Kaupungin kaduilla seisovat rautalaatikot, joissa on rahaa, eivät voi muuta kuin herättää nopean rahan ystävien huomion. Ja jos ennen pankkiautomaattien tyhjentämiseen käytettiin puhtaasti fyysisiä menetelmiä, niin nyt käytetään yhä enemmän taitavia tietokoneisiin liittyviä temppuja. Nyt merkittävin niistä on "musta laatikko", jonka sisällä on yksilevyinen mikrotietokone. Puhumme siitä, kuinka se toimii tässä artikkelissa.
Kansainvälisen pankkiautomaattien valmistajien liiton (ATMIA) johtaja "mustat laatikot" vaarallisimpana uhkana pankkiautomaateille.
Tyypillinen pankkiautomaatti on joukko valmiita sähkömekaanisia komponentteja, jotka on sijoitettu yhteen koteloon. Pankkiautomaattien valmistajat rakentavat rautatuotteensa seteliautomaatista, kortinlukijasta ja muista komponenteista, jotka kolmannet osapuolet ovat jo kehittäneet. Eräänlainen LEGO-konstruktori aikuisille. Valmiit komponentit sijoitetaan ATM-koteloon, joka koostuu yleensä kahdesta osastosta: yläosastosta ("kaappi" tai "huoltoalue") ja alaosastosta (kassakaappi). Kaikki sähkömekaaniset komponentit on kytketty USB- ja COM-porttien kautta järjestelmäyksikköön, joka tässä tapauksessa toimii isäntänä. Vanhemmissa pankkiautomaattimalleissa yhteydet löytyvät myös SDC-väylän kautta.
Pankkiautomaattien korttien kehitys
Pankkiautomaatit, joissa on valtavia summia sisällä, houkuttelevat aina korttien ostajia. Aluksi karstaajat käyttivät hyväkseen vain karkeita fyysisiä puutteita pankkiautomaattien turvallisuudessa - he käyttivät skimmerejä ja shimmerejä varastaakseen tietoja magneettijuovista; Väärennetyt pin-tyynyt ja kamerat PIN-koodien katseluun; ja jopa väärennettyjä pankkiautomaatteja.
Sitten, kun pankkiautomaatteja alettiin varustaa yhtenäisillä ohjelmistoilla, jotka toimivat yleisten standardien mukaan, kuten XFS (eXtensions for Financial Services), korttiautomaatit alkoivat hyökätä pankkiautomaatteja vastaan tietokoneviruksilla.
Niitä ovat Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii ja lukuisat muut nimetyt ja nimeämättömät haittaohjelmat, jotka asentavat ATM-isäntään joko käynnistettävän flash-aseman tai kaukosäätimen TCP-portin kautta.
ATM-infektioprosessi
Kaapattuaan XFS-alijärjestelmän haittaohjelma voi antaa komentoja setelijakelijalle ilman lupaa. Tai anna komentoja kortinlukijalle: lue / kirjoita pankkikortin magneettiraita ja jopa poimi EMV-kortin sirulle tallennettu tapahtumahistoria. EPP (Encrypting PIN Pad; encrypted pinpad) ansaitsee erityistä huomiota. On yleisesti hyväksyttyä, että siihen syötettyä PIN-koodia ei voi siepata. XFS antaa kuitenkin mahdollisuuden käyttää EPP-pintanäppäimistöä kahdessa tilassa: 1) avoin tila (erilaisten numeeristen parametrien syöttämiseen, kuten nostettava summa); 2) vikasietotila (EPP vaihtaa siihen, kun sinun on syötettävä PIN-koodi tai salausavain). Tämän XFS:n ominaisuuden avulla carder voi suorittaa MiTM-hyökkäyksen: siepata isännältä EPP:lle lähetetyn vikasietotilan aktivointikomennon ja kertoa sitten EPP-pintanäppäimistölle, että työn pitäisi jatkua avoimessa tilassa. Vastauksena tähän viestiin EPP lähettää näppäinpainallukset pelkkänä tekstinä.
"Mustan laatikon" toimintaperiaate
Viime vuosina, Europol, pankkiautomaattien haittaohjelmat ovat kehittyneet merkittävästi. Korttien käyttäjillä ei enää tarvitse olla fyysistä pääsyä pankkiautomaattiin tartuttaakseen sen. Ne voivat tartuttaa pankkiautomaatteja etäverkkohyökkäyksillä käyttämällä tähän pankin yritysverkkoa. Group IB, vuonna 2016 yli 10 maassa Euroopassa pankkiautomaatit joutuivat etähyökkäyksen kohteeksi.
Pankkiautomaattihyökkäys etäkäytön kautta
Virustentorjunta, laiteohjelmistopäivitysten estäminen, USB-porttien estäminen ja kiintolevyn salaus - suojaavat jossain määrin pankkiautomaattia korttien viruksilta. Mutta entä jos korttilaite ei hyökkää isäntäkoneen kimppuun, vaan kytkeytyy suoraan oheislaitteeseen (RS232:n tai USB:n kautta) - kortinlukijaan, pin padan tai kassaautomaattiin?
Ensimmäinen tutustuminen "mustaan laatikkoon"
Nykyään tekniikkaa taitavia karttareita , käyttämällä käteisen varastamiseen pankkiautomaatista ns. "mustat laatikot" ovat erityisesti ohjelmoituja yksilevyisiä mikrotietokoneita, kuten Raspberry Pi. "Mustat laatikot" tyhjentävät pankkiautomaatit puhtaalla, täysin maagisella (pankkiirien näkökulmasta) tavalla. Korttelijat yhdistävät taikalaitteensa suoraan setelinannostelijaan; poimimaan siitä kaiken käytettävissä olevan rahan. Tällainen hyökkäys ohittaa kaikki ATM-isäntään asennetut suojausohjelmistot (virustorjunta, eheyden valvonta, levyn täydellinen salaus jne.).
"Musta laatikko" perustuu Raspberry Pi:hen
Suurimmat pankkiautomaattien valmistajat ja valtion tiedustelupalvelut kohtaavat useita "mustan laatikon" toteutuksia, että nämä nerokkaat tietokoneet saavat pankkiautomaatit sylkemään kaiken saatavilla olevan käteisen; 40 seteliä 20 sekunnin välein. Myös erikoispalvelut varoittavat, että korttiautomaatit kohdistuvat useimmiten apteekkien ja kauppakeskusten pankkiautomaatteihin; ja myös pankkiautomaateille, jotka palvelevat autoilijoita liikkeellä.
Samaan aikaan, jotta varovaisimmat karstaajat eivät loistaisi kameroiden edessä, ottavat avuksi jonkun ei kovin arvokkaan kumppanin, muulin. Ja jotta hän ei voinut omistaa "mustaa laatikkoa" itselleen, he käyttävät . Avaintoiminto poistetaan "mustasta laatikosta" ja siihen liitetään älypuhelin, jota käytetään kanavana komentojen etäsiirtoon katkaistuun "mustaan laatikkoon" IP-protokollan kautta.
"Mustan laatikon" muuttaminen aktivointi etäkäytön kautta
Miltä se näyttää pankkiirien näkökulmasta? Videokamera-kiinnittimien tallennuksissa tapahtuu jotain seuraavaa: tietty henkilö avaa ylemmän lokeron (huoltoalueen), kytkee "taikalaatikon" pankkiautomaattiin, sulkee yläosaston ja lähtee. Hieman myöhemmin useat ihmiset, näennäisesti tavalliset asiakkaat, lähestyvät pankkiautomaattia ja nostavat valtavia summia rahaa. Karttaaja palaa sitten ja hakee pienen taikalaitteensa pankkiautomaatista. Yleensä "mustalla laatikolla" tehdyn pankkiautomaatin hyökkäyksen tosiasia havaitaan vasta muutaman päivän kuluttua: kun tyhjä kassakaappi ja käteisnostoloki eivät täsmää. Tämän seurauksena pankin työntekijät jäävät vain .
Pankkiautomaattien viestinnän analyysi
Kuten edellä mainittiin, järjestelmäyksikön ja oheislaitteiden välinen vuorovaikutus tapahtuu USB:n, RS232:n tai SDC:n kautta. Carder muodostaa yhteyden suoraan oheislaitteen porttiin ja lähettää sille komentoja - ohittaen isännän. Tämä on melko yksinkertaista, koska vakiorajapinnat eivät vaadi erityisiä ohjaimia. Ja patentoidut protokollat, joiden mukaan oheislaitteet ja isäntä ovat vuorovaikutuksessa, eivät vaadi lupaa (laite sijaitsee loppujen lopuksi luotetun vyöhykkeen sisällä); ja siksi nämä turvattomat protokollat, joiden kautta oheislaite ja isäntä kommunikoivat, ovat helposti salakuunnettavissa ja helposti soveltuvia uusintahyökkäykseen.
Että. Karttaajat voivat käyttää ohjelmisto- tai laitteistoliikenneanalysaattoria, joka yhdistää sen suoraan tietyn oheislaitteen porttiin (esimerkiksi kortinlukijaan) kerätäkseen lähetettyjä tietoja. Liikenneanalysaattorin avulla carder oppii kaikki ATM:n toiminnan tekniset yksityiskohdat, mukaan lukien sen oheislaitteiden dokumentoimattomat toiminnot (esimerkiksi oheislaitteen laiteohjelmiston vaihtamistoiminto). Tämän seurauksena kortinlukijalla on täysi määräysvalta pankkiautomaatissa. Samaan aikaan liikenneanalysaattorin läsnäolon havaitseminen on melko vaikeaa.
Setelijakelijan suora ohjaus tarkoittaa, että pankkiautomaatin kasetit voidaan tyhjentää ilman, että koneeseen asennettu ohjelmisto yleensä tekee kiinnityksiä lokeihin. Niille, jotka eivät tunne ATM-laitteisto- ja ohjelmistoarkkitehtuuria, tämä voi todella näyttää tältä.
Mistä mustat laatikot tulevat?
Pankkiautomaattien toimittajat ja alihankkijat kehittävät virheenkorjaustyökaluja pankkiautomaatin laitteiston diagnosoimiseksi, mukaan lukien käteisnostoista vastaava sähkömekaniikka. Näitä apuohjelmia ovat: , . Alla olevassa kuvassa on muutamia muita diagnostisia apuohjelmia.
ATMDesk ohjauspaneeli
RapidFire ATM XFS -ohjauspaneeli
Useiden diagnostisten apuohjelmien vertailuominaisuudet
Tällaisten apuohjelmien käyttö on yleensä rajoitettu henkilökohtaisiin tunnuksiin; ja ne toimivat vain, kun pankkiautomaatin kassakaappi on auki. Kuitenkin yksinkertaisesti korvaamalla muutama tavu apuohjelman binäärikoodissa, carders "testaa" käteisnosto - ohittamalla apuohjelman valmistajan toimittamat shekit. Carders asentaa nämä muokatut apuohjelmat kannettavaan tietokoneeseensa tai yksilevyiseen mikrotietokoneeseensa, jonka he sitten kytkevät suoraan seteliautomaattiin varastaakseen käteistä.
The Last Mile ja Fake Processing Center
Suora vuorovaikutus oheislaitteiden kanssa ilman isännän kanssa kommunikointia on vain yksi tehokkaista karstausmenetelmistä. Muut temput perustuvat siihen, että meillä on laaja valikoima verkkorajapintoja, joiden kautta pankkiautomaatti kommunikoi ulkomaailman kanssa. X.25:stä Ethernetiin ja Cellulariin. Monet pankkiautomaatit voidaan tunnistaa ja paikantaa Shodan-palvelun avulla (katso tiiviimmät ohjeet sen käyttöön). ), jota seurasi hyökkäys, joka loistaa haavoittuvaa suojauskokoonpanoa, järjestelmänvalvojan laiskuutta ja haavoittuvaa viestintää pankin eri osastojen välillä.
Pankkiautomaatin ja käsittelykeskuksen välisen viestinnän "viimeinen maili" sisältää runsaasti erilaisia teknologioita, jotka voivat toimia kortinlukijan sisääntulopisteenä. Vuorovaikutus voidaan suorittaa langallisen (puhelinlinja tai Ethernet) tai langattoman (Wi-Fi, matkapuhelin: CDMA, GSM, UMTS, LTE) viestintämenetelmän kautta. Suojausmekanismeja voivat olla: 1) VPN:ää tukeva laitteisto tai ohjelmisto (sekä vakio, käyttöjärjestelmään sisäänrakennettu että kolmannen osapuolen valmistama); 2) SSL/TLS (sekä tietylle pankkiautomaattimallille että kolmansien osapuolien valmistajilta); 3) salaus; 4) viestin todennus.
Mutta että pankeille luetellut tekniikat ovat erittäin monimutkaisia, eivätkä siksi vaivaudu erityiseen verkkosuojaukseen; tai toteuttaa se virhein. Parhaassa tapauksessa pankkiautomaatti muodostaa yhteyden VPN-palvelimeen, ja jo yksityisen verkon sisällä se muodostaa yhteyden käsittelykeskukseen. Lisäksi, vaikka pankit onnistuisivatkin toteuttamaan yllä mainitut puolustusmekanismit, karttajalla on jo tehokkaita hyökkäyksiä niitä vastaan. Että. Vaikka tietoturva olisi PCI DSS -standardin mukainen, pankkiautomaatit ovat silti haavoittuvia.
Yksi PCI DSS:n tärkeimmistä vaatimuksista on, että kaikki arkaluontoiset tiedot, kun ne lähetetään julkisen verkon kautta, on salattava. Ja meillä on verkkoja, jotka on alun perin suunniteltu siten, että niissä olevat tiedot ovat täysin salattuja! Siksi on houkuttelevaa sanoa: "Tietomme on salattu, koska käytämme Wi-Fiä ja GSM:ää." Monet näistä verkoista eivät kuitenkaan tarjoa riittävää suojaa. Kaikkien sukupolvien matkapuhelinverkot on hakkeroitu pitkään. Lopullinen ja peruuttamaton. Ja on jopa myyjiä, jotka tarjoavat laitteita niiden kautta lähetetyn tiedon sieppaamiseen.
Siksi joko turvattomassa viestinnässä tai "yksityisessä" verkossa, jossa kukin pankkiautomaatti lähettää itsestään muille pankkiautomaateille, voidaan käynnistää "väärennöskäsittelykeskuksen" MiTM-hyökkäys - mikä johtaa siihen, että kardaaja ottaa siirretyt tietovirrat hallintaansa. pankkiautomaatin ja käsittelykeskuksen välillä.
Vaikutus saattaa koskea tuhansia pankkiautomaatteja. Matkalla aitoon käsittelykeskukseen - kortinlaskija laittaa oman, väärennetyn. Tämä väärennetty käsittelykeskus neuvoo pankkiautomaattia jakamaan seteleitä. Samanaikaisesti kortintekijä perustaa käsittelykeskuksensa siten, että käteisen nosto tapahtuu riippumatta siitä, mikä kortti on asetettu pankkiautomaattiin - vaikka se olisi vanhentunut tai saldo olisi nolla. Tärkeintä on, että väärennetty käsittelykeskus "tunnistaa" sen. Väärennetty käsittelykeskus voi olla joko käsityö tai käsittelykeskuksen simulaattori, joka on alun perin suunniteltu verkkoasetusten virheenkorjaukseen (toinen lahja "valmistajalta" karstaajille).
Seuraava kuva komennot 40 setelin laskemiseksi neljännestä kasetista - lähetetty väärennetystä käsittelykeskuksesta ja tallennettu pankkiautomaatin ohjelmiston lokeihin. Ne näyttävät melkein aidolta.
Poista väärennetyn käsittelykeskuksen komennot
Lähde: will.com