Eisenkisten mit Geld, die auf den Straßen der Stadt stehen, ziehen die Aufmerksamkeit von Liebhabern des schnellen Geldes auf sich. Und wurden früher zum Entleeren von Geldautomaten noch rein physische Methoden genutzt, so kommen heute immer mehr geschickte Tricks rund um den Computer zum Einsatz. Das relevanteste davon ist nun die „Black Box“ mit einem Einplatinen-Mikrocomputer im Inneren. Wir werden in diesem Artikel darüber sprechen, wie es funktioniert.
Leiter der International Association of ATM Manufacturers (ATMIA) „Black Boxes“ gelten als größte Bedrohung für Geldautomaten.
Ein typischer Geldautomat ist ein Satz vorgefertigter elektromechanischer Komponenten, die in einem Gehäuse untergebracht sind. Geldautomatenhersteller bauen ihre Eisenkreationen aus einem Geldscheinautomaten, einem Kartenleser und anderen Komponenten, die bereits von Drittanbietern entwickelt wurden. Eine Art LEGO-Konstrukteur für Erwachsene. Fertige Komponenten werden in den Geldautomatenkoffer gelegt, der normalerweise aus zwei Fächern besteht: dem oberen Fach („Schrank“ oder „Servicebereich“) und dem unteren Fach (Tresor). Alle elektromechanischen Komponenten sind über USB- und COM-Ports mit der Systemeinheit verbunden, die in diesem Fall als Host fungiert. Bei älteren Geldautomatenmodellen finden Sie auch Anschlüsse über den SDC-Bus.
Die Entwicklung der Geldautomatenkarten
Geldautomaten mit riesigen Beträgen locken Kartenkunden immer an. Zunächst nutzten Carder nur grobe physische Mängel in der Sicherheit von Geldautomaten aus – sie nutzten Skimmer und Shimmer, um Daten von Magnetstreifen zu stehlen; gefälschte Pin-Pads und Kameras zum Anzeigen von Pincodes; und sogar gefälschte Geldautomaten.
Als dann Geldautomaten mit einheitlicher Software ausgestattet wurden, die nach gängigen Standards wie XFS (eXtensions for Financial Services) funktionierte, begannen Karteninhaber, Geldautomaten mit Computerviren anzugreifen.
Darunter sind Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii und zahlreiche andere benannte und unbenannte Malware, die Carder entweder über ein bootfähiges Flash-Laufwerk oder über den ferngesteuerten TCP-Port auf dem ATM-Host einschleusen.
Infektionsprozess von Geldautomaten
Nachdem das XFS-Subsystem erfasst wurde, kann die Schadsoftware unbefugt Befehle an den Banknotenausgabeautomaten erteilen. Oder geben Sie Befehle an den Kartenleser: Lesen/beschreiben Sie den Magnetstreifen einer Bankkarte und extrahieren Sie sogar den auf dem EMV-Kartenchip gespeicherten Transaktionsverlauf. EPP (Encrypting PIN Pad; verschlüsseltes Pinpad) verdient besondere Aufmerksamkeit. Es ist allgemein anerkannt, dass der darauf eingegebene PIN-Code nicht abgefangen werden kann. Mit XFS können Sie das EPP-Pinpad jedoch in zwei Modi verwenden: 1) im offenen Modus (zur Eingabe verschiedener numerischer Parameter, z. B. des auszuzahlenden Betrags); 2) abgesicherter Modus (EPP wechselt in diesen Modus, wenn Sie einen PIN-Code oder einen Verschlüsselungsschlüssel eingeben müssen). Diese Funktion von Als Antwort auf diese Nachricht sendet EPP Tastenanschläge im Klartext.
Das Funktionsprinzip der „Black Box“
In den vergangenen Jahren, Laut Europol hat sich die Schadsoftware für Geldautomaten erheblich weiterentwickelt. Karteninhaber müssen keinen physischen Zugang mehr zu einem Geldautomaten haben, um diesen zu infizieren. Sie können Geldautomaten durch Remote-Netzwerkangriffe infizieren und dabei das Unternehmensnetzwerk der Bank nutzen. Gruppe IB: Im Jahr 2016 wurden Geldautomaten in mehr als zehn Ländern Europas aus der Ferne angegriffen.
Geldautomaten-Angriff per Fernzugriff
Antivirenprogramme, die Firmware-Updates blockieren, USB-Anschlüsse blockieren und die Festplatte verschlüsseln – schützen den Geldautomaten bis zu einem gewissen Grad vor Virenangriffen durch Carder. Was aber, wenn der Carder nicht den Host angreift, sondern sich direkt mit der Peripherie verbindet (über RS232 oder USB) – zu einem Kartenleser, Pinpad oder Geldautomaten?
Die erste Bekanntschaft mit der „Black Box“
Heute technisch versierte Carder , Verwendung zum Diebstahl von Bargeld aus einem sogenannten Geldautomaten. „Black Boxes“ sind speziell programmierte Einplatinen-Mikrocomputer, wie der Raspberry Pi. „Black Boxes“ leeren Geldautomaten auf saubere, völlig magische (aus Sicht der Banker) Art und Weise. Carder schließen ihr Zaubergerät direkt an den Banknotenausgabeautomaten an; um daraus alles verfügbare Geld zu extrahieren. Ein solcher Angriff umgeht sämtliche auf dem ATM-Host bereitgestellte Schutzsoftware (Antivirenprogramme, Integritätskontrolle, vollständige Festplattenverschlüsselung usw.).
„Black Box“ basierend auf Raspberry Pi
Die größten Hersteller von Geldautomaten und staatliche Geheimdienste waren mit mehreren Implementierungen der „Black Box“ konfrontiert. dass diese genialen Computer Geldautomaten dazu bringen, alles verfügbare Bargeld auszuspucken; 40 Banknoten alle 20 Sekunden. Sonderdienste warnen außerdem, dass Carder am häufigsten auf Geldautomaten in Apotheken und Einkaufszentren abzielen. und auch an Geldautomaten, die Autofahrer unterwegs bedienen.
Um vor den Kameras nicht zu glänzen, greifen die vorsichtigsten Carder gleichzeitig zu Hilfe eines nicht sehr wertvollen Partners, eines Maultiers. Und damit er sich die „Black Box“ nicht aneignen konnte, nutzen sie sie . Die Schlüsselfunktionalität wird aus der „Black Box“ entfernt und ein Smartphone daran angeschlossen, das als Kanal für die Fernübertragung von Befehlen an die verkürzte „Black Box“ über das IP-Protokoll dient.
Modifikation der „Black Box“, mit Aktivierung per Fernzugriff
Wie sieht es aus Sicht der Banker aus? Auf den Aufnahmen von Videokameras-Fixatoren passiert etwa Folgendes: Eine bestimmte Person öffnet das obere Fach (Servicebereich), verbindet die „Zauberbox“ mit dem Geldautomaten, schließt das obere Fach und geht. Wenig später nähern sich mehrere Menschen, scheinbar normale Kunden, dem Geldautomaten und heben riesige Geldbeträge ab. Dann kehrt der Carder zurück und holt sein kleines magisches Gerät vom Geldautomaten. Normalerweise wird die Tatsache eines Geldautomatenangriffs mit einer „Blackbox“ erst nach einigen Tagen erkannt: wenn ein leerer Safe und ein Bargeldabhebungsprotokoll nicht übereinstimmen. Den Bankangestellten bleibt dadurch nur noch etwas übrig .
Analyse der ATM-Kommunikation
Wie oben erwähnt, erfolgt die Interaktion zwischen Systemeinheit und Peripheriegeräten über USB, RS232 oder SDC. Der Carder verbindet sich direkt mit dem Port des Peripheriegeräts und sendet Befehle an dieses – unter Umgehung des Hosts. Dies ist ganz einfach, da die Standardschnittstellen keine spezifischen Treiber erfordern. Und proprietäre Protokolle, nach denen die Peripheriegeräte und der Host interagieren, erfordern keine Autorisierung (schließlich befindet sich das Gerät innerhalb der vertrauenswürdigen Zone); Daher können diese unsicheren Protokolle, über die das Peripheriegerät und der Host kommunizieren, leicht abgehört werden und sind leicht für einen Replay-Angriff anfällig.
Das. Carder können einen Software- oder Hardware-Verkehrsanalysator verwenden, indem sie ihn direkt an den Port eines bestimmten Peripheriegeräts (z. B. an einen Kartenleser) anschließen, um übertragene Daten zu sammeln. Mithilfe des Verkehrsanalysators erfährt der Carder alle technischen Details des Geldautomatenbetriebs, einschließlich undokumentierter Funktionen seiner Peripherie (z. B. die Funktion zum Ändern der Firmware eines Peripheriegeräts). Dadurch hat der Karteninhaber die volle Kontrolle über den Geldautomaten. Gleichzeitig ist es ziemlich schwierig, das Vorhandensein eines Verkehrsanalysators zu erkennen.
Durch die direkte Steuerung des Banknotenausgabeautomaten können die Kassetten des Geldautomaten geleert werden, ohne dass eine Fixierung in den Protokollen erforderlich ist, die die auf dem Host bereitgestellte Software normalerweise erstellt. Für diejenigen, die mit der Hardware- und Softwarearchitektur von Geldautomaten nicht vertraut sind: So kann Magie wirklich aussehen.
Woher kommen Blackboxen?
Geldautomatenanbieter und Subunternehmer entwickeln Debugging-Tools zur Diagnose der Geldautomaten-Hardware, einschließlich der für Bargeldabhebungen verantwortlichen Elektromechanik. Zu diesen Dienstprogrammen gehören: , . Die folgende Abbildung zeigt einige weitere dieser Diagnose-Dienstprogramme.
ATMDesk-Bedienfeld
RapidFire ATM XFS-Bedienfeld
Vergleichende Eigenschaften mehrerer Diagnoseprogramme
Der Zugriff auf solche Dienstprogramme ist normalerweise auf personalisierte Token beschränkt; Und sie funktionieren nur, wenn die Tür des Geldautomatentresors geöffnet ist. Allerdings können Carder einfach ein paar Bytes im Binärcode des Dienstprogramms ersetzen „Test“-Bargeldabhebung – unter Umgehung der vom Hersteller des Versorgungsunternehmens bereitgestellten Schecks. Carder installieren diese modifizierten Dienstprogramme auf ihrem Laptop oder Einplatinen-Mikrocomputer, den sie dann direkt an einen Banknotenautomaten anschließen, um Bargeld zu stehlen.
Die letzte Meile und das Fake Processing Center
Die direkte Interaktion mit Peripheriegeräten ohne Kommunikation mit dem Host ist nur eine der effektivsten Kardiermethoden. Andere Tricks basieren auf der Tatsache, dass wir über verschiedenste Netzwerkschnittstellen verfügen, über die der Geldautomat mit der Außenwelt kommuniziert. Von X.25 bis Ethernet und Mobilfunk. Viele Geldautomaten können mithilfe des Shodan-Dienstes identifiziert und lokalisiert werden (die prägnantesten Anweisungen für die Nutzung werden vorgestellt). ), gefolgt von einem Angriff, der eine anfällige Sicherheitskonfiguration, Faulheit des Administrators und anfällige Kommunikation zwischen verschiedenen Abteilungen der Bank parasitiert.
Die „letzte Meile“ der Kommunikation zwischen dem Geldautomaten und dem Bearbeitungszentrum ist reich an einer Vielzahl von Technologien, die als Einstiegspunkt für den Carder dienen können. Die Interaktion kann über eine drahtgebundene (Telefonleitung oder Ethernet) oder drahtlose (Wi-Fi, Mobilfunk: CDMA, GSM, UMTS, LTE) Kommunikationsmethode erfolgen. Zu den Sicherheitsmechanismen können gehören: 1) Hardware oder Software zur Unterstützung von VPN (sowohl standardmäßig, im Betriebssystem integriert als auch von Drittanbietern); 2) SSL/TLS (sowohl spezifisch für ein bestimmtes Geldautomatenmodell als auch von Drittherstellern); 3) Verschlüsselung; 4) Nachrichtenauthentifizierung.
Aber dass die aufgeführten Technologien für Banken sehr komplex sind und sie sich daher nicht um einen besonderen Netzwerkschutz kümmern; oder mit Fehlern umsetzen. Im besten Fall verbindet sich der Geldautomat mit dem VPN-Server und bereits im privaten Netzwerk mit dem Rechenzentrum. Selbst wenn es den Banken gelingt, die oben genannten Abwehrmechanismen umzusetzen, verfügt der Carder darüber hinaus bereits über wirksame Angriffe gegen sie. Das. Selbst wenn die Sicherheit dem PCI-DSS-Standard entspricht, sind Geldautomaten immer noch anfällig.
Eine der Hauptanforderungen des PCI DSS besteht darin, dass alle sensiblen Daten bei der Übertragung über ein öffentliches Netzwerk verschlüsselt werden müssen. Und wir haben Netzwerke, die ursprünglich so konzipiert waren, dass die darin enthaltenen Daten vollständig verschlüsselt sind! Deshalb ist es verlockend zu sagen: „Unsere Daten sind verschlüsselt, weil wir WLAN und GSM nutzen.“ Viele dieser Netzwerke bieten jedoch keinen ausreichenden Schutz. Mobilfunknetze aller Generationen werden schon lange gehackt. Endgültig und unwiderruflich. Und es gibt sogar Anbieter, die Geräte zum Abfangen der darüber übertragenen Daten anbieten.
Daher kann entweder bei unsicherer Kommunikation oder in einem „privaten“ Netzwerk, in dem jeder Geldautomat über sich selbst an andere Geldautomaten sendet, ein „Fake Processing Center“-MiTM-Angriff initiiert werden, der dazu führt, dass der Karteninhaber die Kontrolle über die übertragenen Datenströme übernimmt zwischen Geldautomat und Bearbeitungszentrum.
Tausende Geldautomaten sind potenziell betroffen. Auf dem Weg zu einem echten Bearbeitungszentrum – der Karteninhaber legt sein eigenes, gefälschtes ein. Dieses gefälschte Bearbeitungszentrum weist den Geldautomaten an, Banknoten auszugeben. Gleichzeitig richtet der Carder sein Bearbeitungszentrum so ein, dass die Bargeldabhebung unabhängig davon erfolgt, welche Karte in den Geldautomaten eingeführt wird – auch wenn diese abgelaufen ist oder einen Nullsaldo aufweist. Hauptsache, das gefälschte Verarbeitungszentrum „erkennt“ es. Ein gefälschtes Verarbeitungszentrum kann entweder ein Kunsthandwerk oder ein Verarbeitungszentrumssimulator sein, der ursprünglich zum Debuggen von Netzwerkeinstellungen entwickelt wurde (ein weiteres Geschenk des „Herstellers“ an Carder).
Die folgende Abbildung Dump von Befehlen zur Ausgabe von 40 Banknoten aus der vierten Kassette – gesendet von einem gefälschten Bearbeitungszentrum und gespeichert in den Protokollen der Geldautomatensoftware. Sie sehen fast echt aus.
Dump-Befehle eines gefälschten Verarbeitungszentrums
Source: habr.com