A város utcáin álló vasdobozok pénzzel felkeltik a gyors pénz szerelmeseinek figyelmét. És ha korábban tisztán fizikai módszerekkel ürítették ki az ATM-eket, akkor most egyre több ügyes számítógépes trükköt alkalmaznak. Most ezek közül a legrelevánsabb egy „fekete doboz”, benne egylapos mikroszámítógéppel. Ebben a cikkben fogunk beszélni arról, hogyan működik.
A Nemzetközi ATM-gyártók Szövetségének (ATMIA) vezetője
Egy tipikus ATM egy házban elhelyezett kész elektromechanikus alkatrészek halmaza. Az ATM-gyártók hardveralkotásaikat a számlakiadóból, kártyaolvasóból és más, külső beszállítók által már kifejlesztett komponensekből építik fel. Egyfajta LEGO konstruktor felnőtteknek. A kész alkatrészeket az ATM testébe helyezik, amely általában két rekeszből áll: egy felső rekeszből ("szekrény" vagy "szervizterület") és egy alsó rekeszből (széf). Az összes elektromechanikus alkatrész USB és COM portokon keresztül csatlakozik a rendszeregységhez, amely ebben az esetben gazdagépként működik. A régebbi ATM-modelleknél az SDC buszon keresztül is találhat kapcsolatokat.
Az ATM-kártyázás fejlődése
A hatalmas összegeket tartalmazó ATM-ek mindig vonzzák a kártyásokat. A kártyások eleinte csak az ATM-védelem durva fizikai hiányosságait használták ki – skimmereket és shimmereket használtak, hogy adatokat lopjanak el a mágnescsíkokból; Hamis tűpárnák és kamerák a PIN-kódok megtekintéséhez; és még hamis ATM-ek is.
Aztán amikor az ATM-eket elkezdték felszerelni egységes szabványok szerint működő szoftverekkel, mint például az XFS (eXtensions for Financial Services), a kártyások számítógépes vírusokkal kezdték megtámadni az ATM-eket.
Ezek közé tartozik a Trojan.Skimmer, a Backdoor.Win32.Skimer, a Ploutus, az ATMii és számos más néven meg nem nevezett rosszindulatú program, amelyeket a kártyák telepítenek az ATM gazdagépére vagy egy indítható USB flash meghajtón vagy egy TCP távvezérlő porton keresztül.
ATM fertőzési folyamat
Az XFS alrendszer rögzítése után a kártevő engedély nélkül parancsokat adhat ki a bankjegykiadónak. Vagy adjunk parancsokat a kártyaolvasónak: olvassuk/írjuk egy bankkártya mágnescsíkját, és akár az EMV kártya chipjén tárolt tranzakciós előzményeket is lekérhetjük. Az EPP (Encrypting PIN Pad) külön figyelmet érdemel. Általánosan elfogadott, hogy a rajta megadott PIN kódot nem lehet lehallgatni. Az XFS azonban lehetővé teszi az EPP pinpad használatát kétféle módban: 1) nyitott mód (különféle numerikus paraméterek, például a kifizetendő összeg megadásához); 2) csökkentett mód (az EPP átvált rá, ha PIN-kódot vagy titkosítási kulcsot kell megadnia). Az XFS ezen funkciója lehetővé teszi a kártyázó számára, hogy MiTM támadást hajtson végre: elfogja a biztonságos mód aktiváló parancsát, amelyet a gazdagép küldött az EPP-nek, majd értesíti az EPP gombostűt, hogy továbbra is működnie kell nyitott módban. Erre az üzenetre válaszul az EPP szöveges billentyűleütéseket küld.
A „fekete doboz” működési elve
Az elmúlt években,
Távoli hozzáféréssel megtámadják az ATM-et
A víruskeresők, a firmware-frissítések blokkolása, az USB-portok blokkolása és a merevlemez titkosítása – bizonyos mértékig megvédik az ATM-et a kártyások vírustámadásaitól. De mi van akkor, ha a kártya nem támadja meg a gazdagépet, hanem közvetlenül a perifériára csatlakozik (RS232-n vagy USB-n keresztül) - kártyaolvasóhoz, tűtáblához vagy pénzkiadóhoz?
Első ismerkedés a „fekete dobozzal”
Napjaink műszakilag jártas kártyásai
"Fekete doboz" Raspberry Pi alapján
A legnagyobb ATM-gyártók és kormányzati hírszerző ügynökségek, akik a „fekete doboz” számos megvalósításával szembesültek,
A legóvatosabb kártyázók ugyanakkor, hogy ne kerüljenek kamerák elé, egy nem túl értékes társukat, egy öszvért veszik igénybe. És hogy ne tudja kisajátítani magának a „fekete dobozt”, használják
A „fekete doboz” módosítása, távelérésen keresztüli aktiválással
Hogyan néz ki ez a bankárok szemszögéből? A videokamerákról készült felvételeken valami ilyesmi történik: egy bizonyos személy kinyitja a felső rekeszt (szerviz területet), csatlakoztat egy „varázsdobozt” az ATM-hez, bezárja a felső rekeszt és távozik. Kicsit később többen, látszólag hétköznapi vásárlók lépnek fel az ATM-hez, és hatalmas összegeket vesznek fel. A kártyás ezután visszatér, és előveszi kis varázseszközét az ATM-ből. A „fekete doboz” ATM-támadás tényét jellemzően csak néhány nap múlva derítik ki: amikor az üres széf és a készpénzfelvételi napló nem egyezik. Ennek eredményeként a banki alkalmazottak csak
Az ATM-kommunikáció elemzése
Mint fentebb említettük, a rendszeregység és a perifériás eszközök közötti interakció USB-n, RS232-n vagy SDC-n keresztül történik. A carder közvetlenül csatlakozik a periféria portjához, és parancsokat küld neki - a gazdagép megkerülésével. Ez nagyon egyszerű, mivel a szabványos interfészek nem igényelnek semmilyen speciális illesztőprogramot. És a védett protokollok, amelyekkel a periféria és a gazdagép kölcsönhatásba lépnek, nem igényelnek engedélyt (elvégre az eszköz egy megbízható zónán belül található); és ezért ezek a nem biztonságos protokollok, amelyeken keresztül a periféria és a gazdagép kommunikálnak, könnyen lehallgathatók, és könnyen érzékenyek az újrajátszható támadásokra.
Hogy. A kártyások szoftveres vagy hardveres forgalomelemzőt használhatnak, közvetlenül egy adott periféria (például kártyaolvasó) portjához csatlakoztatva a továbbított adatok összegyűjtéséhez. A forgalomelemző segítségével a kártyaolvasó megtanulja az ATM működésének összes műszaki részletét, beleértve a perifériák nem dokumentált funkcióit (például egy periféria firmware-ének megváltoztatásának funkcióját). Ennek eredményeként a kártyakezelő teljes ellenőrzést szerez az ATM felett. Ugyanakkor meglehetősen nehéz észlelni a forgalomelemző jelenlétét.
A bankjegy-adagoló közvetlen vezérlése azt jelenti, hogy az ATM-kazetták kiüríthetők anélkül, hogy a naplókban rögzítenének, amelyeket általában a gazdagépen telepített szoftver visz be. Azok számára, akik nem ismerik az ATM hardver- és szoftverarchitektúráját, valóban varázslatosnak tűnhet.
Honnan származnak a fekete dobozok?
Az ATM-beszállítók és alvállalkozók hibakereső segédprogramokat fejlesztenek az ATM-hardverek diagnosztizálására, beleértve a készpénzfelvételért felelős elektromos mechanikát is. Ezen segédprogramok között:
ATMDesk vezérlőpult
RapidFire ATM XFS vezérlőpult
Számos diagnosztikai segédprogram összehasonlító jellemzői
Az ilyen segédprogramokhoz való hozzáférés általában személyre szabott tokenekre korlátozódik; és csak akkor működnek, ha az ATM széf ajtaja nyitva van. Azonban egyszerűen néhány bájt cseréjével a segédprogram, a carders bináris kódjában
„Utolsó mérföld” és hamis feldolgozóközpont
A perifériával való közvetlen interakció, a gazdaszervezettel való kommunikáció nélkül, csak az egyik hatékony kártolási technikák közül. Más technikák azon a tényen alapulnak, hogy sokféle hálózati interfészünk van, amelyeken keresztül az ATM kommunikál a külvilággal. X.25-től Ethernetig és mobilhálózatig. Sok ATM azonosítható és lokalizálható a Shodan szolgáltatás segítségével (a használatára vonatkozó legtömörebb utasításokat mutatjuk be
Az ATM és a feldolgozóközpont közötti kommunikáció „utolsó mérföldje” a legkülönfélébb technológiákban gazdag, amelyek belépési pontként szolgálhatnak a kártyázó számára. Az interakció történhet vezetékes (telefonvonal vagy Ethernet) vagy vezeték nélküli (Wi-Fi, cellás: CDMA, GSM, UMTS, LTE) kommunikációs módszerrel. A biztonsági mechanizmusok a következőket foglalhatják magukban: 1) a VPN-t támogató hardver vagy szoftver (mind szabványos, az operációs rendszerbe beépített, mind harmadik féltől származó); 2) SSL/TLS (mind egy adott ATM-modellre jellemző, mind pedig külső gyártóktól származnak); 3) titkosítás; 4) üzenet hitelesítés.
De
A PCI DSS egyik alapvető követelménye, hogy minden érzékeny adatot titkosítani kell, amikor nyilvános hálózaton továbbítják. És valójában vannak olyan hálózataink, amelyeket eredetileg úgy terveztek, hogy a bennük lévő adatok teljesen titkosítottak! Ezért csábító azt mondani: „Az adataink titkosítva vannak, mert Wi-Fi-t és GSM-et használunk.” Sok ilyen hálózat azonban nem nyújt kellő biztonságot. Minden generáció mobilhálózatait régóta feltörték. Végül és visszavonhatatlanul. És vannak olyan beszállítók is, amelyek eszközöket kínálnak a rajtuk továbbított adatok lehallgatására.
Ezért akár egy nem biztonságos kommunikációban, akár egy „privát” hálózatban, ahol minden ATM sugározza magát a többi ATM-nek, egy MiTM „hamis feldolgozóközpont” támadás indulhat, ami ahhoz vezet, hogy a kártya átveszi az irányítást a között továbbított adatfolyamok felett. ATM és feldolgozó központ.
A következő képen
Egy hamis feldolgozóközpont parancslerakása
Forrás: will.com