Las cajas de hierro con dinero en las calles de la ciudad no pueden dejar de atraer la atención de los amantes del dinero rápido. Y si en el pasado se utilizaban métodos puramente físicos para vaciar los cajeros automáticos, ahora cada vez se emplean más hábiles trucos relacionados con los ordenadores. Ahora, el más relevante de ellos es la "caja negra" con una microcomputadora de placa única en su interior. Hablaremos de cómo funciona en este artículo.
Presidente de la Asociación Internacional de Fabricantes de Cajeros Automáticos (ATMIA) "cajas negras" como la amenaza más peligrosa para los cajeros automáticos.
Un cajero automático típico es un conjunto de componentes electromecánicos listos para usar colocados en una carcasa. Los fabricantes de cajeros automáticos construyen sus creaciones de hierro a partir de un dispensador de billetes, un lector de tarjetas y otros componentes ya desarrollados por proveedores externos. Una especie de constructor LEGO para adultos. Los componentes terminados se colocan en la caja del cajero automático, que generalmente consta de dos compartimentos: el compartimento superior ("gabinete" o "área de servicio") y el compartimento inferior (caja fuerte). Todos los componentes electromecánicos están conectados a través de puertos USB y COM a la unidad del sistema, que en este caso actúa como host. En los modelos más antiguos de cajeros automáticos, también puede encontrar conexiones a través del bus SDC.
La evolución de las tarjetas de cajero automático
Los cajeros automáticos con grandes cantidades dentro invariablemente atraen a los cardadores. Al principio, los carders explotaban solo fallas físicas graves en la seguridad de los cajeros automáticos: usaban skimmers y shimmers para robar datos de las bandas magnéticas; pinpads falsos y cámaras para ver códigos pin; e incluso cajeros automáticos falsos.
Luego, cuando los cajeros automáticos comenzaron a equiparse con un software unificado que funciona según estándares comunes, como XFS (extensiones para servicios financieros), los carders comenzaron a atacar los cajeros automáticos con virus informáticos.
Entre ellos se encuentran Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii y muchos otros programas maliciosos con y sin nombre que los carders plantan en el host del cajero automático a través de una unidad flash de arranque o a través del puerto TCP de control remoto.
Proceso de infección de cajero automático
Habiendo capturado el subsistema XFS, el malware puede enviar comandos al dispensador de billetes sin autorización. O dar comandos al lector de tarjetas: leer/escribir la banda magnética de una tarjeta bancaria e incluso extraer el historial de transacciones almacenado en el chip de la tarjeta EMV. EPP (Encrypting PIN Pad; PINpad encriptado) merece una atención especial. En general, se acepta que el código PIN ingresado en él no puede ser interceptado. Sin embargo, XFS le permite usar el pinpad EPP en dos modos: 1) modo abierto (para ingresar varios parámetros numéricos, como el monto a cobrar); 2) modo seguro (EPP cambia a él cuando necesita ingresar un código PIN o clave de cifrado). Esta función de XFS permite que el carder lleve a cabo un ataque MiTM: interceptar el comando de activación del modo seguro que se envía desde el host al EPP y luego decirle al pinpad del EPP que el trabajo debe continuar en modo abierto. En respuesta a este mensaje, EPP envía pulsaciones de teclas en texto sin formato.
El principio de funcionamiento de la "caja negra".
En años recientes, Europol, el malware para cajeros automáticos ha evolucionado significativamente. Los usuarios de tarjetas ya no necesitan tener acceso físico a un cajero automático para infectarlo. Pueden infectar cajeros automáticos mediante ataques remotos a la red utilizando para ello la red corporativa del banco. Grupo IB, en 2016 en más de 10 países de Europa, los cajeros automáticos fueron objeto de ataques remotos.
Ataque a cajero automático a través de acceso remoto
Los antivirus, el bloqueo de actualizaciones de firmware, el bloqueo de puertos USB y el cifrado del disco duro protegen hasta cierto punto el cajero automático de los ataques de virus de los carders. Pero, ¿qué sucede si el carder no ataca al host, sino que se conecta directamente a la periferia (a través de RS232 o USB), a un lector de tarjetas, un pin pad o un cajero automático?
El primer contacto con la "caja negra".
Hoy en día, los cardadores expertos en tecnología , utilizando para el robo de dinero en efectivo de un cajero automático llamado. Las "cajas negras" son microcomputadoras de placa única programadas específicamente, como la Raspberry Pi. Las "cajas negras" vacían los cajeros automáticos de una manera completamente mágica (desde el punto de vista de los banqueros). Los cardadores conectan su dispositivo mágico directamente al dispensador de billetes; extraer de él todo el dinero disponible. Tal ataque pasa por alto todo el software de protección implementado en el host del cajero automático (antivirus, control de integridad, cifrado de disco completo, etc.).
"Caja negra" basada en Raspberry Pi
Los mayores fabricantes de cajeros automáticos y agencias de inteligencia gubernamentales, ante varias implementaciones de la "caja negra", que estas ingeniosas computadoras inducen a los cajeros automáticos a escupir todo el efectivo disponible; 40 billetes cada 20 segundos. Además, los servicios especiales advierten que los carders se dirigen con mayor frecuencia a los cajeros automáticos en farmacias, centros comerciales; y también a los cajeros automáticos que atienden a los automovilistas sobre la marcha.
Al mismo tiempo, para no brillar frente a las cámaras, los cardadores más cautelosos acuden en ayuda de algún socio poco valioso, una mula. Y para que no pueda apropiarse de la "caja negra", utilizan . La funcionalidad clave se elimina de la "caja negra" y se conecta un teléfono inteligente, que se utiliza como canal para la transmisión remota de comandos a la "caja negra" truncada a través del protocolo IP.
Modificación de la "caja negra", con activación vía acceso remoto
¿Cómo se ve desde el punto de vista de los banqueros? En las grabaciones de las videocámaras-fijadoras sucede algo así: una determinada persona abre el compartimiento superior (área de servicio), conecta la “caja mágica” al cajero automático, cierra el compartimiento superior y se va. Un poco más tarde, varias personas, aparentemente clientes comunes, se acercan al cajero automático y retiran grandes cantidades de dinero. El cardador luego regresa y recupera su pequeño dispositivo mágico del cajero automático. Por lo general, el hecho de un ataque a un cajero automático con una "caja negra" se detecta solo después de unos días: cuando una caja fuerte vacía y un registro de retiro de efectivo no coinciden. Como resultado, los empleados bancarios se quedan con sólo .
Análisis de comunicaciones ATM
Como se indicó anteriormente, la interacción entre la unidad del sistema y los dispositivos periféricos se realiza a través de USB, RS232 o SDC. La tarjeta se conecta directamente al puerto del dispositivo periférico y le envía comandos, sin pasar por el host. Esto es bastante simple porque las interfaces estándar no requieren controladores específicos. Y los protocolos propietarios, según los cuales interactúan los periféricos y el host, no requieren autorización (después de todo, el dispositivo se encuentra dentro de la zona de confianza); y por lo tanto, estos protocolos inseguros, a través de los cuales se comunican el periférico y el host, son fácilmente espiados y fácilmente susceptibles a un ataque de repetición.
Eso. los carders pueden usar un analizador de tráfico de software o hardware, conectándolo directamente al puerto de un dispositivo periférico específico (por ejemplo, a un lector de tarjetas) para recopilar los datos transmitidos. Usando el analizador de tráfico, el carder aprende todos los detalles técnicos de la operación del cajero automático, incluidas las funciones no documentadas de su periferia (por ejemplo, la función de cambiar el firmware de un dispositivo periférico). Como resultado, el carder tiene control total sobre el cajero automático. Al mismo tiempo, es bastante difícil detectar la presencia de un analizador de tráfico.
El control directo sobre el dispensador de billetes significa que los casetes del cajero automático se pueden vaciar sin ninguna fijación en los registros que normalmente hace el software implementado en el host. Para aquellos que no están familiarizados con la arquitectura de hardware y software de los cajeros automáticos, así es realmente como puede verse la magia.
¿De dónde vienen las cajas negras?
Los proveedores y subcontratistas de cajeros automáticos desarrollan herramientas de depuración para diagnosticar el hardware del cajero automático, incluidos los electromecánicos responsables de los retiros de efectivo. Estas utilidades incluyen: , . La siguiente figura muestra algunas más de estas utilidades de diagnóstico.
Panel de control ATMDesk
Panel de control RapidFire ATM XFS
Características comparativas de varias utilidades de diagnóstico.
El acceso a dichas utilidades normalmente se limita a fichas personalizadas; y solo funcionan cuando la puerta de la caja fuerte del cajero automático está abierta. Sin embargo, simplemente reemplazando algunos bytes en el código binario de la utilidad, carders Retiro de efectivo de "prueba": sin pasar por los cheques proporcionados por el fabricante de servicios públicos. Los cardadores instalan estas utilidades modificadas en su computadora portátil o microcomputadora de placa única, que luego conectan directamente a un dispensador de billetes para robar efectivo.
La última milla y el centro de procesamiento falso
La interacción directa con los periféricos, sin comunicarse con el host, es solo uno de los métodos efectivos de cardado. Otros trucos se basan en el hecho de que tenemos una amplia variedad de interfaces de red a través de las cuales el cajero automático se comunica con el mundo exterior. De X.25 a Ethernet y Celular. Muchos cajeros automáticos se pueden identificar y ubicar usando el servicio Shodan (las instrucciones más concisas para usarlo se presentan ), seguido de un ataque que parasita una configuración de seguridad vulnerable, pereza del administrador y comunicaciones vulnerables entre varios departamentos del banco.
La "última milla" de comunicación entre el cajero automático y el centro de procesamiento es rica en una amplia variedad de tecnologías que pueden servir como punto de entrada para el carder. La interacción se puede llevar a cabo a través de un método de comunicación alámbrico (línea telefónica o Ethernet) o inalámbrico (Wi-Fi, celular: CDMA, GSM, UMTS, LTE). Los mecanismos de seguridad pueden incluir: 1) hardware o software para admitir VPN (tanto estándar, integrado en el sistema operativo como de terceros); 2) SSL/TLS (tanto específicos de un modelo de cajero automático en particular como de terceros fabricantes); 3) cifrado; 4) autenticación de mensajes.
Sino que para los bancos las tecnologías enumeradas son muy complejas y, por lo tanto, no se preocupan por la protección especial de la red; o implementarlo con errores. En el mejor de los casos, el cajero se conecta al servidor VPN, y ya dentro de la red privada, se conecta al centro de procesamiento. Además, incluso si los bancos logran implementar los mecanismos de defensa anteriores, el carder ya tiene ataques efectivos contra ellos. Eso. incluso si la seguridad cumple con el estándar PCI DSS, los cajeros automáticos siguen siendo vulnerables.
Uno de los requisitos principales de PCI DSS es que todos los datos confidenciales, cuando se transmiten a través de una red pública, deben cifrarse. ¡Y tenemos redes que fueron diseñadas originalmente de tal manera que los datos en ellas están completamente encriptados! Por lo tanto, es tentador decir: "Nuestros datos están encriptados porque usamos Wi-Fi y GSM". Sin embargo, muchas de estas redes no brindan suficiente protección. Las redes celulares de todas las generaciones han sido pirateadas durante mucho tiempo. Final e irrevocable. E incluso hay proveedores que ofrecen dispositivos para interceptar los datos que se transmiten a través de ellos.
Por lo tanto, ya sea en una comunicación insegura o en una red "privada", donde cada cajero automático transmite sobre sí mismo a otros cajeros automáticos, se puede iniciar un ataque MiTM de "centro de procesamiento falso", lo que llevará a la persona que realiza la tarjeta a tomar el control de los flujos de datos transmitidos. entre el cajero automático y el centro de procesamiento.
Miles de cajeros automáticos están potencialmente afectados. En el camino a un centro de procesamiento genuino, el cardrer inserta el suyo propio, falso. Este centro de procesamiento falso ordena al cajero automático que dispense billetes. Al mismo tiempo, el carder configura su centro de procesamiento de tal manera que el retiro de efectivo se produce independientemente de qué tarjeta se inserte en el cajero automático, incluso si ha caducado o tiene un saldo cero. Lo principal es que el centro de procesamiento falso lo "reconoce". Un centro de procesamiento falso puede ser una artesanía o un simulador de centro de procesamiento, diseñado originalmente para depurar la configuración de la red (otro regalo del "fabricante" a los cardadores).
la siguiente figura volcado de comandos para emitir 40 billetes desde el cuarto casete, enviado desde un centro de procesamiento falso y almacenado en registros de software de cajero automático. Parecen casi reales.
Comandos de volcado de un centro de procesamiento falso
Fuente: habr.com