EisenkĂ€sten mit Bargeld, die auf den StraĂen der Stadt stehen, ziehen unweigerlich die Aufmerksamkeit von SchnĂ€ppchenjĂ€gern auf sich. WĂ€hrend in der Vergangenheit physische Methoden zur Leerpumpung von Geldautomaten eingesetzt wurden, kommen nun immer raffiniertere Tricks zum Einsatz, die mit Computern verbunden sind. Derzeit ist eine der relevantesten Techniken die Verwendung eines âBlack Boxesâ, die einen Einplatinencomputer enthĂ€lt. In diesem Artikel werden wir besprechen, wie sie funktioniert.

Leiter der Internationalen Vereinigung der Geldautomatenhersteller (ATMIA) âBlack Boxesâ als die gefĂ€hrlichste Bedrohung fĂŒr Geldautomaten.
Ein typischer Geldautomat ist ein Set aus bereits fertigen elektromechanischen Komponenten, die in einem GehĂ€use untergebracht sind. Die Hersteller von Geldautomaten bauen ihre GerĂ€te aus einer Geldscheinausgabe, Kartenlesern und weiteren Komponenten, die bereits von Drittanbietern entwickelt wurden. Es ist wie ein LEGO-Bausatz fĂŒr Erwachsene. Die fertigen Komponenten werden in das GehĂ€use des Geldautomaten eingebaut, das in der Regel aus zwei FĂ€chern besteht: dem oberen Fach (âKioskâ oder âServiceraumâ) und dem unteren Fach (Tresor). Alle elektromechanischen Komponenten sind ĂŒber USB- und COM-Ports mit dem Systemblock verbunden, der in diesem Fall als Host fungiert. In Ă€lteren Geldautomatenmodellen findet man zudem Verbindungen ĂŒber den SDC-Bus.
Die Evolution des Geldautomaten-Kardings
Geldautomaten mit riesigen BargeldbestĂ€nden ziehen immer wieder KartenbetrĂŒger an. ZunĂ€chst nutzten die BetrĂŒger lediglich grobe physische SchwĂ€chen in der Sicherung von Geldautomaten â sie setzten Skimmer und Shimmer ein, um Daten von Magnetstreifen zu stehlen; verwendeten gefĂ€lschte PIN-Pads und Kameras zur Ăberwachung von PIN-Codes; und mitunter sogar gefĂ€lschte Geldautomaten.
Als dann Geldautomaten mit einheitlicher Software ausgestattet wurden, die nach Standards wie XFS (eXtensions for Financial Services) funktionierte, begannen BetrĂŒger, Geldautomaten mit Computer-Viren anzugreifen.
Unter ihnen Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii und zahlreiche andere benannte sowie unbekannte Malware, die die BetrĂŒger entweder ĂŒber einen bootfĂ€higen USB-Stick oder ĂŒber einen TCP-Port fĂŒr die Fernsteuerung in den Geldautomaten einschleusen.

Der Prozess der Infektion eines Geldautomaten
Durch den Zugriff auf das XFS-Subsystem kann Malware Befehle an das GeldscheinausgabegerĂ€t ohne Autorisierung senden. Oder sie kann dem Karteleser Befehle geben: die Magnetspur einer Bankkarte zu lesen/schreiben und sogar die Transaktionshistorie, die auf dem EMV-Chip der Karte gespeichert ist, abzurufen. Besonders bemerkenswert ist das EPP (Encrypting PIN Pad; verschlĂŒsseltes PIN-Datum). Man geht davon aus, dass der PIN-Code, der dort eingegeben wird, nicht abgefangen werden kann. Allerdings erlaubt XFS die Verwendung des EPP-PIN-Pads in zwei Modi: 1) offener Modus (fĂŒr die Eingabe verschiedener numerischer Parameter, wie zum Beispiel den abzuhebenden Betrag); 2) sicherer Modus (in den das EPP wechselt, wenn der PIN-Code oder der VerschlĂŒsselungsschlĂŒssel eingegeben werden muss). Dieses Merkmal von XFS ermöglicht es einem Carder, einen MiTM-Angriff durchzufĂŒhren: Den Befehl zur Aktivierung des sicheren Modus abzufangen, der vom Host an das EPP gesendet wird, und dann dem EPP-PIN-Pad mitzuteilen, dass die Arbeit im offenen Modus fortgesetzt werden soll. Als Antwort auf diese Nachricht sendet das EPP die Tasteneingaben im Klartext.

Funktionsprinzip des âschwarzen Kastensâ
In den letzten Jahren, Europol zufolge haben sich Malware-Angriffe auf Geldautomaten erheblich weiterentwickelt. BetrĂŒger mĂŒssen nun nicht mehr physisch auf den Geldautomaten zugreifen, um ihn zu infizieren. Sie können Geldautomaten durch Remote-Netzwerkangriffe ĂŒber die Unternehmensnetzwerke der Banken kompromittieren. Group IB berichtete, dass im Jahr 2016 in mehr als 10 LĂ€ndern Europas Geldautomaten Ziel von Fernangriffen waren.

Angriff auf Geldautomaten ĂŒber Remotezugang
Antivirussoftware, das Blockieren von Firmware-Updates, das Sperren von USB-Ports und die VerschlĂŒsselung der Festplatte schĂŒtzen Geldautomaten bis zu einem gewissen Grad vor Virusangriffen durch BetrĂŒger. Aber was, wenn der BetrĂŒger nicht ĂŒber das Netzwerk angreift, sondern sich direkt an PeripheriegerĂ€te anschlieĂt (ĂŒber RS232 oder USB) â an den Kartenleser, das PIN-Pad oder das Bargeld-AusgabegerĂ€t?
Erste Begegnung mit dem âschwarzen Kastenâ
Heute sind technisch versierte BetrĂŒger , unter Verwendung von sogenannten âschwarzen Kistenâ â spezifisch programmierten Einplatinen-Mikrocomputern, Ă€hnlich dem Raspberry Pi. âSchwarze Kistenâ leeren Geldautomaten auf ganz magische (aus der Sicht der Banker) Weise. Carder verbinden ihr magisches GerĂ€t direkt mit dem GeldscheinausgabegerĂ€t, um alle verfĂŒgbaren Mittel zu extrahieren. Ein solcher Angriff umgeht alle SicherheitssoftwaremaĂnahmen, die auf dem Geldautomaten-Host implementiert sind (Antivirenprogramme, IntegritĂ€tsprĂŒfungen, vollstĂ€ndige FestplattenverschlĂŒsselung usw.).

âSchwarze Boxâ basierend auf Raspberry Pi
Die gröĂten Hersteller von Geldautomaten und staatliche Sicherheitsdienste, die mit mehreren Implementierungen der âschwarzen Boxâ konfrontiert sind, , dass diese raffinierten Computer die Geldautomaten dazu bringen, alle verfĂŒgbaren BargeldbestĂ€nde auszuspucken; bis zu 40 Banknoten alle 20 Sekunden. Die Sicherheitsbehörden warnen zudem, dass Carder hĂ€ufig Geldautomaten in Apotheken und Einkaufszentren ins Visier nehmen; sowie Geldautomaten, die Autofahrern âunterwegsâ dienen.
Um unauffĂ€llig zu bleiben, ziehen die vorsichtigsten Carder oft einen wenig wertvollen Partner, einen Mul, zur Hilfe. Um zu verhindern, dass dieser den âschwarzen Kastenâ fĂŒr sich selbst beansprucht, nutzen sie . Sie entfernen die SchlĂŒsselkomponenten aus dem âschwarzen Kastenâ und verbinden ein Smartphone, das als Kanal fĂŒr die FernĂŒbertragung von Befehlen an den reduzierten âschwarzen Kastenâ ĂŒber das IP-Protokoll dient.

Modifikation des âschwarzen Kastensâ, aktiviert ĂŒber den Fernzugriff
Wie sieht das aus Sicht der Banker aus? Bei den Aufzeichnungen von Ăberwachungskameras geschieht Folgendes: Eine Person öffnet das obere Fach (Servicebereich), verbindet einen âmagischen Kastenâ mit dem Geldautomaten, schlieĂt das obere Fach und verlĂ€sst den Ort. Nach einer Weile nĂ€hern sich mehrere Personen, die wie normale Kunden aussehen, dem Geldautomaten und heben enorme GeldbetrĂ€ge ab. Dann kehrt der Angreifer zurĂŒck und entfernt sein kleines, magisches GerĂ€t aus dem Geldautomaten. In der Regel wird der Angriff auf den Geldautomaten durch den âschwarzen Kastenâ erst nach einigen Tagen erkannt: Wenn der leere Safe und das Protokoll der Bargeldabhebungen nicht ĂŒbereinstimmen. In der Folge bleibt den Bankmitarbeitern nur noch .
Analyse der Geldautomatkommunikationen
Wie bereits erwĂ€hnt, erfolgt die Interaktion zwischen dem System und den PeripheriegerĂ€ten ĂŒber USB, RS232 oder SDC. Der Carder wird direkt an den Port des PeripheriegerĂ€ts angeschlossen und sendet ihm Befehle â um den Host herum. Das ist ziemlich einfach, da die Standardinterfaces keine speziellen Treiber benötigen. ProprietĂ€re Protokolle, ĂŒber die das PeripheriegerĂ€t und der Host kommunizieren, erfordern keine Autorisierung (da sich das GerĂ€t innerhalb einer vertrauenswĂŒrdigen Zone befindet); deshalb sind diese ungeschĂŒtzten Protokolle, ĂŒber die PeripheriegerĂ€t und Host interagieren, leicht abhörbar und anfĂ€llig fĂŒr Replay-Angriffe.
So können KartenbetrĂŒger einen Software- oder Hardware-Traffic-Analyzer verwenden, indem sie ihn direkt an den Anschluss eines bestimmten PeripheriegerĂ€ts (z. B. an einen Kartenleser) anschlieĂen, um die ĂŒbertragenen Daten zu sammeln. Mit einem Traffic-Analyzer erfĂ€hrt der BetrĂŒger alle technischen Details der Funktionsweise eines Geldautomaten, einschlieĂlich undocumented Funktionen der Peripherie (zum Beispiel die Funktion, die Firmware des PeripheriegerĂ€ts zu Ă€ndern). Infolgedessen erhĂ€lt der BetrĂŒger die vollstĂ€ndige Kontrolle ĂŒber den Geldautomaten. Dabei ist es ziemlich schwierig, das Vorhandensein eines Traffic-Analyzers zu erkennen.
Direkte Kontrolle ĂŒber das GeldautomatenausgabegerĂ€t bedeutet, dass die Geldautomatenkartuschen ohne jegliche Protokollierung in den Logs, die normalerweise von der auf dem Host installierten Software erstellt werden, entleert werden können. FĂŒr diejenigen, die mit der Software-Hardware-Architektur eines Geldautomaten nicht vertraut sind, kann das wirklich wie Magie erscheinen.
Wo kommen die "schwarzen Kisten" her?
Geldautomatensystemanbieter und Auftragnehmer entwickeln Debugging-Tools zur Diagnose der Hardware von Geldautomaten, einschlieĂlich der elektromechanischen Komponenten, die fĂŒr die Bargeldabhebung verantwortlich sind. Zu diesen Tools gehören: , . Im folgenden Bild sind einige weitere dieser diagnostischen Tools dargestellt.

Steuerungspanel ATMDesk

Steuerungspanel RapidFire ATM XFS

Vergleichsdaten mehrerer diagnostischer Tools
Der Zugang zu solchen Tools ist in der Regel durch personalisierte Tokens eingeschrĂ€nkt und sie funktionieren nur bei geöffnetem Geldautomatenschrank. Durch die einfache Ănderung einiger Bytes im BinĂ€rcode des Tools können jedoch Kartenleser die Bargeldabhebung â und damit die vom Hersteller vorgesehenen PrĂŒfungen umgehen. Diese Kartenleser installieren solche modifizierten Tools auf ihrem Laptop oder Einplatinen-Computern, die dann direkt mit dem Geldscheinausgabe-GerĂ€t verbunden werden, um unbefugtes Bargeld abzuheben.
âLetzte Meileâ und gefĂ€lschte Verarbeitungseinheit
Direkter Kontakt zu PeripheriegerĂ€ten, ohne mit dem Host zu kommunizieren, ist nur eine der effektiven Methoden des Carding. Andere Techniken basieren darauf, dass wir eine Vielzahl von Netzwerkschnittstellen haben, ĂŒber die der Geldautomat mit der AuĂenwelt verbunden ist. Von X.25 bis Ethernet und Mobilfunk. Viele Geldautomaten können ĂŒber den Shodan-Dienst identifiziert und lokalisiert werden (eine prĂ€gnante Anleitung zu seiner Verwendung finden Sie ), â gefolgt von einem Angriff, der auf einer anfĂ€lligen Sicherheitskonfiguration, der NachlĂ€ssigkeit des Administrators und anfĂ€lligen Kommunikationen zwischen verschiedenen Abteilungen der Bank beruht.
Die âletzte Meileâ der Verbindung zwischen einem Geldautomaten und dem Rechenzentrum ist reich an unterschiedlichsten Technologien, die als Einstiegspunkt fĂŒr Kartendiebe dienen können. Die Interaktion kann ĂŒber kabelgebundene (Telefonleitung oder Ethernet) oder drahtlose (Wi-Fi, Mobilfunk: CDMA, GSM, UMTS, LTE) Kommunikationswege erfolgen. Sicherheitsmechanismen können Folgendes umfassen: 1) Hardware- oder Softwaremittel zur UnterstĂŒtzung von VPN (sowohl standardisierte integrierte Lösungen des Betriebssystems als auch von Drittanbietern); 2) SSL/TLS (sowohl spezifisch fĂŒr bestimmte Geldautomatenmodelle als auch von Drittanbietern); 3) VerschlĂŒsselung; 4) Nachrichten-Authentifizierung.
Allerdings , dass die genannten Technologien fĂŒr Banken sehr komplex erscheinen und sie sich daher nicht die MĂŒhe einer speziellen Netzwerksicherheit machen; oder diese fehlerhaft umsetzen. Im besten Fall stellt der Geldautomat eine Verbindung zu einem VPN-Server her und verbindet sich dann innerhalb des privaten Netzwerks mit dem Zahlungsdienstleister. DarĂŒber hinaus, selbst wenn es den Banken gelingt, die oben genannten Sicherheitsmechanismen umzusetzen, hat ein Carder bereits effektive Angriffe gegen diese. Daher bleiben Geldautomaten selbst dann anfĂ€llig, wenn die Sicherheit den PCI DSS-Standards entspricht.
Eine der grundlegenden Anforderungen der PCI DSS: Alle sensiblen Daten, die ĂŒber ein öffentliches Netzwerk ĂŒbertragen werden, mĂŒssen verschlĂŒsselt werden. Und wir verfĂŒgen tatsĂ€chlich ĂŒber Netzwerke, die von vornherein so konzipiert sind, dass die Daten vollstĂ€ndig verschlĂŒsselt sind! Daher gibt es den Anreiz zu sagen: 'Unsere Daten sind verschlĂŒsselt, weil wir Wi-Fi und GSM nutzen'. Allerdings bieten viele dieser Netzwerke nicht den notwendigen Schutz. Mobilfunknetze aller Generationen sind bereits seit langem gehackt. EndgĂŒltig und unwiderruflich. Und es gibt sogar Anbieter, die GerĂ€te zur Abfangung der ĂŒber sie ĂŒbertragenen Daten anbieten.
Deshalb kann entweder in unsicheren Kommunikationen oder in einem 'privaten' Netzwerk, in dem jeder Geldautomat ĂŒber sich selbst an andere Geldautomaten informiert, ein MiTM-Angriff 'falsches Verarbeitungszentrum' initiiert werden, bei dem der Kriminelle die Kontrolle ĂŒber die Datenströme ĂŒbernimmt, die zwischen dem Geldautomaten und dem Verarbeitungszentrum ĂŒbertragen werden.
Potenziell sind Tausende von Geldautomaten betroffen. Auf dem Weg zu einem echten Zahlungsabwicklungszentrum setzt ein Skimmer seine gefĂ€lschte Software ein. Dieses gefĂ€lschte Zahlungsabwicklungszentrum gibt dem Geldautomaten die Anweisungen zur Ausgabe von Banknoten. Dabei konfiguriert der Skimmer sein Zahlungsabwicklungszentrum so, dass die Bargeldausgabe unabhĂ€ngig davon erfolgt, welche Karte in den Geldautomaten gesteckt wird â selbst wenn sie abgelaufen ist oder ein Nullsaldo aufweist. Das Hauptaugenmerk liegt darauf, dass das gefĂ€lschte Zahlungsabwicklungszentrum die Karte âerkennstâ. Als gefĂ€lschtes Zahlungsabwicklungszentrum kann entweder eine grobe Nachahmung oder ein Simulationsprogramm gelten, das ursprĂŒnglich zur Fehlersuche in Netzwerkeinstellungen entwickelt wurde (ein weiteres Geschenk des âHerstellersâ an Skimmer).
Im nĂ€chsten Abbildung Dump der Befehle zur Ausgabe von 40 Banknoten aus dem vierten Fach â gesendet von dem gefĂ€lschten Zahlungsabwicklungszentrum und in den Protokollen der ATM-Software gespeichert. Sie sehen fast wie echte aus.

Dump der Befehle des gefÀlschten Zahlungsabwicklungszentrums
Quelle: habr.com
