A város utcáin álló vasdobozok pénzzel felkeltik a gyors pénz szerelmeseinek figyelmét. És ha korábban tisztán fizikai módszerekkel ürítették ki az ATM-eket, akkor most egyre több ügyes számítógépes trükköt alkalmaznak. Most ezek közül a legrelevánsabb egy „fekete doboz”, benne egylapos mikroszámítógéppel. Ebben a cikkben fogunk beszélni arról, hogyan működik.
A Nemzetközi ATM-gyártók Szövetségének (ATMIA) vezetője „fekete dobozok”, mint a legveszélyesebb fenyegetés az ATM-ekre.
Egy tipikus ATM egy házban elhelyezett kész elektromechanikus alkatrészek halmaza. Az ATM-gyártók hardveralkotásaikat a számlakiadóból, kártyaolvasóból és más, külső beszállítók által már kifejlesztett komponensekből építik fel. Egyfajta LEGO konstruktor felnőtteknek. A kész alkatrészeket az ATM testébe helyezik, amely általában két rekeszből áll: egy felső rekeszből ("szekrény" vagy "szervizterület") és egy alsó rekeszből (széf). Az összes elektromechanikus alkatrész USB és COM portokon keresztül csatlakozik a rendszeregységhez, amely ebben az esetben gazdagépként működik. A régebbi ATM-modelleknél az SDC buszon keresztül is találhat kapcsolatokat.
Az ATM-kártyázás fejlődése
A hatalmas összegeket tartalmazó ATM-ek mindig vonzzák a kártyásokat. A kártyások eleinte csak az ATM-védelem durva fizikai hiányosságait használták ki – skimmereket és shimmereket használtak, hogy adatokat lopjanak el a mágnescsíkokból; Hamis tűpárnák és kamerák a PIN-kódok megtekintéséhez; és még hamis ATM-ek is.
Aztán amikor az ATM-eket elkezdték felszerelni egységes szabványok szerint működő szoftverekkel, mint például az XFS (eXtensions for Financial Services), a kártyások számítógépes vírusokkal kezdték megtámadni az ATM-eket.
Ezek közé tartozik a Trojan.Skimmer, a Backdoor.Win32.Skimer, a Ploutus, az ATMii és számos más néven meg nem nevezett rosszindulatú program, amelyeket a kártyák telepítenek az ATM gazdagépére vagy egy indítható USB flash meghajtón vagy egy TCP távvezérlő porton keresztül.
ATM fertőzési folyamat
Az XFS alrendszer rögzítése után a kártevő engedély nélkül parancsokat adhat ki a bankjegykiadónak. Vagy adjunk parancsokat a kártyaolvasónak: olvassuk/írjuk egy bankkártya mágnescsíkját, és akár az EMV kártya chipjén tárolt tranzakciós előzményeket is lekérhetjük. Az EPP (Encrypting PIN Pad) külön figyelmet érdemel. Általánosan elfogadott, hogy a rajta megadott PIN kódot nem lehet lehallgatni. Az XFS azonban lehetővé teszi az EPP pinpad használatát kétféle módban: 1) nyitott mód (különféle numerikus paraméterek, például a kifizetendő összeg megadásához); 2) csökkentett mód (az EPP átvált rá, ha PIN-kódot vagy titkosítási kulcsot kell megadnia). Az XFS ezen funkciója lehetővé teszi a kártyázó számára, hogy MiTM támadást hajtson végre: elfogja a biztonságos mód aktiváló parancsát, amelyet a gazdagép küldött az EPP-nek, majd értesíti az EPP gombostűt, hogy továbbra is működnie kell nyitott módban. Erre az üzenetre válaszul az EPP szöveges billentyűleütéseket küld.
A „fekete doboz” működési elve
Az elmúlt években, Az Europol, az ATM malware jelentősen fejlődött. A kártyásoknak többé nem kell fizikailag hozzáférniük az ATM-hez, hogy megfertőzzék azt. Távoli hálózati támadásokkal megfertőzhetik az ATM-eket a bank vállalati hálózatán keresztül. Az IB csoport 2016-ban több mint 10 európai országban érték az ATM-eket távoli támadásoknak.
Távoli hozzáféréssel megtámadják az ATM-et
A víruskeresők, a firmware-frissítések blokkolása, az USB-portok blokkolása és a merevlemez titkosítása – bizonyos mértékig megvédik az ATM-et a kártyások vírustámadásaitól. De mi van akkor, ha a kártya nem támadja meg a gazdagépet, hanem közvetlenül a perifériára csatlakozik (RS232-n vagy USB-n keresztül) - kártyaolvasóhoz, tűtáblához vagy pénzkiadóhoz?
Első ismerkedés a „fekete dobozzal”
Napjaink műszakilag jártas kártyásai , az ATM-ből készpénz ellopására használt ún. A „fekete dobozok” speciálisan programozott egykártyás mikroszámítógépek, mint például a Raspberry Pi. A „fekete dobozok” teljesen kiürítik az ATM-eket, teljesen varázslatos módon (a bankárok szemszögéből). A kártyások varázseszközüket közvetlenül a számlakiadóhoz csatlakoztatják; hogy az összes rendelkezésre álló pénzt kivonja belőle. Ez a támadás megkerül minden, az ATM gazdagépen telepített biztonsági szoftvert (vírusirtó, integritásfigyelés, teljes lemeztitkosítás stb.).
"Fekete doboz" Raspberry Pi alapján
A legnagyobb ATM-gyártók és kormányzati hírszerző ügynökségek, akik a „fekete doboz” számos megvalósításával szembesültek, hogy ezek az okos számítógépek arra késztetik az ATM-eket, hogy kiköpjék az összes rendelkezésre álló készpénzt; 40 bankjegy 20 másodpercenként. A biztonsági szolgálatok arra is figyelmeztetnek, hogy a kártyások leggyakrabban a gyógyszertárak és bevásárlóközpontok ATM-jeit veszik célba; valamint az útközben közlekedő autósokat kiszolgáló ATM-ekre is.
A legóvatosabb kártyázók ugyanakkor, hogy ne kerüljenek kamerák elé, egy nem túl értékes társukat, egy öszvért veszik igénybe. És hogy ne tudja kisajátítani magának a „fekete dobozt”, használják . Eltávolítják a kulcsfontosságú funkciókat a „fekete dobozból”, és egy okostelefont csatlakoztatnak hozzá, amelyet csatornaként használnak a parancsok távoli továbbítására a lecsupaszított „fekete doboz” számára az IP protokollon keresztül.
A „fekete doboz” módosítása, távelérésen keresztüli aktiválással
Hogyan néz ki ez a bankárok szemszögéből? A videokamerákról készült felvételeken valami ilyesmi történik: egy bizonyos személy kinyitja a felső rekeszt (szerviz területet), csatlakoztat egy „varázsdobozt” az ATM-hez, bezárja a felső rekeszt és távozik. Kicsit később többen, látszólag hétköznapi vásárlók lépnek fel az ATM-hez, és hatalmas összegeket vesznek fel. A kártyás ezután visszatér, és előveszi kis varázseszközét az ATM-ből. A „fekete doboz” ATM-támadás tényét jellemzően csak néhány nap múlva derítik ki: amikor az üres széf és a készpénzfelvételi napló nem egyezik. Ennek eredményeként a banki alkalmazottak csak .
Az ATM-kommunikáció elemzése
Mint fentebb említettük, a rendszeregység és a perifériás eszközök közötti interakció USB-n, RS232-n vagy SDC-n keresztül történik. A carder közvetlenül csatlakozik a periféria portjához, és parancsokat küld neki - a gazdagép megkerülésével. Ez nagyon egyszerű, mivel a szabványos interfészek nem igényelnek semmilyen speciális illesztőprogramot. És a védett protokollok, amelyekkel a periféria és a gazdagép kölcsönhatásba lépnek, nem igényelnek engedélyt (elvégre az eszköz egy megbízható zónán belül található); és ezért ezek a nem biztonságos protokollok, amelyeken keresztül a periféria és a gazdagép kommunikálnak, könnyen lehallgathatók, és könnyen érzékenyek az újrajátszható támadásokra.
Hogy. A kártyások szoftveres vagy hardveres forgalomelemzőt használhatnak, közvetlenül egy adott periféria (például kártyaolvasó) portjához csatlakoztatva a továbbított adatok összegyűjtéséhez. A forgalomelemző segítségével a kártyaolvasó megtanulja az ATM működésének összes műszaki részletét, beleértve a perifériák nem dokumentált funkcióit (például egy periféria firmware-ének megváltoztatásának funkcióját). Ennek eredményeként a kártyakezelő teljes ellenőrzést szerez az ATM felett. Ugyanakkor meglehetősen nehéz észlelni a forgalomelemző jelenlétét.
A bankjegy-adagoló közvetlen vezérlése azt jelenti, hogy az ATM-kazetták kiüríthetők anélkül, hogy a naplókban rögzítenének, amelyeket általában a gazdagépen telepített szoftver visz be. Azok számára, akik nem ismerik az ATM hardver- és szoftverarchitektúráját, valóban varázslatosnak tűnhet.
Honnan származnak a fekete dobozok?
Az ATM-beszállítók és alvállalkozók hibakereső segédprogramokat fejlesztenek az ATM-hardverek diagnosztizálására, beleértve a készpénzfelvételért felelős elektromos mechanikát is. Ezen segédprogramok között: , . Az alábbi ábra több ilyen diagnosztikai segédprogramot mutat be.
ATMDesk vezérlőpult
RapidFire ATM XFS vezérlőpult
Számos diagnosztikai segédprogram összehasonlító jellemzői
Az ilyen segédprogramokhoz való hozzáférés általában személyre szabott tokenekre korlátozódik; és csak akkor működnek, ha az ATM széf ajtaja nyitva van. Azonban egyszerűen néhány bájt cseréjével a segédprogram, a carders bináris kódjában „teszt” készpénzfelvétel - a közüzemi gyártó által biztosított csekkek megkerülésével. A kártyások ilyen módosított segédprogramokat telepítenek laptopjukra vagy egylapos mikroszámítógépükre, amelyeket azután közvetlenül a bankjegykiadóhoz csatlakoztatva jogosulatlan készpénzfelvételt hajtanak végre.
„Utolsó mérföld” és hamis feldolgozóközpont
A perifériával való közvetlen interakció, a gazdaszervezettel való kommunikáció nélkül, csak az egyik hatékony kártolási technikák közül. Más technikák azon a tényen alapulnak, hogy sokféle hálózati interfészünk van, amelyeken keresztül az ATM kommunikál a külvilággal. X.25-től Ethernetig és mobilhálózatig. Sok ATM azonosítható és lokalizálható a Shodan szolgáltatás segítségével (a használatára vonatkozó legtömörebb utasításokat mutatjuk be ), – egy későbbi támadással, amely egy sebezhető biztonsági konfigurációt, az adminisztrátor lustaságát és a bank különböző részlegei közötti sebezhető kommunikációt használja ki.
Az ATM és a feldolgozóközpont közötti kommunikáció „utolsó mérföldje” a legkülönfélébb technológiákban gazdag, amelyek belépési pontként szolgálhatnak a kártyázó számára. Az interakció történhet vezetékes (telefonvonal vagy Ethernet) vagy vezeték nélküli (Wi-Fi, cellás: CDMA, GSM, UMTS, LTE) kommunikációs módszerrel. A biztonsági mechanizmusok a következőket foglalhatják magukban: 1) a VPN-t támogató hardver vagy szoftver (mind szabványos, az operációs rendszerbe beépített, mind harmadik féltől származó); 2) SSL/TLS (mind egy adott ATM-modellre jellemző, mind pedig külső gyártóktól származnak); 3) titkosítás; 4) üzenet hitelesítés.
De hogy a bankok számára a felsorolt technológiák nagyon összetettnek tűnnek, ezért nem zavarják magukat speciális hálózatvédelemmel; vagy hibákkal valósítják meg. A legjobb esetben az ATM kommunikál a VPN szerverrel, és már a privát hálózaton belül csatlakozik a feldolgozó központhoz. Ráadásul, ha a bankoknak sikerül is bevezetniük a fent felsorolt védelmi mechanizmusokat, a kártyás már hatékony támadásokat intéz ellenük. Hogy. Még ha a biztonság megfelel a PCI DSS szabványnak, az ATM-ek továbbra is sebezhetőek.
A PCI DSS egyik alapvető követelménye, hogy minden érzékeny adatot titkosítani kell, amikor nyilvános hálózaton továbbítják. És valójában vannak olyan hálózataink, amelyeket eredetileg úgy terveztek, hogy a bennük lévő adatok teljesen titkosítottak! Ezért csábító azt mondani: „Az adataink titkosítva vannak, mert Wi-Fi-t és GSM-et használunk.” Sok ilyen hálózat azonban nem nyújt kellő biztonságot. Minden generáció mobilhálózatait régóta feltörték. Végül és visszavonhatatlanul. És vannak olyan beszállítók is, amelyek eszközöket kínálnak a rajtuk továbbított adatok lehallgatására.
Ezért akár egy nem biztonságos kommunikációban, akár egy „privát” hálózatban, ahol minden ATM sugározza magát a többi ATM-nek, egy MiTM „hamis feldolgozóközpont” támadás indulhat, ami ahhoz vezet, hogy a kártya átveszi az irányítást a között továbbított adatfolyamok felett. ATM és feldolgozó központ.
ATM-ek ezrei érintettek. Az eredeti feldolgozóközpont felé vezető úton a kártya behelyezi a saját, hamis kártyáját. Ez a hamis feldolgozó központ parancsokat ad az ATM-nek a bankjegyek kiadására. Ebben az esetben a kártyakezelő úgy állítja be a feldolgozó központját, hogy a készpénzt attól függetlenül adják ki, hogy melyik kártya van behelyezve az ATM-be - még akkor is, ha az lejárt vagy nulla egyenlege van. A lényeg, hogy a hamis feldolgozóközpont „felismerje”. A hamis feldolgozóközpont lehet házi készítésű termék vagy feldolgozóközpont-szimulátor, amelyet eredetileg a hálózati beállítások hibakeresésére terveztek (egy másik ajándék a „gyártótól” a kártolóknak).
A következő képen parancsok kiírása 40 bankjegy kibocsátásához a negyedik kazettából - egy hamis feldolgozóközpontból küldött és az ATM-szoftver naplóiban tárolva. Szinte valódinak tűnnek.
Egy hamis feldolgozóközpont parancslerakása
Forrás: will.com