Las cajas de hierro con dinero en las calles de la ciudad no pueden dejar de atraer la atención de los amantes del dinero rápido. Y si en el pasado se utilizaban métodos puramente físicos para vaciar los cajeros automáticos, ahora cada vez se emplean más hábiles trucos relacionados con los ordenadores. Ahora, el más relevante de ellos es la "caja negra" con una microcomputadora de placa única en su interior. Hablaremos de cómo funciona en este artículo.
Presidente de la Asociación Internacional de Fabricantes de Cajeros Automáticos (ATMIA)
Un cajero automático típico es un conjunto de componentes electromecánicos listos para usar colocados en una carcasa. Los fabricantes de cajeros automáticos construyen sus creaciones de hierro a partir de un dispensador de billetes, un lector de tarjetas y otros componentes ya desarrollados por proveedores externos. Una especie de constructor LEGO para adultos. Los componentes terminados se colocan en la caja del cajero automático, que generalmente consta de dos compartimentos: el compartimento superior ("gabinete" o "área de servicio") y el compartimento inferior (caja fuerte). Todos los componentes electromecánicos están conectados a través de puertos USB y COM a la unidad del sistema, que en este caso actúa como host. En los modelos más antiguos de cajeros automáticos, también puede encontrar conexiones a través del bus SDC.
La evolución de las tarjetas de cajero automático
Los cajeros automáticos con grandes cantidades dentro invariablemente atraen a los cardadores. Al principio, los carders explotaban solo fallas físicas graves en la seguridad de los cajeros automáticos: usaban skimmers y shimmers para robar datos de las bandas magnéticas; pinpads falsos y cámaras para ver códigos pin; e incluso cajeros automáticos falsos.
Luego, cuando los cajeros automáticos comenzaron a equiparse con un software unificado que funciona según estándares comunes, como XFS (extensiones para servicios financieros), los carders comenzaron a atacar los cajeros automáticos con virus informáticos.
Entre ellos se encuentran Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii y muchos otros programas maliciosos con y sin nombre que los carders plantan en el host del cajero automático a través de una unidad flash de arranque o a través del puerto TCP de control remoto.
Proceso de infección de cajero automático
Habiendo capturado el subsistema XFS, el malware puede enviar comandos al dispensador de billetes sin autorización. O dar comandos al lector de tarjetas: leer/escribir la banda magnética de una tarjeta bancaria e incluso extraer el historial de transacciones almacenado en el chip de la tarjeta EMV. EPP (Encrypting PIN Pad; PINpad encriptado) merece una atención especial. En general, se acepta que el código PIN ingresado en él no puede ser interceptado. Sin embargo, XFS le permite usar el pinpad EPP en dos modos: 1) modo abierto (para ingresar varios parámetros numéricos, como el monto a cobrar); 2) modo seguro (EPP cambia a él cuando necesita ingresar un código PIN o clave de cifrado). Esta función de XFS permite que el carder lleve a cabo un ataque MiTM: interceptar el comando de activación del modo seguro que se envía desde el host al EPP y luego decirle al pinpad del EPP que el trabajo debe continuar en modo abierto. En respuesta a este mensaje, EPP envía pulsaciones de teclas en texto sin formato.
El principio de funcionamiento de la "caja negra".
En años recientes,
Ataque a cajero automático a través de acceso remoto
Los antivirus, el bloqueo de actualizaciones de firmware, el bloqueo de puertos USB y el cifrado del disco duro protegen hasta cierto punto el cajero automático de los ataques de virus de los carders. Pero, ¿qué sucede si el carder no ataca al host, sino que se conecta directamente a la periferia (a través de RS232 o USB), a un lector de tarjetas, un pin pad o un cajero automático?
El primer contacto con la "caja negra".
Hoy en día, los cardadores expertos en tecnología
"Caja negra" basada en Raspberry Pi
Los mayores fabricantes de cajeros automáticos y agencias de inteligencia gubernamentales, ante varias implementaciones de la "caja negra",
Al mismo tiempo, para no brillar frente a las cámaras, los cardadores más cautelosos acuden en ayuda de algún socio poco valioso, una mula. Y para que no pueda apropiarse de la "caja negra", utilizan
Modificación de la "caja negra", con activación vía acceso remoto
¿Cómo se ve desde el punto de vista de los banqueros? En las grabaciones de las videocámaras-fijadoras sucede algo así: una determinada persona abre el compartimiento superior (área de servicio), conecta la “caja mágica” al cajero automático, cierra el compartimiento superior y se va. Un poco más tarde, varias personas, aparentemente clientes comunes, se acercan al cajero automático y retiran grandes cantidades de dinero. El cardador luego regresa y recupera su pequeño dispositivo mágico del cajero automático. Por lo general, el hecho de un ataque a un cajero automático con una "caja negra" se detecta solo después de unos días: cuando una caja fuerte vacía y un registro de retiro de efectivo no coinciden. Como resultado, los empleados bancarios se quedan con sólo
Análisis de comunicaciones ATM
Como se indicó anteriormente, la interacción entre la unidad del sistema y los dispositivos periféricos se realiza a través de USB, RS232 o SDC. La tarjeta se conecta directamente al puerto del dispositivo periférico y le envía comandos, sin pasar por el host. Esto es bastante simple porque las interfaces estándar no requieren controladores específicos. Y los protocolos propietarios, según los cuales interactúan los periféricos y el host, no requieren autorización (después de todo, el dispositivo se encuentra dentro de la zona de confianza); y por lo tanto, estos protocolos inseguros, a través de los cuales se comunican el periférico y el host, son fácilmente espiados y fácilmente susceptibles a un ataque de repetición.
Eso. los carders pueden usar un analizador de tráfico de software o hardware, conectándolo directamente al puerto de un dispositivo periférico específico (por ejemplo, a un lector de tarjetas) para recopilar los datos transmitidos. Usando el analizador de tráfico, el carder aprende todos los detalles técnicos de la operación del cajero automático, incluidas las funciones no documentadas de su periferia (por ejemplo, la función de cambiar el firmware de un dispositivo periférico). Como resultado, el carder tiene control total sobre el cajero automático. Al mismo tiempo, es bastante difícil detectar la presencia de un analizador de tráfico.
El control directo sobre el dispensador de billetes significa que los casetes del cajero automático se pueden vaciar sin ninguna fijación en los registros que normalmente hace el software implementado en el host. Para aquellos que no están familiarizados con la arquitectura de hardware y software de los cajeros automáticos, así es realmente como puede verse la magia.
¿De dónde vienen las cajas negras?
Los proveedores y subcontratistas de cajeros automáticos desarrollan herramientas de depuración para diagnosticar el hardware del cajero automático, incluidos los electromecánicos responsables de los retiros de efectivo. Estas utilidades incluyen:
Panel de control ATMDesk
Panel de control RapidFire ATM XFS
Características comparativas de varias utilidades de diagnóstico.
El acceso a dichas utilidades normalmente se limita a fichas personalizadas; y solo funcionan cuando la puerta de la caja fuerte del cajero automático está abierta. Sin embargo, simplemente reemplazando algunos bytes en el código binario de la utilidad, carders
La última milla y el centro de procesamiento falso
La interacción directa con los periféricos, sin comunicarse con el host, es solo uno de los métodos efectivos de cardado. Otros trucos se basan en el hecho de que tenemos una amplia variedad de interfaces de red a través de las cuales el cajero automático se comunica con el mundo exterior. De X.25 a Ethernet y Celular. Muchos cajeros automáticos se pueden identificar y ubicar usando el servicio Shodan (las instrucciones más concisas para usarlo se presentan
La "última milla" de comunicación entre el cajero automático y el centro de procesamiento es rica en una amplia variedad de tecnologías que pueden servir como punto de entrada para el carder. La interacción se puede llevar a cabo a través de un método de comunicación alámbrico (línea telefónica o Ethernet) o inalámbrico (Wi-Fi, celular: CDMA, GSM, UMTS, LTE). Los mecanismos de seguridad pueden incluir: 1) hardware o software para admitir VPN (tanto estándar, integrado en el sistema operativo como de terceros); 2) SSL/TLS (tanto específicos de un modelo de cajero automático en particular como de terceros fabricantes); 3) cifrado; 4) autenticación de mensajes.
Sino
Uno de los requisitos principales de PCI DSS es que todos los datos confidenciales, cuando se transmiten a través de una red pública, deben cifrarse. ¡Y tenemos redes que fueron diseñadas originalmente de tal manera que los datos en ellas están completamente encriptados! Por lo tanto, es tentador decir: "Nuestros datos están encriptados porque usamos Wi-Fi y GSM". Sin embargo, muchas de estas redes no brindan suficiente protección. Las redes celulares de todas las generaciones han sido pirateadas durante mucho tiempo. Final e irrevocable. E incluso hay proveedores que ofrecen dispositivos para interceptar los datos que se transmiten a través de ellos.
Por lo tanto, ya sea en una comunicación insegura o en una red "privada", donde cada cajero automático transmite sobre sí mismo a otros cajeros automáticos, se puede iniciar un ataque MiTM de "centro de procesamiento falso", lo que llevará a la persona que realiza la tarjeta a tomar el control de los flujos de datos transmitidos. entre el cajero automático y el centro de procesamiento.
la siguiente figura
Comandos de volcado de un centro de procesamiento falso
Fuente: habr.com