Kotak-kotak besi berisi uang yang berdiri di jalanan kota mau tak mau menarik perhatian para pecinta uang cepat. Dan jika sebelumnya metode fisik murni digunakan untuk mengosongkan ATM, kini semakin banyak trik yang berhubungan dengan komputer yang digunakan. Sekarang yang paling relevan adalah “kotak hitam” dengan komputer mikro papan tunggal di dalamnya. Kami akan membicarakan cara kerjanya di artikel ini.
Ketua Asosiasi Produsen ATM Internasional (ATMIA) "kotak hitam" sebagai ancaman paling berbahaya bagi ATM.
ATM tipikal adalah seperangkat komponen elektromekanis siap pakai yang ditempatkan dalam satu wadah. Produsen ATM membangun kreasi perangkat keras mereka dari dispenser tagihan, pembaca kartu, dan komponen lain yang telah dikembangkan oleh pemasok pihak ketiga. Semacam konstruktor LEGO untuk orang dewasa. Komponen yang sudah jadi ditempatkan di badan ATM, yang biasanya terdiri dari dua kompartemen: kompartemen atas ("kabinet" atau "area layanan"), dan kompartemen bawah (brankas). Semua komponen elektromekanis dihubungkan melalui port USB dan COM ke unit sistem, yang dalam hal ini bertindak sebagai host. Pada model ATM lama Anda juga dapat menemukan koneksi melalui bus SDC.
Evolusi carding ATM
ATM dengan jumlah uang yang besar di dalamnya selalu menarik perhatian para carder. Pada awalnya, carder hanya mengeksploitasi kelemahan fisik perlindungan ATM - mereka menggunakan skimmer dan shimmer untuk mencuri data dari strip magnetik; bantalan pin palsu dan kamera untuk melihat kode pin; dan bahkan ATM palsu.
Kemudian, ketika ATM mulai dilengkapi dengan perangkat lunak terpadu yang beroperasi sesuai standar umum, seperti XFS (eXtensions for Financial Services), para carder mulai menyerang ATM dengan virus komputer.
Diantaranya adalah Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii dan banyak malware lain yang diberi nama dan tidak disebutkan namanya, yang ditanam oleh carder pada host ATM baik melalui flash drive USB yang dapat di-boot atau melalui port kendali jarak jauh TCP.
Proses infeksi ATM
Setelah menangkap subsistem XFS, malware dapat mengeluarkan perintah ke dispenser uang kertas tanpa izin. Atau memberikan perintah kepada pembaca kartu: membaca/menulis strip magnetik kartu bank dan bahkan mengambil riwayat transaksi yang tersimpan di chip kartu EMV. EPP (Encrypting PIN Pad) patut mendapat perhatian khusus. Secara umum diterima bahwa kode PIN yang dimasukkan tidak dapat disadap. Namun, XFS memungkinkan Anda menggunakan pinpad EPP dalam dua mode: 1) mode terbuka (untuk memasukkan berbagai parameter numerik, seperti jumlah yang akan diuangkan); 2) mode aman (EPP beralih ke sana ketika Anda perlu memasukkan kode PIN atau kunci enkripsi). Fitur XFS ini memungkinkan carder untuk melakukan serangan MiTM: mencegat perintah aktivasi mode aman yang dikirim dari host ke EPP, dan kemudian memberi tahu pinpad EPP bahwa ia harus terus bekerja dalam mode terbuka. Menanggapi pesan ini, EPP mengirimkan penekanan tombol dalam teks yang jelas.
Prinsip pengoperasian “kotak hitam”
Dalam beberapa tahun terakhir, Europol, malware ATM telah berkembang secara signifikan. Carders tidak perlu lagi memiliki akses fisik ke ATM untuk menularkannya. Mereka dapat menginfeksi ATM melalui serangan jaringan jarak jauh menggunakan jaringan korporat bank. Grup IB, pada tahun 2016 di lebih dari 10 negara Eropa, ATM menjadi sasaran serangan jarak jauh.
Menyerang ATM melalui akses jarak jauh
Antivirus, memblokir pembaruan firmware, memblokir port USB, dan mengenkripsi hard drive - sampai batas tertentu melindungi ATM dari serangan virus oleh carder. Namun bagaimana jika carder tidak menyerang host, namun terhubung langsung ke periferal (melalui RS232 atau USB) - ke pembaca kartu, pin pad, atau mesin ATM tunai?
Kenalan pertama dengan “kotak hitam”
Carder yang paham teknologi saat ini , menggunakan apa yang disebut untuk mencuri uang tunai dari ATM. “kotak hitam” adalah mikrokomputer papan tunggal yang diprogram secara khusus, seperti Raspberry Pi. “Kotak hitam” mengosongkan ATM sepenuhnya, dengan cara yang benar-benar ajaib (dari sudut pandang para bankir). Carders menghubungkan perangkat ajaib mereka langsung ke dispenser tagihan; untuk mengambil semua uang yang tersedia darinya. Serangan ini melewati semua perangkat lunak keamanan yang digunakan pada host ATM (antivirus, pemantauan integritas, enkripsi disk penuh, dll.).
"Kotak hitam" berdasarkan Raspberry Pi
Produsen ATM terbesar dan badan intelijen pemerintah, dihadapkan pada beberapa penerapan "kotak hitam", bahwa komputer pintar ini mendorong ATM mengeluarkan semua uang tunai yang ada; 40 uang kertas setiap 20 detik. Layanan keamanan juga memperingatkan bahwa carder paling sering menargetkan ATM di apotek dan pusat perbelanjaan; dan juga ke ATM yang melayani pengendara saat bepergian.
Pada saat yang sama, agar tidak muncul di depan kamera, carder yang paling berhati-hati meminta bantuan dari beberapa mitra yang tidak terlalu berharga, seekor bagal. Dan agar dia tidak bisa mengambil “kotak hitam” untuk dirinya sendiri, mereka menggunakannya . Mereka menghapus fungsionalitas utama dari "kotak hitam" dan menghubungkan ponsel cerdas ke dalamnya, yang digunakan sebagai saluran untuk mengirimkan perintah jarak jauh ke "kotak hitam" melalui protokol IP.
Modifikasi “kotak hitam”, dengan aktivasi melalui akses jarak jauh
Apa yang dilihat dari sudut pandang para bankir? Dalam rekaman dari kamera video, hal seperti ini terjadi: seseorang membuka kompartemen atas (area layanan), menghubungkan “kotak ajaib” ke ATM, menutup kompartemen atas dan keluar. Beberapa saat kemudian, beberapa orang, yang tampaknya pelanggan biasa, mendekati ATM dan menarik uang dalam jumlah besar. Carder kemudian kembali dan mengambil perangkat ajaib kecilnya dari ATM. Biasanya, fakta serangan ATM oleh “kotak hitam” baru diketahui setelah beberapa hari: ketika brankas kosong dan log penarikan tunai tidak cocok. Alhasil, pegawai bank hanya bisa .
Analisis komunikasi ATM
Seperti disebutkan di atas, interaksi antara unit sistem dan perangkat periferal dilakukan melalui USB, RS232 atau SDC. Carder terhubung langsung ke port perangkat periferal dan mengirimkan perintah ke sana - melewati host. Ini cukup sederhana, karena antarmuka standar tidak memerlukan driver khusus. Dan protokol kepemilikan yang digunakan perangkat dan host untuk berinteraksi tidak memerlukan otorisasi (bagaimanapun juga, perangkat terletak di dalam zona tepercaya); Oleh karena itu, protokol-protokol yang tidak aman ini, yang digunakan oleh periferal dan host untuk berkomunikasi, mudah disadap dan rentan terhadap serangan berulang.
Itu. Carder dapat menggunakan penganalisis lalu lintas perangkat lunak atau perangkat keras dengan menghubungkannya langsung ke port perangkat periferal tertentu (misalnya, pembaca kartu) untuk mengumpulkan data yang dikirimkan. Dengan menggunakan penganalisis lalu lintas, carder mempelajari semua rincian teknis pengoperasian ATM, termasuk fungsi periferalnya yang tidak terdokumentasi (misalnya, fungsi mengubah firmware perangkat periferal). Hasilnya, carder mendapatkan kendali penuh atas ATM. Pada saat yang sama, cukup sulit untuk mendeteksi keberadaan penganalisis lalu lintas.
Kontrol langsung atas dispenser uang kertas berarti bahwa kaset ATM dapat dikosongkan tanpa pencatatan apa pun di log, yang biasanya dimasukkan oleh perangkat lunak yang digunakan pada host. Bagi mereka yang belum familiar dengan arsitektur perangkat keras dan perangkat lunak ATM, ini benar-benar terlihat seperti keajaiban.
Dari mana datangnya kotak hitam?
Pemasok dan subkontraktor ATM sedang mengembangkan utilitas debugging untuk mendiagnosis perangkat keras ATM, termasuk mekanik kelistrikan yang bertanggung jawab atas penarikan tunai. Di antara utilitas tersebut: , . Gambar di bawah menunjukkan beberapa utilitas diagnostik lainnya.
Panel Kontrol ATMDesk
Panel Kontrol XFS ATM RapidFire
Karakteristik komparatif dari beberapa utilitas diagnostik
Akses ke utilitas tersebut biasanya terbatas pada token yang dipersonalisasi; dan hanya berfungsi bila pintu brankas ATM terbuka. Namun, cukup dengan mengganti beberapa byte dalam kode biner utilitas, carders penarikan tunai “uji” - melewati cek yang diberikan oleh produsen utilitas. Carder menginstal utilitas yang dimodifikasi tersebut di laptop atau komputer mikro single-board mereka, yang kemudian dihubungkan langsung ke dispenser uang kertas untuk melakukan penarikan tunai tanpa izin.
“Last mile” dan pusat pemrosesan palsu
Interaksi langsung dengan periferal, tanpa komunikasi dengan tuan rumah, hanyalah salah satu teknik carding yang efektif. Teknik lain bergantung pada fakta bahwa kita memiliki beragam antarmuka jaringan yang melaluinya ATM berkomunikasi dengan dunia luar. Dari X.25 hingga Ethernet dan seluler. Banyak ATM dapat diidentifikasi dan dilokalisasi menggunakan layanan Shodan (instruksi paling ringkas untuk penggunaannya disajikan ), – dengan serangan berikutnya yang mengeksploitasi konfigurasi keamanan yang rentan, kemalasan administrator, dan komunikasi yang rentan antara berbagai departemen di bank.
Komunikasi “last mile” antara ATM dan pusat pemrosesan kaya akan beragam teknologi yang dapat berfungsi sebagai titik masuk bagi carder. Interaksi dapat dilakukan melalui metode komunikasi kabel (saluran telepon atau Ethernet) atau nirkabel (Wi-Fi, seluler: CDMA, GSM, UMTS, LTE). Mekanisme keamanan dapat mencakup: 1) perangkat keras atau perangkat lunak untuk mendukung VPN (baik standar, bawaan OS, dan dari pihak ketiga); 2) SSL/TLS (khusus untuk model ATM tertentu dan dari produsen pihak ketiga); 3) enkripsi; 4) otentikasi pesan.
Tetapi bahwa bagi bank, teknologi yang terdaftar tampak sangat kompleks, dan oleh karena itu mereka tidak memerlukan perlindungan jaringan khusus; atau mereka menerapkannya dengan kesalahan. Paling-paling, ATM berkomunikasi dengan server VPN, dan sudah berada di dalam jaringan pribadi, ATM terhubung ke pusat pemrosesan. Selain itu, meskipun bank berhasil menerapkan mekanisme perlindungan yang disebutkan di atas, carder sudah mempunyai serangan yang efektif terhadap bank tersebut. Itu. Meskipun keamanannya mematuhi standar PCI DSS, ATM masih rentan.
Salah satu persyaratan inti PCI DSS adalah semua data sensitif harus dienkripsi ketika dikirimkan melalui jaringan publik. Dan kami sebenarnya memiliki jaringan yang awalnya dirancang sedemikian rupa sehingga data di dalamnya terenkripsi sepenuhnya! Oleh karena itu, kita tergoda untuk mengatakan: “Data kami dienkripsi karena kami menggunakan Wi-Fi dan GSM.” Namun, banyak dari jaringan ini tidak memberikan keamanan yang memadai. Jaringan seluler dari semua generasi telah lama diretas. Akhirnya dan tidak dapat ditarik kembali. Dan bahkan ada pemasok yang menawarkan perangkat untuk mencegat data yang dikirimkan melalui mereka.
Oleh karena itu, baik dalam komunikasi yang tidak aman atau dalam jaringan “pribadi”, di mana setiap ATM menyiarkan dirinya ke ATM lain, serangan “pusat pemrosesan palsu” MiTM dapat dimulai - yang akan menyebabkan carder mengambil kendali atas aliran data yang dikirimkan antara ATM dan pusat pemrosesan.
Ribuan ATM berpotensi terkena dampaknya. Dalam perjalanan ke pusat pemrosesan asli, cardr memasukkan miliknya yang palsu. Pusat pemrosesan palsu ini memberikan perintah kepada ATM untuk mengeluarkan uang kertas. Dalam hal ini, pembuat kartu mengkonfigurasi pusat pemrosesannya sedemikian rupa sehingga uang tunai dikeluarkan terlepas dari kartu mana yang dimasukkan ke dalam ATM - meskipun kartu tersebut telah kedaluwarsa atau saldonya nol. Hal utama adalah pusat pemrosesan palsu “mengenalinya”. Pusat pemrosesan palsu dapat berupa produk buatan sendiri atau simulator pusat pemrosesan, yang awalnya dirancang untuk men-debug pengaturan jaringan (hadiah lain dari "produsen" untuk carder).
Pada gambar berikut dump perintah untuk mengeluarkan 40 uang kertas dari kaset keempat - dikirim dari pusat pemrosesan palsu dan disimpan dalam log perangkat lunak ATM. Mereka terlihat hampir nyata.
Tempat pembuangan perintah dari pusat pemrosesan palsu
Sumber: www.habr.com