Izeren doazen mei jild dy't op 'e strjitten fan' e stêd steane kinne net oars as de oandacht lûke fan leafhawwers fan fluch jild. En as yn it ferline suver fysike metoaden waarden brûkt om pinautomaten leech te meitsjen, wurde no hieltyd mear betûfte trúkjes yn ferbân mei kompjûters brûkt. No de meast relevante fan harren is de "swarte doaze" mei in single-board microcomputer binnen. Wy sille prate oer hoe't it wurket yn dit artikel.
Haad fan 'e International Association of ATM Manufacturers (ATMIA)
In typyske ATM is in set fan ready-made elektromechanyske komponinten pleatst yn ien húsfesting. ATM-fabrikanten bouwe har izeren kreaasjes út in bankbiljet-dispenser, kaartlêzer en oare komponinten dy't al ûntwikkele binne troch ferkeapers fan tredden. In soarte fan LEGO constructor foar folwoeksenen. Foltôge komponinten wurde pleatst yn 'e ATM-koffer, dy't normaal bestiet út twa fakken: it boppeste fak ("kabinet" of "tsjinstgebiet") en it legere fak (feilich). Alle elektromechanyske komponinten binne ferbûn fia USB- en COM-poarten oan 'e systeemienheid, dy't yn dit gefal as host fungearret. Op âldere modellen fan pinautomaten kinne jo ek ferbinings fine fia de SDC-bus.
De evolúsje fan ATM carding
ATM's mei enoarme bedraggen binnen lûke altyd carders nei har. Yn it earstoan, carders eksploitearre allinnich bruto fysike gebreken yn ATM feiligens - se brûkt skimmers en shimmers te stellen gegevens út magnetyske stripen; falske pin-pads en kamera's foar it besjen fan pincodes; en sels falske pinautomaten.
Doe't ATM's begon te wurden útrist mei unifoarme software dy't wurket neffens gewoane noarmen, lykas XFS (Extensions for Financial Services), begon carders ATM's oan te fallen mei komputerfirussen.
Under harren binne Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii, en in protte oare neamde en net neamde malware dy't carders op 'e ATM-host plante fia in bootbere flash-drive of fia de TCP-poarte op ôfstân.
ATM-ynfeksjeproses
Nei it fêstlizzen fan it XFS-subsysteem, kin de malware sûnder autorisaasje kommando's útjaan oan 'e bankbiljet-dispenser. Of jou kommando's oan 'e kaartlêzer: lês / skriuw de magnetyske strip fan in bankkaart en ekstrahearje sels de transaksjeskiednis opslein op' e EMV-kaartchip. EPP (Encrypting PIN Pad; fersifere pinpad) fertsjinnet spesjale oandacht. It wurdt algemien akseptearre dat de PIN-koade dy't derop ynfierd is net ûnderskept wurde kin. XFS lit jo lykwols it EPP-pinpad yn twa modi brûke: 1) iepen modus (foar it ynfieren fan ferskate numerike parameters, lykas it bedrach dat moat wurde útlutsen); 2) feilige modus (EPP skeakelt nei it as jo moatte ynfiere in pinkoade of fersifering kaai). Dizze funksje fan XFS lit de carder in MiTM-oanfal útfiere: it aktivearjen fan 'e feilige modus dy't fan' e host nei de EPP wurdt stjoerd, en fertel dan it EPP-pinpad dat it wurk moat trochgean yn iepen modus. As antwurd op dit berjocht stjoert EPP toetsoanslagen yn platte tekst.
It prinsipe fan wurking fan 'e "swarte doaze"
De lêste jierren,
ATM oanfal fia tagong op ôfstân
Antivirus, blokkearjen fan firmware-updates, blokkearjen fan USB-poarten en fersifering fan 'e hurde skiif - beskermje de pinautomaat yn guon mate tsjin firusoanfallen troch carders. Mar wat as de carder de host net oanfalt, mar direkt oanslút op 'e perifery (fia RS232 of USB) - nei in kaartlêzer, pinpad of jildautomaat?
De earste kunde mei de "swarte doaze"
Hjoed, tech-savvy carders
"Black box" basearre op Raspberry Pi
De grutste fabrikanten fan pinautomaten en oerheidsyntelliginsje-ynstânsjes, konfrontearre mei ferskate ymplemintaasjes fan 'e "swarte doaze",
Tagelyk, om net foar de kamera's te skinen, nimme de meast foarsichtige carders de help fan in net heul weardefolle partner, in mul. En sadat er him de "swarte doaze" net taeigenje koe, brûke se
Modifikaasje fan 'e "swarte doaze", mei aktivearring fia tagong op ôfstân
Hoe sjocht it út it eachpunt fan bankiers? Op 'e opnamen fan fideokamera's-fixators bart sa'n ding as it folgjende: in bepaalde persoan iepenet it boppeste fak (betsjinningsgebiet), ferbynt de "magyske doaze" mei de pinautomaat, slút it boppeste fak en ferlit. In bytsje letter, ferskate minsken, skynber gewoane klanten, benaderje de pinautomaat, en lûke grutte bedraggen jild. De carder komt dan werom en hellet syn lytse magyske apparaat út 'e pinautomaat. Meastal wurdt it feit fan in pinautomaat oanfal mei in "swarte doaze" pas nei in pear dagen ûntdutsen: as in lege feilich en in logboek foar weromlûken fan jild net oerienkomme. As gefolch, bank meiwurkers binne oerbleaun mei allinnich
Analyse fan ATM kommunikaasje
Lykas hjirboppe oanjûn, wurdt de ynteraksje tusken de systeemienheid en perifeare apparaten útfierd fia USB, RS232 of SDC. De carder ferbynt direkt oan 'e haven fan' e perifeare apparaat en stjoert kommando's nei it - bypass de host. Dit is frij simpel om't de standert ynterfaces gjin spesifike bestjoerders nedich binne. En proprietêre protokollen, neffens dêr't de perifeare apparaten en de host ynteraksje, hawwe gjin autorisaasje nedich (it apparaat leit ommers yn 'e fertroude sône); en dêrom, dizze ûnfeilige protokollen, oer dêr't de perifeare en de gasthear kommunisearje, maklik ôfluistere en maklik geskikt foar in replay oanfal.
Dat. carders kinne gebrûk meitsje fan in software of hardware ferkear analyzer, ferbinen it direkt oan de haven fan in spesifyk perifeare apparaat (Bygelyks, nei in kaart lêzer) te sammeljen oerdroegen gegevens. Mei de ferkearsanalysator leart de carder alle technyske details fan 'e ATM-operaasje, ynklusyf net-dokumintearre funksjes fan syn perifery (bygelyks de funksje fan it feroarjen fan de firmware fan in perifeare apparaat). As gefolch hat de carder folsleine kontrôle oer de pinautomaat. Tagelyk is it nochal lestich om de oanwêzigens fan in ferkearsanalysator te ûntdekken.
Direkte kontrôle oer de bankbiljet-dispenser betsjut dat de ATM-kassetten kinne wurde leechmakke sûnder ienige fixaasje yn 'e logs dy't de software ynset op' e host normaal makket. Foar dyjingen dy't net bekend binne mei ATM-hardware en software-arsjitektuer, is dit echt hoe magy der útsjen kin.
Wêr komme swarte doazen wei?
ATM-ferkeapers en subcontractors ûntwikkelje ark foar debuggen om de ATM-hardware te diagnostearjen, ynklusyf de elektromeganika ferantwurdlik foar cashûntlûken. Dizze nutsfoarsjenningen omfetsje:
ATMDesk kontrôle paniel
RapidFire ATM XFS kontrôle paniel
Fergelykjende skaaimerken fan ferskate diagnostyske nutsbedriuwen
Tagong ta sokke nutsbedriuwen is normaal beheind ta personaliseare tokens; en se wurkje allinnich as de ATM feilige doar is iepen. Lykwols, gewoan troch it ferfangen fan in pear bytes yn de binêre koade fan it nut, carders
The Last Mile en it Fake Processing Center
Direkte ynteraksje mei perifeare apparaten, sûnder kommunikaasje mei de host, is mar ien fan 'e effektive metoaden fan carding. Oare trúkjes fertrouwe op it feit dat wy in breed ferskaat oan netwurkynterfaces hawwe wêrmei't de ATM kommunisearret mei de bûtenwrâld. Fan X.25 oant Ethernet en Cellular. In protte pinautomaten kinne wurde identifisearre en lokalisearre mei de Shodan-tsjinst (de meast beknopte ynstruksjes foar it brûken dêrfan wurde presintearre
De "lêste myl" fan kommunikaasje tusken de pinautomaat en it ferwurkjen sintrum is ryk yn in grut ferskaat oan technologyen dy't kin tsjinje as in yngong punt foar de carder. Ynteraksje kin wurde útfierd fia in bedrade (tillefoanline as Ethernet) of draadloze (Wi-Fi, sellulêr: CDMA, GSM, UMTS, LTE) kommunikaasjemetoade. Feiligensmeganismen kinne omfetsje: 1) hardware of software om VPN te stypjen (sawol standert, ynboud yn it OS, en tredden); 2) SSL / TLS (sawol spesifyk foar in bepaald ATM-model as fan fabrikanten fan tredden); 3) fersifering; 4) berjocht autentikaasje.
Mar,
Ien fan 'e wichtichste easken fan' e PCI DSS is dat alle gefoelige gegevens, as se oer in iepenbier netwurk ferstjoerd wurde, fersifere wurde moatte. En wy hawwe netwurken dy't oarspronklik binne ûntwurpen op sa'n manier dat de gegevens dêryn folslein fersifere binne! Dêrom is it ferleidend om te sizzen: "Us gegevens binne fersifere om't wy Wi-Fi en GSM brûke." In protte fan dizze netwurken jouwe lykwols net genôch beskerming. Sellulêre netwurken fan alle generaasjes binne al lang hacked. Finale en ûnomkearbere. En d'r binne sels leveransiers dy't apparaten oanbiede om de gegevens oer har te ûnderskeppen.
Dêrom, itsij yn ûnfeilige kommunikaasje, as yn in "privee" netwurk, wêr't elke pinautomaat oer himsels útstjoert nei oare pinautomaten, kin in "falske ferwurkingssintrum" MiTM-oanfal inisjearre wurde - wat sil liede ta de carder dy't kontrôle nimt oer de oerdroegen gegevensstreamen tusken ATM en ferwurkjen sintrum.
De folgjende figuer
Dump kommando's fan in falske ferwurkingssintrum
Boarne: www.habr.com