جعبه های آهنی با پول که در خیابان های شهر ایستاده اند نمی توانند توجه دوستداران پول سریع را به خود جلب کنند. و اگر در گذشته از روش های صرفاً فیزیکی برای خالی کردن دستگاه های خودپرداز استفاده می شد، اکنون ترفندهای ماهرانه تری در ارتباط با رایانه استفاده می شود. اکنون مرتبط ترین آنها "جعبه سیاه" با یک میکرو کامپیوتر تک تخته در داخل است. در این مقاله در مورد نحوه عملکرد آن صحبت خواهیم کرد.

- تکامل کارتینگ ATM
- اولین آشنایی با "جعبه سیاه"
- تجزیه و تحلیل ارتباطات ATM
جعبه های سیاه از کجا می آیند؟
- "آخرین مایل" و مرکز پردازش جعلی

رئیس انجمن بین المللی سازندگان دستگاه های خودپرداز (ATMIA) را مشخص کرد "جعبه های سیاه" به عنوان خطرناک ترین تهدید برای دستگاه های خودپرداز.

یک دستگاه خودپرداز معمولی مجموعه ای از قطعات الکترومکانیکی آماده است که در یک محفظه قرار می گیرند. سازندگان دستگاه های خودپرداز محصولات آهنی خود را از دستگاه پخش اسکناس، کارتخوان و سایر قطعاتی که قبلاً توسط فروشندگان شخص ثالث ساخته شده است، می سازند. نوعی سازنده لگو برای بزرگسالان. قطعات تکمیل شده در کیس ATM قرار می گیرند که معمولاً از دو محفظه تشکیل شده است: محفظه بالایی ("کابینت" یا "منطقه خدمات") و محفظه پایینی (ایمن). تمام قطعات الکترومکانیکی از طریق پورت های USB و COM به واحد سیستم متصل می شوند که در این حالت به عنوان میزبان عمل می کند. در مدل‌های قدیمی دستگاه‌های خودپرداز، می‌توانید اتصالات را از طریق گذرگاه SDC نیز پیدا کنید.

سیر تکامل کارتینگ ATM

دستگاه های خودپرداز با مبالغ هنگفتی که در داخل خود دارند، همواره کارتداران را به سمت خود جذب می کنند. در ابتدا، کارت‌سازها تنها از نقص‌های فیزیکی فاحش در امنیت دستگاه‌های خودپرداز بهره‌برداری می‌کردند - آنها از اسکیمرها و شیمرها برای سرقت اطلاعات از نوارهای مغناطیسی استفاده می‌کردند. پین‌پدها و دوربین‌های جعلی برای مشاهده کدهای پین. و حتی دستگاه های خودپرداز تقلبی.

سپس، هنگامی که دستگاه های خودپرداز شروع به تجهیز به نرم افزارهای یکپارچه ای کردند که مطابق با استانداردهای رایج کار می کند، مانند XFS (Extensions برای خدمات مالی)، کارتداران شروع به حمله به دستگاه های خودپرداز با ویروس های رایانه ای کردند.

از جمله آنها می توان به Trojan.Skimmer، Backdoor.Win32.Skimer، Ploutus، ATMii، و بدافزارهای نامشخص و بی نام متعدد دیگری که کارت نویس ها از طریق درایو فلش قابل بوت یا از طریق پورت TCP کنترل از راه دور روی میزبان خودپرداز نصب می کنند.

فرآیند عفونت ATM

با گرفتن زیرسیستم XFS، بدافزار می‌تواند بدون مجوز دستوراتی را به توزیع‌کننده اسکناس صادر کند. یا دستوراتی را به کارت خوان بدهید: نوار مغناطیسی کارت بانکی را بخوانید / بنویسید و حتی تاریخچه تراکنش های ذخیره شده در تراشه کارت EMV را استخراج کنید. EPP (پد پین رمزگذاری شده؛ پین پد رمزگذاری شده) شایسته توجه ویژه است. به طور کلی پذیرفته شده است که کد پین وارد شده روی آن قابل رهگیری نیست. با این حال، XFS به شما امکان می دهد از پین پد EPP در دو حالت استفاده کنید: 1) حالت باز (برای وارد کردن پارامترهای عددی مختلف، مانند مبلغی که باید برداشت شود). 2) حالت ایمن (EPP هنگامی که نیاز به وارد کردن کد پین یا کلید رمزگذاری دارید به آن تغییر می کند). این ویژگی XFS به کارتدار اجازه می‌دهد تا یک حمله MiTM را انجام دهد: دستور فعال‌سازی حالت امن را که از میزبان به EPP ارسال می‌شود، رهگیری کند و سپس به pinpad EPP بگوید که کار باید در حالت باز ادامه یابد. در پاسخ به این پیام، EPP کلید را به صورت متن ساده ارسال می کند.

اصل عملکرد "جعبه سیاه"

در سالهای اخیر، طبق بدافزار Europol، ATM به طور قابل توجهی تکامل یافته است. کارت‌ها دیگر نیازی به دسترسی فیزیکی به دستگاه خودپرداز برای آلوده کردن آن ندارند. آنها می توانند خودپردازها را از طریق حملات شبکه راه دور با استفاده از شبکه شرکتی بانک برای این کار آلوده کنند. طبق گروه IB، در سال 2016 در بیش از 10 کشور اروپا، دستگاه های خودپرداز در معرض حمله از راه دور قرار گرفتند.

حمله ATM از طریق دسترسی از راه دور

آنتی ویروس ها، مسدود کردن به روز رسانی سیستم عامل، مسدود کردن پورت های USB و رمزگذاری هارد دیسک - تا حدی از ATM در برابر حملات ویروس توسط کارتداران محافظت می کند. اما اگر كاردر به هاست حمله نكند، بلكه مستقيماً به حاشيه (از طريق RS232 يا USB) وصل شود - به كارت‌خوان، پد پين يا پول نقد؟

اولین آشنایی با "جعبه سیاه"

امروز، کارت‌بازان با فناوری آنها فقط این کار را انجام می دهند، استفاده برای سرقت پول نقد از دستگاه خودپرداز به اصطلاح. "جعبه های سیاه" به طور خاص میکروکامپیوترهای تک بردی برنامه ریزی شده هستند، مانند Raspberry Pi. «جعبه‌های سیاه» دستگاه‌های خودپرداز را به روشی تمیز و کاملاً جادویی (از دید بانکداران) خالی می‌کنند. کاردرها دستگاه جادویی خود را مستقیماً به دستگاه پخش اسکناس متصل می کنند. برای استخراج تمام پول موجود از آن. چنین حمله ای تمام نرم افزارهای حفاظتی مستقر در میزبان ATM (آنتی ویروس ها، کنترل یکپارچگی، رمزگذاری کامل دیسک و غیره) را دور می زند.

"جعبه سیاه" بر اساس رزبری پای

بزرگ‌ترین تولیدکنندگان دستگاه‌های خودپرداز و سازمان‌های اطلاعاتی دولتی، با چندین پیاده‌سازی «جعبه سیاه» مواجه شدند. هشدار دهدکه این رایانه‌های مبتکرانه دستگاه‌های خودپرداز را وادار می‌کنند تا تمام پول نقد موجود را بیرون بریزند. 40 اسکناس در هر 20 ثانیه. همچنین، خدمات ویژه هشدار می دهد که کارتداران اغلب دستگاه های خودپرداز در داروخانه ها، مراکز خرید را هدف قرار می دهند. و همچنین به دستگاه های خودپرداز که در حال حرکت به رانندگان خدمات می دهند.

در عین حال، برای اینکه جلوی دوربین ها ندرخشند، محتاط ترین کارتن ها به کمک یک شریک نه چندان ارزشمند، یک قاطر، می روند. و برای اینکه نتواند "جعبه سیاه" را به خود اختصاص دهد، استفاده می کنند نمودار زیر. عملکرد کلیدی از "جعبه سیاه" حذف می شود و یک تلفن هوشمند به آن متصل می شود که به عنوان کانالی برای انتقال از راه دور دستورات به "جعبه سیاه" کوتاه شده از طریق پروتکل IP استفاده می شود.

اصلاح "جعبه سیاه"، با فعال سازی از طریق دسترسی از راه دور

از دیدگاه بانکداران چگونه به نظر می رسد؟ در ضبط‌های دوربین‌های فیلمبرداری، چیزی شبیه به موارد زیر اتفاق می‌افتد: شخص خاصی محفظه بالایی (منطقه خدمات) را باز می‌کند، "جعبه جادویی" را به دستگاه خودپرداز متصل می‌کند، محفظه بالایی را می‌بندد و خارج می‌شود. کمی بعد چند نفر که به ظاهر مشتریان عادی هستند به دستگاه خودپرداز نزدیک می شوند و مقدار زیادی پول برداشت می کنند. سپس كارت‌دار برمي‌گردد و دستگاه جادويي كوچك خود را از دستگاه خودپرداز خارج مي‌كند. معمولاً، واقعیت حمله ATM با "جعبه سیاه" تنها پس از چند روز شناسایی می شود: زمانی که یک گاوصندوق خالی و یک گزارش برداشت وجه نقد مطابقت ندارند. در نتیجه فقط کارمندان بانک باقی می مانند سرت رو بخارون.

تجزیه و تحلیل ارتباطات ATM

همانطور که در بالا ذکر شد، تعامل بین واحد سیستم و دستگاه های جانبی از طریق USB، RS232 یا SDC انجام می شود. کاردر مستقیماً به پورت دستگاه جانبی متصل می شود و دستوراتی را به آن ارسال می کند - با عبور از میزبان. این بسیار ساده است زیرا رابط های استاندارد به درایور خاصی نیاز ندارند. و پروتکل های انحصاری، که بر اساس آن دستگاه های جانبی و میزبان تعامل دارند، نیازی به مجوز ندارند (در نهایت، دستگاه در منطقه مورد اعتماد قرار دارد). و بنابراین، این پروتکل‌های ناامن، که دستگاه جانبی و میزبان از طریق آنها با هم ارتباط برقرار می‌کنند، به راحتی شنود می‌شوند و به راحتی در معرض حمله مجدد قرار می‌گیرند.

که کارت خوان ها می توانند از نرم افزار یا تحلیلگر ترافیک سخت افزاری استفاده کنند و آن را مستقیماً به پورت یک دستگاه جانبی خاص (مثلاً به یک کارت خوان) برای جمع آوری داده های ارسالی متصل کنند. با استفاده از تحلیلگر ترافیک، کاردر تمام جزئیات فنی عملکرد ATM، از جمله عملکردهای غیرمستند حاشیه آن (به عنوان مثال، عملکرد تغییر سیستم عامل یک دستگاه جانبی) را یاد می گیرد. در نتیجه، کارت دار کنترل کامل بر دستگاه خودپرداز دارد. در عین حال، تشخیص وجود یک تحلیلگر ترافیک نسبتاً دشوار است.

کنترل مستقیم روی دستگاه پخش اسکناس به این معنی است که کاست های خودپرداز را می توان بدون هیچ گونه تثبیت در لاگ هایی که نرم افزار مستقر در میزبان به طور معمول ایجاد می کند، خالی کرد. برای کسانی که با معماری سخت‌افزار و نرم‌افزار ATM آشنا نیستند، واقعاً جادو می‌تواند شبیه این باشد.

جعبه های سیاه از کجا می آیند؟

فروشندگان دستگاه های خودپرداز و پیمانکاران فرعی ابزارهای اشکال زدایی را برای تشخیص سخت افزار ATM، از جمله الکترومکانیک مسئول برداشت وجه نقد، توسعه می دهند. این ابزارها عبارتند از: ATM Desk, RapidFire ATM XFS. شکل زیر چند مورد دیگر از این ابزارهای تشخیصی را نشان می دهد.

کنترل پنل ATMDesk

کنترل پنل RapidFire ATM XFS

ویژگی های مقایسه ای چندین ابزار تشخیصی

دسترسی به چنین ابزارهایی معمولاً محدود به توکن های شخصی سازی شده است. و فقط زمانی کار می کنند که درب گاوصندوق خودپرداز باز باشد. با این حال، به سادگی با جایگزینی چند بایت در کد باینری ابزار، کارترز قوطی برداشت نقدی "تست" - دور زدن چک های ارائه شده توسط سازنده ابزار. کاردرها این ابزارهای اصلاح شده را روی لپ تاپ یا میکرو کامپیوتر تک بردی خود نصب می کنند و سپس مستقیماً آن را به دستگاه پخش اسکناس وصل می کنند تا پول نقد را سرقت کنند.

آخرین مایل و مرکز پردازش جعلی

تعامل مستقیم با دستگاه های جانبی، بدون ارتباط با میزبان، تنها یکی از روش های موثر کارتینگ است. سایر ترفندها بر این واقعیت تکیه دارند که ما دارای انواع گسترده ای از رابط های شبکه هستیم که از طریق آن دستگاه خودپرداز با دنیای خارج ارتباط برقرار می کند. از X.25 تا اترنت و سلولار. بسیاری از دستگاه های خودپرداز را می توان با استفاده از سرویس Shodan شناسایی و قرار داد (مختصرترین دستورالعمل ها برای استفاده از آن ارائه شده است. اینجا) و به دنبال آن حمله ای که پیکربندی امنیتی آسیب پذیر، تنبلی مدیر و ارتباطات آسیب پذیر بین بخش های مختلف بانک را انگلی می کند.

"آخرین مایل" ارتباط بین دستگاه خودپرداز و مرکز پردازش، سرشار از فناوری‌های متنوعی است که می‌تواند به عنوان نقطه ورود کارت‌دار باشد. تعامل می تواند از طریق یک روش ارتباطی سیمی (خط تلفن یا اترنت) یا بی سیم (Wi-Fi، سلولی: CDMA، GSM، UMTS، LTE) انجام شود. مکانیسم‌های امنیتی ممکن است شامل موارد زیر باشد: 1) سخت‌افزار یا نرم‌افزار برای پشتیبانی از VPN (هر دو استاندارد، تعبیه‌شده در سیستم‌عامل و شخص ثالث). 2) SSL/TLS (هم مختص یک مدل ATM خاص و هم از تولیدکنندگان شخص ثالث)؛ 3) رمزگذاری؛ 4) احراز هویت پیام

اما به نظر می رسدکه برای بانک ها فن آوری های ذکر شده بسیار پیچیده است، و بنابراین آنها خود را با حفاظت شبکه خاص آزار نمی دهند. یا آن را با خطا اجرا کنید. در بهترین حالت، ATM به سرور VPN متصل می شود و از قبل در داخل شبکه خصوصی، به مرکز پردازش متصل می شود. علاوه بر این، حتی اگر بانک ها موفق به اجرای سازوکارهای دفاعی فوق شوند، کاردر از قبل حملات مؤثری علیه آنها دارد. که حتی اگر امنیت با استاندارد PCI DSS مطابقت داشته باشد، دستگاه های خودپرداز همچنان آسیب پذیر هستند.

یکی از الزامات اصلی PCI DSS این است که تمام داده های حساس، هنگام انتقال از طریق یک شبکه عمومی، باید رمزگذاری شوند. و ما شبکه هایی داریم که در ابتدا به گونه ای طراحی شده اند که داده های موجود در آنها کاملاً رمزگذاری شده است! بنابراین، وسوسه انگیز است که بگوییم: "داده های ما رمزگذاری شده اند زیرا ما از Wi-Fi و GSM استفاده می کنیم." با این حال، بسیاری از این شبکه ها حفاظت کافی را ارائه نمی کنند. شبکه های سلولی تمام نسل ها مدت هاست که هک شده اند. قطعی و غیر قابل فسخ. و حتی فروشندگانی وجود دارند که دستگاه هایی را برای رهگیری داده های ارسال شده از طریق آنها ارائه می دهند.

بنابراین، چه در ارتباطات ناامن، یا در یک شبکه "خصوصی"، که در آن هر دستگاه خودپرداز درباره خود به دستگاه های خودپرداز دیگر پخش می شود، می توان یک حمله MiTM "مرکز پردازش جعلی" را آغاز کرد - که منجر به در دست گرفتن کنترل جریان داده های ارسالی توسط کارت گیرنده می شود. بین دستگاه خودپرداز و مرکز پردازش

چنین حملات MiTM هزاران دستگاه خودپرداز به طور بالقوه تحت تأثیر قرار می گیرند. در راه رسیدن به یک مرکز پردازش واقعی - کارت گیر مرکز تقلبی خود را وارد می کند. این مرکز پردازش جعلی به دستگاه خودپرداز دستور می دهد تا اسکناس ها را توزیع کند. در عین حال، کارت‌دهنده مرکز پردازش خود را به گونه‌ای راه‌اندازی می‌کند که صرف نظر از اینکه کدام کارت در دستگاه خودپرداز وارد شده است - حتی اگر منقضی شده باشد یا موجودی آن صفر باشد، برداشت وجه نقد انجام شود. نکته اصلی این است که مرکز پردازش جعلی آن را "تشخیص" می کند. یک مرکز پردازش جعلی می‌تواند یک کاردستی یا شبیه‌ساز مرکز پردازش باشد که در اصل برای اشکال‌زدایی تنظیمات شبکه طراحی شده است (هدیه دیگری از طرف «تولیدکننده» به کارت‌بازها).

شکل زیر آورده شده تخلیه دستورات برای صدور 40 اسکناس از کاست چهارم - ارسال شده از یک مرکز پردازش جعلی و ذخیره شده در گزارش های نرم افزار ATM. آنها تقریبا واقعی به نظر می رسند.

دستورات یک مرکز پردازش جعلی را تخلیه کنید

منبع: www.habr.com