è u centru di trasfurmazioni hè riccu in una larga varietà di tecnulugii chì ponu serve cum'è un puntu d'entrata per u carder. L'interazzione pò esse realizatu via u metudu di cumunicazione cablata (linea telefonica o Ethernet) o wireless (Wi-Fi, cellulari: CDMA, GSM, UMTS, LTE). Meccanismi di sicurità pò include: 1) hardware o software per supportà VPN (sia standard, integrata in u SO, è da terze parti); 2) SSL / TLS (sia specifichi per un mudellu ATM particulari è da i fabricatori di terzu); 3) criptografia; 4) autentificazione missaghju.
Tuttavia,
Unu di l'esigenti core di PCI DSS hè chì tutti i dati sensibili devenu esse criptati quandu sò trasmessi nantu à una reta publica. È avemu veramente rete chì sò stati urigginariamenti cuncepiti in modu chì i dati in elli sò cumpletamente criptati! Dunque, hè tentativu di dì: "I nostri dati sò criptati perchè usemu Wi-Fi è GSM". Tuttavia, assai di sti reti ùn furnisce micca una sicurità abbastanza. E rete cellulari di tutte e generazioni sò longu pirate. Infine è irrevocabilmente. È ci sò ancu fornituri chì offrenu dispositi per intercepte e dati trasmessi sopra.
Dunque, sia in una cumunicazione insicura sia in una reta "privata", induve ogni ATM si trasmette à altri ATM, pò esse iniziatu un attaccu MiTM "falso centru di trasfurmazione" - chì portarà à u carder piglià u cuntrollu di i flussi di dati trasmessi trà ATM è centru di trasfurmazioni.
In a stampa seguente
Dump di cumanda di un centru di trasfurmazioni falsi
Source: www.habr.com