Carding und „schwarze Kisten“: wie Geldautomaten heute gehackt werden

EisenkĂ€sten mit Bargeld, die auf den Straßen der Stadt stehen, ziehen unweigerlich die Aufmerksamkeit von SchnĂ€ppchenjĂ€gern auf sich. WĂ€hrend in der Vergangenheit physische Methoden zur Leerpumpung von Geldautomaten eingesetzt wurden, kommen nun immer raffiniertere Tricks zum Einsatz, die mit Computern verbunden sind. Derzeit ist eine der relevantesten Techniken die Verwendung eines „Black Boxes“, die einen Einplatinencomputer enthĂ€lt. In diesem Artikel werden wir besprechen, wie sie funktioniert.

– Die Evolution des ATM-Kardings
– Erste Bekanntschaft mit der „Black Box“
– Analyse der ATM-Kommunikation
– Woher kommen die „Black Boxes“?
– Die „letzte Meile“ und das gefĂ€lschte Zahlungszentrum

Carding und „schwarze Kisten“: wie Geldautomaten heute gehackt werden

Leiter der Internationalen Vereinigung der Geldautomatenhersteller (ATMIA) hebt hervor „Black Boxes“ als die gefĂ€hrlichste Bedrohung fĂŒr Geldautomaten.

Ein typischer Geldautomat ist ein Set aus bereits fertigen elektromechanischen Komponenten, die in einem GehĂ€use untergebracht sind. Die Hersteller von Geldautomaten bauen ihre GerĂ€te aus einer Geldscheinausgabe, Kartenlesern und weiteren Komponenten, die bereits von Drittanbietern entwickelt wurden. Es ist wie ein LEGO-Bausatz fĂŒr Erwachsene. Die fertigen Komponenten werden in das GehĂ€use des Geldautomaten eingebaut, das in der Regel aus zwei FĂ€chern besteht: dem oberen Fach („Kiosk“ oder „Serviceraum“) und dem unteren Fach (Tresor). Alle elektromechanischen Komponenten sind ĂŒber USB- und COM-Ports mit dem Systemblock verbunden, der in diesem Fall als Host fungiert. In Ă€lteren Geldautomatenmodellen findet man zudem Verbindungen ĂŒber den SDC-Bus.

Die Evolution des Geldautomaten-Kardings

Geldautomaten mit riesigen BargeldbestĂ€nden ziehen immer wieder KartenbetrĂŒger an. ZunĂ€chst nutzten die BetrĂŒger lediglich grobe physische SchwĂ€chen in der Sicherung von Geldautomaten – sie setzten Skimmer und Shimmer ein, um Daten von Magnetstreifen zu stehlen; verwendeten gefĂ€lschte PIN-Pads und Kameras zur Überwachung von PIN-Codes; und mitunter sogar gefĂ€lschte Geldautomaten.

Als dann Geldautomaten mit einheitlicher Software ausgestattet wurden, die nach Standards wie XFS (eXtensions for Financial Services) funktionierte, begannen BetrĂŒger, Geldautomaten mit Computer-Viren anzugreifen.

Unter ihnen Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii und zahlreiche andere benannte sowie unbekannte Malware, die die BetrĂŒger entweder ĂŒber einen bootfĂ€higen USB-Stick oder ĂŒber einen TCP-Port fĂŒr die Fernsteuerung in den Geldautomaten einschleusen.

Carding und „schwarze Kisten“: wie Geldautomaten heute gehackt werden
Der Prozess der Infektion eines Geldautomaten

Durch den Zugriff auf das XFS-Subsystem kann Malware Befehle an das GeldscheinausgabegerĂ€t ohne Autorisierung senden. Oder sie kann dem Karteleser Befehle geben: die Magnetspur einer Bankkarte zu lesen/schreiben und sogar die Transaktionshistorie, die auf dem EMV-Chip der Karte gespeichert ist, abzurufen. Besonders bemerkenswert ist das EPP (Encrypting PIN Pad; verschlĂŒsseltes PIN-Datum). Man geht davon aus, dass der PIN-Code, der dort eingegeben wird, nicht abgefangen werden kann. Allerdings erlaubt XFS die Verwendung des EPP-PIN-Pads in zwei Modi: 1) offener Modus (fĂŒr die Eingabe verschiedener numerischer Parameter, wie zum Beispiel den abzuhebenden Betrag); 2) sicherer Modus (in den das EPP wechselt, wenn der PIN-Code oder der VerschlĂŒsselungsschlĂŒssel eingegeben werden muss). Dieses Merkmal von XFS ermöglicht es einem Carder, einen MiTM-Angriff durchzufĂŒhren: Den Befehl zur Aktivierung des sicheren Modus abzufangen, der vom Host an das EPP gesendet wird, und dann dem EPP-PIN-Pad mitzuteilen, dass die Arbeit im offenen Modus fortgesetzt werden soll. Als Antwort auf diese Nachricht sendet das EPP die Tasteneingaben im Klartext.

Carding und „schwarze Kisten“: wie Geldautomaten heute gehackt werden
Funktionsprinzip des „schwarzen Kastens“

In den letzten Jahren, laut den Angaben Europol zufolge haben sich Malware-Angriffe auf Geldautomaten erheblich weiterentwickelt. BetrĂŒger mĂŒssen nun nicht mehr physisch auf den Geldautomaten zugreifen, um ihn zu infizieren. Sie können Geldautomaten durch Remote-Netzwerkangriffe ĂŒber die Unternehmensnetzwerke der Banken kompromittieren. Laut Group IB berichtete, dass im Jahr 2016 in mehr als 10 LĂ€ndern Europas Geldautomaten Ziel von Fernangriffen waren.

Carding und „schwarze Kisten“: wie Geldautomaten heute gehackt werden
Angriff auf Geldautomaten ĂŒber Remotezugang

Antivirussoftware, das Blockieren von Firmware-Updates, das Sperren von USB-Ports und die VerschlĂŒsselung der Festplatte schĂŒtzen Geldautomaten bis zu einem gewissen Grad vor Virusangriffen durch BetrĂŒger. Aber was, wenn der BetrĂŒger nicht ĂŒber das Netzwerk angreift, sondern sich direkt an PeripheriegerĂ€te anschließt (ĂŒber RS232 oder USB) – an den Kartenleser, das PIN-Pad oder das Bargeld-AusgabegerĂ€t?

Erste Begegnung mit dem „schwarzen Kasten“

Heute sind technisch versierte BetrĂŒger genau so unterwegs, unter Verwendung von sogenannten „schwarzen Kisten“ – spezifisch programmierten Einplatinen-Mikrocomputern, Ă€hnlich dem Raspberry Pi. „Schwarze Kisten“ leeren Geldautomaten auf ganz magische (aus der Sicht der Banker) Weise. Carder verbinden ihr magisches GerĂ€t direkt mit dem GeldscheinausgabegerĂ€t, um alle verfĂŒgbaren Mittel zu extrahieren. Ein solcher Angriff umgeht alle Sicherheitssoftwaremaßnahmen, die auf dem Geldautomaten-Host implementiert sind (Antivirenprogramme, IntegritĂ€tsprĂŒfungen, vollstĂ€ndige FestplattenverschlĂŒsselung usw.).

Carding und „schwarze Kisten“: wie Geldautomaten heute gehackt werden
„Schwarze Box“ basierend auf Raspberry Pi

Die grĂ¶ĂŸten Hersteller von Geldautomaten und staatliche Sicherheitsdienste, die mit mehreren Implementierungen der „schwarzen Box“ konfrontiert sind, Experten von ArchLinux warnen,, dass diese raffinierten Computer die Geldautomaten dazu bringen, alle verfĂŒgbaren BargeldbestĂ€nde auszuspucken; bis zu 40 Banknoten alle 20 Sekunden. Die Sicherheitsbehörden warnen zudem, dass Carder hĂ€ufig Geldautomaten in Apotheken und Einkaufszentren ins Visier nehmen; sowie Geldautomaten, die Autofahrern „unterwegs“ dienen.

Um unauffĂ€llig zu bleiben, ziehen die vorsichtigsten Carder oft einen wenig wertvollen Partner, einen Mul, zur Hilfe. Um zu verhindern, dass dieser den „schwarzen Kasten“ fĂŒr sich selbst beansprucht, nutzen sie das folgende Schema. Sie entfernen die SchlĂŒsselkomponenten aus dem „schwarzen Kasten“ und verbinden ein Smartphone, das als Kanal fĂŒr die FernĂŒbertragung von Befehlen an den reduzierten „schwarzen Kasten“ ĂŒber das IP-Protokoll dient.

Carding und „schwarze Kisten“: wie Geldautomaten heute gehackt werden
Modifikation des „schwarzen Kastens“, aktiviert ĂŒber den Fernzugriff

Wie sieht das aus Sicht der Banker aus? Bei den Aufzeichnungen von Überwachungskameras geschieht Folgendes: Eine Person öffnet das obere Fach (Servicebereich), verbindet einen „magischen Kasten“ mit dem Geldautomaten, schließt das obere Fach und verlĂ€sst den Ort. Nach einer Weile nĂ€hern sich mehrere Personen, die wie normale Kunden aussehen, dem Geldautomaten und heben enorme GeldbetrĂ€ge ab. Dann kehrt der Angreifer zurĂŒck und entfernt sein kleines, magisches GerĂ€t aus dem Geldautomaten. In der Regel wird der Angriff auf den Geldautomaten durch den „schwarzen Kasten“ erst nach einigen Tagen erkannt: Wenn der leere Safe und das Protokoll der Bargeldabhebungen nicht ĂŒbereinstimmen. In der Folge bleibt den Bankmitarbeitern nur noch den Kopf zu schĂŒtteln.

Analyse der Geldautomatkommunikationen

Wie bereits erwĂ€hnt, erfolgt die Interaktion zwischen dem System und den PeripheriegerĂ€ten ĂŒber USB, RS232 oder SDC. Der Carder wird direkt an den Port des PeripheriegerĂ€ts angeschlossen und sendet ihm Befehle – um den Host herum. Das ist ziemlich einfach, da die Standardinterfaces keine speziellen Treiber benötigen. ProprietĂ€re Protokolle, ĂŒber die das PeripheriegerĂ€t und der Host kommunizieren, erfordern keine Autorisierung (da sich das GerĂ€t innerhalb einer vertrauenswĂŒrdigen Zone befindet); deshalb sind diese ungeschĂŒtzten Protokolle, ĂŒber die PeripheriegerĂ€t und Host interagieren, leicht abhörbar und anfĂ€llig fĂŒr Replay-Angriffe.

So können KartenbetrĂŒger einen Software- oder Hardware-Traffic-Analyzer verwenden, indem sie ihn direkt an den Anschluss eines bestimmten PeripheriegerĂ€ts (z. B. an einen Kartenleser) anschließen, um die ĂŒbertragenen Daten zu sammeln. Mit einem Traffic-Analyzer erfĂ€hrt der BetrĂŒger alle technischen Details der Funktionsweise eines Geldautomaten, einschließlich undocumented Funktionen der Peripherie (zum Beispiel die Funktion, die Firmware des PeripheriegerĂ€ts zu Ă€ndern). Infolgedessen erhĂ€lt der BetrĂŒger die vollstĂ€ndige Kontrolle ĂŒber den Geldautomaten. Dabei ist es ziemlich schwierig, das Vorhandensein eines Traffic-Analyzers zu erkennen.

Direkte Kontrolle ĂŒber das GeldautomatenausgabegerĂ€t bedeutet, dass die Geldautomatenkartuschen ohne jegliche Protokollierung in den Logs, die normalerweise von der auf dem Host installierten Software erstellt werden, entleert werden können. FĂŒr diejenigen, die mit der Software-Hardware-Architektur eines Geldautomaten nicht vertraut sind, kann das wirklich wie Magie erscheinen.

Wo kommen die "schwarzen Kisten" her?

Geldautomatensystemanbieter und Auftragnehmer entwickeln Debugging-Tools zur Diagnose der Hardware von Geldautomaten, einschließlich der elektromechanischen Komponenten, die fĂŒr die Bargeldabhebung verantwortlich sind. Zu diesen Tools gehören: ATMDesk, RapidFire ATM XFS. Im folgenden Bild sind einige weitere dieser diagnostischen Tools dargestellt.

Carding und „schwarze Kisten“: wie Geldautomaten heute gehackt werden
Steuerungspanel ATMDesk

Carding und „schwarze Kisten“: wie Geldautomaten heute gehackt werden
Steuerungspanel RapidFire ATM XFS

Carding und „schwarze Kisten“: wie Geldautomaten heute gehackt werden
Vergleichsdaten mehrerer diagnostischer Tools

Der Zugang zu solchen Tools ist in der Regel durch personalisierte Tokens eingeschrĂ€nkt und sie funktionieren nur bei geöffnetem Geldautomatenschrank. Durch die einfache Änderung einiger Bytes im BinĂ€rcode des Tools können jedoch Kartenleser „testen“ die Bargeldabhebung – und damit die vom Hersteller vorgesehenen PrĂŒfungen umgehen. Diese Kartenleser installieren solche modifizierten Tools auf ihrem Laptop oder Einplatinen-Computern, die dann direkt mit dem Geldscheinausgabe-GerĂ€t verbunden werden, um unbefugtes Bargeld abzuheben.

„Letzte Meile“ und gefĂ€lschte Verarbeitungseinheit

Direkter Kontakt zu PeripheriegerĂ€ten, ohne mit dem Host zu kommunizieren, ist nur eine der effektiven Methoden des Carding. Andere Techniken basieren darauf, dass wir eine Vielzahl von Netzwerkschnittstellen haben, ĂŒber die der Geldautomat mit der Außenwelt verbunden ist. Von X.25 bis Ethernet und Mobilfunk. Viele Geldautomaten können ĂŒber den Shodan-Dienst identifiziert und lokalisiert werden (eine prĂ€gnante Anleitung zu seiner Verwendung finden Sie hier), – gefolgt von einem Angriff, der auf einer anfĂ€lligen Sicherheitskonfiguration, der NachlĂ€ssigkeit des Administrators und anfĂ€lligen Kommunikationen zwischen verschiedenen Abteilungen der Bank beruht.

Die „letzte Meile“ der Verbindung zwischen einem Geldautomaten und dem Rechenzentrum ist reich an unterschiedlichsten Technologien, die als Einstiegspunkt fĂŒr Kartendiebe dienen können. Die Interaktion kann ĂŒber kabelgebundene (Telefonleitung oder Ethernet) oder drahtlose (Wi-Fi, Mobilfunk: CDMA, GSM, UMTS, LTE) Kommunikationswege erfolgen. Sicherheitsmechanismen können Folgendes umfassen: 1) Hardware- oder Softwaremittel zur UnterstĂŒtzung von VPN (sowohl standardisierte integrierte Lösungen des Betriebssystems als auch von Drittanbietern); 2) SSL/TLS (sowohl spezifisch fĂŒr bestimmte Geldautomatenmodelle als auch von Drittanbietern); 3) VerschlĂŒsselung; 4) Nachrichten-Authentifizierung.

Allerdings Ă€hnlich, dass die genannten Technologien fĂŒr Banken sehr komplex erscheinen und sie sich daher nicht die MĂŒhe einer speziellen Netzwerksicherheit machen; oder diese fehlerhaft umsetzen. Im besten Fall stellt der Geldautomat eine Verbindung zu einem VPN-Server her und verbindet sich dann innerhalb des privaten Netzwerks mit dem Zahlungsdienstleister. DarĂŒber hinaus, selbst wenn es den Banken gelingt, die oben genannten Sicherheitsmechanismen umzusetzen, hat ein Carder bereits effektive Angriffe gegen diese. Daher bleiben Geldautomaten selbst dann anfĂ€llig, wenn die Sicherheit den PCI DSS-Standards entspricht.

Eine der grundlegenden Anforderungen der PCI DSS: Alle sensiblen Daten, die ĂŒber ein öffentliches Netzwerk ĂŒbertragen werden, mĂŒssen verschlĂŒsselt werden. Und wir verfĂŒgen tatsĂ€chlich ĂŒber Netzwerke, die von vornherein so konzipiert sind, dass die Daten vollstĂ€ndig verschlĂŒsselt sind! Daher gibt es den Anreiz zu sagen: 'Unsere Daten sind verschlĂŒsselt, weil wir Wi-Fi und GSM nutzen'. Allerdings bieten viele dieser Netzwerke nicht den notwendigen Schutz. Mobilfunknetze aller Generationen sind bereits seit langem gehackt. EndgĂŒltig und unwiderruflich. Und es gibt sogar Anbieter, die GerĂ€te zur Abfangung der ĂŒber sie ĂŒbertragenen Daten anbieten.

Deshalb kann entweder in unsicheren Kommunikationen oder in einem 'privaten' Netzwerk, in dem jeder Geldautomat ĂŒber sich selbst an andere Geldautomaten informiert, ein MiTM-Angriff 'falsches Verarbeitungszentrum' initiiert werden, bei dem der Kriminelle die Kontrolle ĂŒber die Datenströme ĂŒbernimmt, die zwischen dem Geldautomaten und dem Verarbeitungszentrum ĂŒbertragen werden.

Solche MiTM-Angriffe Potenziell sind Tausende von Geldautomaten betroffen. Auf dem Weg zu einem echten Zahlungsabwicklungszentrum setzt ein Skimmer seine gefĂ€lschte Software ein. Dieses gefĂ€lschte Zahlungsabwicklungszentrum gibt dem Geldautomaten die Anweisungen zur Ausgabe von Banknoten. Dabei konfiguriert der Skimmer sein Zahlungsabwicklungszentrum so, dass die Bargeldausgabe unabhĂ€ngig davon erfolgt, welche Karte in den Geldautomaten gesteckt wird – selbst wenn sie abgelaufen ist oder ein Nullsaldo aufweist. Das Hauptaugenmerk liegt darauf, dass das gefĂ€lschte Zahlungsabwicklungszentrum die Karte „erkennst“. Als gefĂ€lschtes Zahlungsabwicklungszentrum kann entweder eine grobe Nachahmung oder ein Simulationsprogramm gelten, das ursprĂŒnglich zur Fehlersuche in Netzwerkeinstellungen entwickelt wurde (ein weiteres Geschenk des „Herstellers“ an Skimmer).

Im nĂ€chsten Abbildung angegeben Dump der Befehle zur Ausgabe von 40 Banknoten aus dem vierten Fach – gesendet von dem gefĂ€lschten Zahlungsabwicklungszentrum und in den Protokollen der ATM-Software gespeichert. Sie sehen fast wie echte aus.

Carding und „schwarze Kisten“: wie Geldautomaten heute gehackt werden
Dump der Befehle des gefÀlschten Zahlungsabwicklungszentrums

Quelle: habr.com

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster