Les boîtes en fer contenant de l'argent dans les rues de la ville ne peuvent qu'attirer l'attention des amateurs d'argent rapide. Et si dans le passé des méthodes purement physiques étaient utilisées pour vider les guichets automatiques, de plus en plus d'astuces informatiques sont utilisées. Aujourd'hui, le plus pertinent d'entre eux est la « boîte noire » contenant un micro-ordinateur monocarte à l'intérieur. Nous parlerons de son fonctionnement dans cet article.
Directeur de l'Association internationale des fabricants de guichets automatiques (ATMIA)
Un ATM typique est un ensemble de composants électromécaniques prêts à l'emploi placés dans un seul boîtier. Les fabricants de distributeurs automatiques construisent leurs créations en fer à partir d'un distributeur de billets de banque, d'un lecteur de cartes et d'autres composants déjà développés par des fournisseurs tiers. Une sorte de constructeur LEGO pour adultes. Les composants finis sont placés dans le boîtier ATM, qui se compose généralement de deux compartiments : le compartiment supérieur (« armoire » ou « zone de service ») et le compartiment inférieur (coffre-fort). Tous les composants électromécaniques sont connectés via les ports USB et COM à l'unité centrale, qui dans ce cas fait office d'hôte. Sur les anciens modèles de distributeurs automatiques, vous pouvez également trouver des connexions via le bus SDC.
L’évolution du cardage ATM
Les guichets automatiques contenant des sommes énormes attirent invariablement les cardeurs. Au début, les cardeurs n'exploitaient que les failles physiques grossières de la sécurité des guichets automatiques : ils utilisaient des skimmers et des miroitements pour voler des données sur des bandes magnétiques ; de faux claviers NIP et caméras pour visualiser les codes PIN ; et même de faux guichets automatiques.
Puis, lorsque les guichets automatiques ont commencé à être équipés de logiciels unifiés fonctionnant selon des normes communes, telles que XFS (eXtensions for Financial Services), les cardeurs ont commencé à attaquer les guichets automatiques avec des virus informatiques.
Parmi eux figurent Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii et de nombreux autres logiciels malveillants, nommés ou non, que les cardeurs installent sur l'hôte ATM via une clé USB amorçable ou via le port TCP de contrôle à distance.
Processus d’infection ATM
Après avoir capturé le sous-système XFS, le malware peut envoyer des commandes au distributeur de billets sans autorisation. Ou encore donner des commandes au lecteur de carte : lire/écrire la piste magnétique d'une carte bancaire et même extraire l'historique des transactions stocké sur la puce de la carte EMV. EPP (Encrypting PIN Pad ; clavier NIP crypté) mérite une attention particulière. Il est généralement admis que le code PIN saisi ne peut être intercepté. Cependant, XFS vous permet d'utiliser le clavier NIP EPP dans deux modes : 1) mode ouvert (pour saisir divers paramètres numériques, tels que le montant à encaisser) ; 2) mode sans échec (EPP y passe lorsque vous devez saisir un code PIN ou une clé de cryptage). Cette fonctionnalité de XFS permet au cardeur de mener une attaque MiTM : intercepter la commande d'activation du mode sans échec envoyée par l'hôte à l'EPP, puis indiquer au clavier NIP EPP que le travail doit continuer en mode ouvert. En réponse à ce message, EPP envoie des frappes au clavier en texte brut.
Le principe de fonctionnement de la « boîte noire »
Dans les années récentes,
Attaque ATM via accès à distance
Les antivirus, le blocage des mises à jour du micrologiciel, le blocage des ports USB et le cryptage du disque dur - protègent dans une certaine mesure le guichet automatique contre les attaques de virus des cardeurs. Mais que se passe-t-il si le cardeur n'attaque pas l'hôte, mais se connecte directement à la périphérie (via RS232 ou USB) - à un lecteur de carte, un clavier NIP ou un distributeur de billets ?
La première connaissance de la "boîte noire"
Aujourd'hui, les cardeurs férus de technologie
"Boîte noire" basée sur Raspberry Pi
Les plus grands fabricants de distributeurs automatiques et les agences de renseignement gouvernementales, confrontés à plusieurs implémentations de la « boîte noire »,
Parallèlement, pour ne pas briller devant les caméras, les cardeurs les plus prudents se font aider par un partenaire peu précieux, un mulet. Et pour qu'il ne puisse pas s'approprier la « boîte noire », ils utilisent
Modification de la « boîte noire », avec activation par accès à distance
Qu’en est-il du point de vue des banquiers ? Sur les enregistrements des caméras vidéo-fixateurs, quelque chose comme ce qui suit se produit : une certaine personne ouvre le compartiment supérieur (zone de service), connecte la « boîte magique » au guichet automatique, ferme le compartiment supérieur et s'en va. Un peu plus tard, plusieurs personnes, apparemment des clients ordinaires, s’approchent du distributeur et retirent d’énormes sommes d’argent. Le cardeur revient alors et récupère son petit appareil magique au guichet automatique. Habituellement, le fait d'une attaque de distributeur automatique avec une « boîte noire » n'est détecté qu'au bout de quelques jours : lorsqu'un coffre-fort vide et un journal de retrait d'espèces ne correspondent pas. En conséquence, les employés de banque n'ont plus que
Analyse des communications ATM
Comme indiqué ci-dessus, l'interaction entre l'unité système et les périphériques s'effectue via USB, RS232 ou SDC. Le cardeur se connecte directement au port du périphérique et lui envoie des commandes, en contournant l'hôte. C'est assez simple car les interfaces standards ne nécessitent aucun driver spécifique. Et les protocoles propriétaires, selon lesquels les périphériques et l'hôte interagissent, ne nécessitent pas d'autorisation (après tout, l'appareil est situé à l'intérieur de la zone de confiance) ; et par conséquent, ces protocoles non sécurisés, sur lesquels le périphérique et l'hôte communiquent, sont facilement écoutés et se prêtent facilement à une attaque par relecture.
Que. les cardeurs peuvent utiliser un analyseur de trafic logiciel ou matériel, en le connectant directement au port d'un périphérique spécifique (par exemple, à un lecteur de carte) pour collecter les données transmises. À l'aide de l'analyseur de trafic, le cardeur apprend tous les détails techniques du fonctionnement du guichet automatique, y compris les fonctions non documentées de sa périphérie (par exemple, la fonction de modification du micrologiciel d'un périphérique). En conséquence, le cardeur a un contrôle total sur le guichet automatique. En même temps, il est assez difficile de détecter la présence d'un analyseur de trafic.
Le contrôle direct du distributeur de billets signifie que les cassettes ATM peuvent être vidées sans aucune fixation dans les journaux que fait normalement le logiciel déployé sur l'hôte. Pour ceux qui ne sont pas familiers avec l’architecture matérielle et logicielle des ATM, voilà à quoi peut ressembler la magie.
D'où viennent les boîtes noires ?
Les fournisseurs et sous-traitants des guichets automatiques développent des outils de débogage pour diagnostiquer le matériel des guichets automatiques, y compris les composants électromécaniques responsables des retraits d'espèces. Ces utilitaires comprennent :
Panneau de contrôle ATMDesk
Panneau de commande RapidFire ATM XFS
Caractéristiques comparatives de plusieurs utilitaires de diagnostic
L'accès à ces utilitaires est normalement limité aux jetons personnalisés ; et ils ne fonctionnent que lorsque la porte du coffre-fort du guichet automatique est ouverte. Cependant, simplement en remplaçant quelques octets dans le code binaire de l'utilitaire, les cardeurs
Le dernier kilomètre et le faux centre de traitement
L'interaction directe avec les périphériques, sans communiquer avec l'hôte, n'est que l'une des méthodes efficaces de cardage. D'autres astuces reposent sur le fait que nous disposons d'une grande variété d'interfaces réseau à travers lesquelles le guichet automatique communique avec le monde extérieur. De X.25 à Ethernet et cellulaire. De nombreux guichets automatiques peuvent être identifiés et localisés à l'aide du service Shodan (les instructions les plus concises pour son utilisation sont présentées
Le « dernier kilomètre » de communication entre le guichet automatique et le centre de traitement est riche d'une grande variété de technologies qui peuvent servir de point d'entrée pour le cardeur. L'interaction peut s'effectuer via une méthode de communication filaire (ligne téléphonique ou Ethernet) ou sans fil (Wi-Fi, cellulaire : CDMA, GSM, UMTS, LTE). Les mécanismes de sécurité peuvent inclure : 1) du matériel ou des logiciels pour prendre en charge le VPN (à la fois standard, intégré au système d'exploitation et tiers) ; 2) SSL/TLS (à la fois spécifiques à un modèle ATM particulier et provenant de fabricants tiers) ; 3) cryptage ; 4) authentification des messages.
Mais
L'une des principales exigences de la norme PCI DSS est que toutes les données sensibles, lorsqu'elles sont transmises sur un réseau public, doivent être cryptées. Et nous avons des réseaux qui ont été initialement conçus de telle manière que les données qu'ils contiennent sont entièrement cryptées ! Il est donc tentant de dire : « Nos données sont cryptées parce que nous utilisons le Wi-Fi et le GSM ». Cependant, bon nombre de ces réseaux n’offrent pas une protection suffisante. Les réseaux cellulaires de toutes générations sont piratés depuis longtemps. Final et irrévocable. Et certains fournisseurs proposent même des appareils permettant d’intercepter les données transmises via ces appareils.
Ainsi, soit dans une communication non sécurisée, soit dans un réseau « privé », où chaque guichet automatique diffuse des informations sur lui-même vers d'autres guichets automatiques, une attaque MiTM de « faux centre de traitement » peut être lancée - ce qui conduira le cardeur à prendre le contrôle des flux de données transmis. entre le guichet automatique et le centre de traitement.
Le chiffre suivant
Dump de commande d'un faux centre de traitement
Source: habr.com