Eisenkisten mit Geld, die auf den Straßen der Stadt stehen, ziehen die Aufmerksamkeit von Liebhabern des schnellen Geldes auf sich. Und wurden früher zum Entleeren von Geldautomaten noch rein physische Methoden genutzt, so kommen heute immer mehr geschickte Tricks rund um den Computer zum Einsatz. Das relevanteste davon ist nun die „Black Box“ mit einem Einplatinen-Mikrocomputer im Inneren. Wir werden in diesem Artikel darüber sprechen, wie es funktioniert.
Leiter der International Association of ATM Manufacturers (ATMIA)
Ein typischer Geldautomat ist ein Satz vorgefertigter elektromechanischer Komponenten, die in einem Gehäuse untergebracht sind. Geldautomatenhersteller bauen ihre Eisenkreationen aus einem Geldscheinautomaten, einem Kartenleser und anderen Komponenten, die bereits von Drittanbietern entwickelt wurden. Eine Art LEGO-Konstrukteur für Erwachsene. Fertige Komponenten werden in den Geldautomatenkoffer gelegt, der normalerweise aus zwei Fächern besteht: dem oberen Fach („Schrank“ oder „Servicebereich“) und dem unteren Fach (Tresor). Alle elektromechanischen Komponenten sind über USB- und COM-Ports mit der Systemeinheit verbunden, die in diesem Fall als Host fungiert. Bei älteren Geldautomatenmodellen finden Sie auch Anschlüsse über den SDC-Bus.
Die Entwicklung der Geldautomatenkarten
Geldautomaten mit riesigen Beträgen locken Kartenkunden immer an. Zunächst nutzten Carder nur grobe physische Mängel in der Sicherheit von Geldautomaten aus – sie nutzten Skimmer und Shimmer, um Daten von Magnetstreifen zu stehlen; gefälschte Pin-Pads und Kameras zum Anzeigen von Pincodes; und sogar gefälschte Geldautomaten.
Als dann Geldautomaten mit einheitlicher Software ausgestattet wurden, die nach gängigen Standards wie XFS (eXtensions for Financial Services) funktionierte, begannen Karteninhaber, Geldautomaten mit Computerviren anzugreifen.
Darunter sind Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii und zahlreiche andere benannte und unbenannte Malware, die Carder entweder über ein bootfähiges Flash-Laufwerk oder über den ferngesteuerten TCP-Port auf dem ATM-Host einschleusen.
Infektionsprozess von Geldautomaten
Nachdem das XFS-Subsystem erfasst wurde, kann die Schadsoftware unbefugt Befehle an den Banknotenausgabeautomaten erteilen. Oder geben Sie Befehle an den Kartenleser: Lesen/beschreiben Sie den Magnetstreifen einer Bankkarte und extrahieren Sie sogar den auf dem EMV-Kartenchip gespeicherten Transaktionsverlauf. EPP (Encrypting PIN Pad; verschlüsseltes Pinpad) verdient besondere Aufmerksamkeit. Es ist allgemein anerkannt, dass der darauf eingegebene PIN-Code nicht abgefangen werden kann. Mit XFS können Sie das EPP-Pinpad jedoch in zwei Modi verwenden: 1) im offenen Modus (zur Eingabe verschiedener numerischer Parameter, z. B. des auszuzahlenden Betrags); 2) abgesicherter Modus (EPP wechselt in diesen Modus, wenn Sie einen PIN-Code oder einen Verschlüsselungsschlüssel eingeben müssen). Diese Funktion von Als Antwort auf diese Nachricht sendet EPP Tastenanschläge im Klartext.
Das Funktionsprinzip der „Black Box“
In den vergangenen Jahren,
Geldautomaten-Angriff per Fernzugriff
Antivirenprogramme, die Firmware-Updates blockieren, USB-Anschlüsse blockieren und die Festplatte verschlüsseln – schützen den Geldautomaten bis zu einem gewissen Grad vor Virenangriffen durch Carder. Was aber, wenn der Carder nicht den Host angreift, sondern sich direkt mit der Peripherie verbindet (über RS232 oder USB) – zu einem Kartenleser, Pinpad oder Geldautomaten?
Die erste Bekanntschaft mit der „Black Box“
Heute technisch versierte Carder
„Black Box“ basierend auf Raspberry Pi
Die größten Hersteller von Geldautomaten und staatliche Geheimdienste waren mit mehreren Implementierungen der „Black Box“ konfrontiert.
Um vor den Kameras nicht zu glänzen, greifen die vorsichtigsten Carder gleichzeitig zu Hilfe eines nicht sehr wertvollen Partners, eines Maultiers. Und damit er sich die „Black Box“ nicht aneignen konnte, nutzen sie sie
Modifikation der „Black Box“, mit Aktivierung per Fernzugriff
Wie sieht es aus Sicht der Banker aus? Auf den Aufnahmen von Videokameras-Fixatoren passiert etwa Folgendes: Eine bestimmte Person öffnet das obere Fach (Servicebereich), verbindet die „Zauberbox“ mit dem Geldautomaten, schließt das obere Fach und geht. Wenig später nähern sich mehrere Menschen, scheinbar normale Kunden, dem Geldautomaten und heben riesige Geldbeträge ab. Dann kehrt der Carder zurück und holt sein kleines magisches Gerät vom Geldautomaten. Normalerweise wird die Tatsache eines Geldautomatenangriffs mit einer „Blackbox“ erst nach einigen Tagen erkannt: wenn ein leerer Safe und ein Bargeldabhebungsprotokoll nicht übereinstimmen. Den Bankangestellten bleibt dadurch nur noch etwas übrig
Analyse der ATM-Kommunikation
Wie oben erwähnt, erfolgt die Interaktion zwischen Systemeinheit und Peripheriegeräten über USB, RS232 oder SDC. Der Carder verbindet sich direkt mit dem Port des Peripheriegeräts und sendet Befehle an dieses – unter Umgehung des Hosts. Dies ist ganz einfach, da die Standardschnittstellen keine spezifischen Treiber erfordern. Und proprietäre Protokolle, nach denen die Peripheriegeräte und der Host interagieren, erfordern keine Autorisierung (schließlich befindet sich das Gerät innerhalb der vertrauenswürdigen Zone); Daher können diese unsicheren Protokolle, über die das Peripheriegerät und der Host kommunizieren, leicht abgehört werden und sind leicht für einen Replay-Angriff anfällig.
Das. Carder können einen Software- oder Hardware-Verkehrsanalysator verwenden, indem sie ihn direkt an den Port eines bestimmten Peripheriegeräts (z. B. an einen Kartenleser) anschließen, um übertragene Daten zu sammeln. Mithilfe des Verkehrsanalysators erfährt der Carder alle technischen Details des Geldautomatenbetriebs, einschließlich undokumentierter Funktionen seiner Peripherie (z. B. die Funktion zum Ändern der Firmware eines Peripheriegeräts). Dadurch hat der Karteninhaber die volle Kontrolle über den Geldautomaten. Gleichzeitig ist es ziemlich schwierig, das Vorhandensein eines Verkehrsanalysators zu erkennen.
Durch die direkte Steuerung des Banknotenausgabeautomaten können die Kassetten des Geldautomaten geleert werden, ohne dass eine Fixierung in den Protokollen erforderlich ist, die die auf dem Host bereitgestellte Software normalerweise erstellt. Für diejenigen, die mit der Hardware- und Softwarearchitektur von Geldautomaten nicht vertraut sind: So kann Magie wirklich aussehen.
Woher kommen Blackboxen?
Geldautomatenanbieter und Subunternehmer entwickeln Debugging-Tools zur Diagnose der Geldautomaten-Hardware, einschließlich der für Bargeldabhebungen verantwortlichen Elektromechanik. Zu diesen Dienstprogrammen gehören:
ATMDesk-Bedienfeld
RapidFire ATM XFS-Bedienfeld
Vergleichende Eigenschaften mehrerer Diagnoseprogramme
Der Zugriff auf solche Dienstprogramme ist normalerweise auf personalisierte Token beschränkt; Und sie funktionieren nur, wenn die Tür des Geldautomatentresors geöffnet ist. Allerdings können Carder einfach ein paar Bytes im Binärcode des Dienstprogramms ersetzen
Die letzte Meile und das Fake Processing Center
Die direkte Interaktion mit Peripheriegeräten ohne Kommunikation mit dem Host ist nur eine der effektivsten Kardiermethoden. Andere Tricks basieren auf der Tatsache, dass wir über verschiedenste Netzwerkschnittstellen verfügen, über die der Geldautomat mit der Außenwelt kommuniziert. Von X.25 bis Ethernet und Mobilfunk. Viele Geldautomaten können mithilfe des Shodan-Dienstes identifiziert und lokalisiert werden (die prägnantesten Anweisungen für die Nutzung werden vorgestellt).
Die „letzte Meile“ der Kommunikation zwischen dem Geldautomaten und dem Bearbeitungszentrum ist reich an einer Vielzahl von Technologien, die als Einstiegspunkt für den Carder dienen können. Die Interaktion kann über eine drahtgebundene (Telefonleitung oder Ethernet) oder drahtlose (Wi-Fi, Mobilfunk: CDMA, GSM, UMTS, LTE) Kommunikationsmethode erfolgen. Zu den Sicherheitsmechanismen können gehören: 1) Hardware oder Software zur Unterstützung von VPN (sowohl standardmäßig, im Betriebssystem integriert als auch von Drittanbietern); 2) SSL/TLS (sowohl spezifisch für ein bestimmtes Geldautomatenmodell als auch von Drittherstellern); 3) Verschlüsselung; 4) Nachrichtenauthentifizierung.
Aber
Eine der Hauptanforderungen des PCI DSS besteht darin, dass alle sensiblen Daten bei der Übertragung über ein öffentliches Netzwerk verschlüsselt werden müssen. Und wir haben Netzwerke, die ursprünglich so konzipiert waren, dass die darin enthaltenen Daten vollständig verschlüsselt sind! Deshalb ist es verlockend zu sagen: „Unsere Daten sind verschlüsselt, weil wir WLAN und GSM nutzen.“ Viele dieser Netzwerke bieten jedoch keinen ausreichenden Schutz. Mobilfunknetze aller Generationen werden schon lange gehackt. Endgültig und unwiderruflich. Und es gibt sogar Anbieter, die Geräte zum Abfangen der darüber übertragenen Daten anbieten.
Daher kann entweder bei unsicherer Kommunikation oder in einem „privaten“ Netzwerk, in dem jeder Geldautomat über sich selbst an andere Geldautomaten sendet, ein „Fake Processing Center“-MiTM-Angriff initiiert werden, der dazu führt, dass der Karteninhaber die Kontrolle über die übertragenen Datenströme übernimmt zwischen Geldautomat und Bearbeitungszentrum.
Die folgende Abbildung
Dump-Befehle eines gefälschten Verarbeitungszentrums
Source: habr.com