Kotak-kotak besi berisi uang yang berdiri di jalanan kota mau tak mau menarik perhatian para pecinta uang cepat. Dan jika sebelumnya metode fisik murni digunakan untuk mengosongkan ATM, kini semakin banyak trik yang berhubungan dengan komputer yang digunakan. Sekarang yang paling relevan adalah “kotak hitam” dengan komputer mikro papan tunggal di dalamnya. Kami akan membicarakan cara kerjanya di artikel ini.
Ketua Asosiasi Produsen ATM Internasional (ATMIA)
ATM tipikal adalah seperangkat komponen elektromekanis siap pakai yang ditempatkan dalam satu wadah. Produsen ATM membangun kreasi perangkat keras mereka dari dispenser tagihan, pembaca kartu, dan komponen lain yang telah dikembangkan oleh pemasok pihak ketiga. Semacam konstruktor LEGO untuk orang dewasa. Komponen yang sudah jadi ditempatkan di badan ATM, yang biasanya terdiri dari dua kompartemen: kompartemen atas ("kabinet" atau "area layanan"), dan kompartemen bawah (brankas). Semua komponen elektromekanis dihubungkan melalui port USB dan COM ke unit sistem, yang dalam hal ini bertindak sebagai host. Pada model ATM lama Anda juga dapat menemukan koneksi melalui bus SDC.
Evolusi carding ATM
ATM dengan jumlah uang yang besar di dalamnya selalu menarik perhatian para carder. Pada awalnya, carder hanya mengeksploitasi kelemahan fisik perlindungan ATM - mereka menggunakan skimmer dan shimmer untuk mencuri data dari strip magnetik; bantalan pin palsu dan kamera untuk melihat kode pin; dan bahkan ATM palsu.
Kemudian, ketika ATM mulai dilengkapi dengan perangkat lunak terpadu yang beroperasi sesuai standar umum, seperti XFS (eXtensions for Financial Services), para carder mulai menyerang ATM dengan virus komputer.
Diantaranya adalah Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii dan banyak malware lain yang diberi nama dan tidak disebutkan namanya, yang ditanam oleh carder pada host ATM baik melalui flash drive USB yang dapat di-boot atau melalui port kendali jarak jauh TCP.
Proses infeksi ATM
Setelah menangkap subsistem XFS, malware dapat mengeluarkan perintah ke dispenser uang kertas tanpa izin. Atau memberikan perintah kepada pembaca kartu: membaca/menulis strip magnetik kartu bank dan bahkan mengambil riwayat transaksi yang tersimpan di chip kartu EMV. EPP (Encrypting PIN Pad) patut mendapat perhatian khusus. Secara umum diterima bahwa kode PIN yang dimasukkan tidak dapat disadap. Namun, XFS memungkinkan Anda menggunakan pinpad EPP dalam dua mode: 1) mode terbuka (untuk memasukkan berbagai parameter numerik, seperti jumlah yang akan diuangkan); 2) mode aman (EPP beralih ke sana ketika Anda perlu memasukkan kode PIN atau kunci enkripsi). Fitur XFS ini memungkinkan carder untuk melakukan serangan MiTM: mencegat perintah aktivasi mode aman yang dikirim dari host ke EPP, dan kemudian memberi tahu pinpad EPP bahwa ia harus terus bekerja dalam mode terbuka. Menanggapi pesan ini, EPP mengirimkan penekanan tombol dalam teks yang jelas.
Prinsip pengoperasian “kotak hitam”
Dalam beberapa tahun terakhir,
Menyerang ATM melalui akses jarak jauh
Antivirus, memblokir pembaruan firmware, memblokir port USB, dan mengenkripsi hard drive - sampai batas tertentu melindungi ATM dari serangan virus oleh carder. Namun bagaimana jika carder tidak menyerang host, namun terhubung langsung ke periferal (melalui RS232 atau USB) - ke pembaca kartu, pin pad, atau mesin ATM tunai?
Kenalan pertama dengan “kotak hitam”
Carder yang paham teknologi saat ini
"Kotak hitam" berdasarkan Raspberry Pi
Produsen ATM terbesar dan badan intelijen pemerintah, dihadapkan pada beberapa penerapan "kotak hitam",
Pada saat yang sama, agar tidak muncul di depan kamera, carder yang paling berhati-hati meminta bantuan dari beberapa mitra yang tidak terlalu berharga, seekor bagal. Dan agar dia tidak bisa mengambil “kotak hitam” untuk dirinya sendiri, mereka menggunakannya
Modifikasi “kotak hitam”, dengan aktivasi melalui akses jarak jauh
Apa yang dilihat dari sudut pandang para bankir? Dalam rekaman dari kamera video, hal seperti ini terjadi: seseorang membuka kompartemen atas (area layanan), menghubungkan “kotak ajaib” ke ATM, menutup kompartemen atas dan keluar. Beberapa saat kemudian, beberapa orang, yang tampaknya pelanggan biasa, mendekati ATM dan menarik uang dalam jumlah besar. Carder kemudian kembali dan mengambil perangkat ajaib kecilnya dari ATM. Biasanya, fakta serangan ATM oleh “kotak hitam” baru diketahui setelah beberapa hari: ketika brankas kosong dan log penarikan tunai tidak cocok. Alhasil, pegawai bank hanya bisa
Analisis komunikasi ATM
Seperti disebutkan di atas, interaksi antara unit sistem dan perangkat periferal dilakukan melalui USB, RS232 atau SDC. Carder terhubung langsung ke port perangkat periferal dan mengirimkan perintah ke sana - melewati host. Ini cukup sederhana, karena antarmuka standar tidak memerlukan driver khusus. Dan protokol kepemilikan yang digunakan perangkat dan host untuk berinteraksi tidak memerlukan otorisasi (bagaimanapun juga, perangkat terletak di dalam zona tepercaya); Oleh karena itu, protokol-protokol yang tidak aman ini, yang digunakan oleh periferal dan host untuk berkomunikasi, mudah disadap dan rentan terhadap serangan berulang.
Itu. Carder dapat menggunakan penganalisis lalu lintas perangkat lunak atau perangkat keras dengan menghubungkannya langsung ke port perangkat periferal tertentu (misalnya, pembaca kartu) untuk mengumpulkan data yang dikirimkan. Dengan menggunakan penganalisis lalu lintas, carder mempelajari semua rincian teknis pengoperasian ATM, termasuk fungsi periferalnya yang tidak terdokumentasi (misalnya, fungsi mengubah firmware perangkat periferal). Hasilnya, carder mendapatkan kendali penuh atas ATM. Pada saat yang sama, cukup sulit untuk mendeteksi keberadaan penganalisis lalu lintas.
Kontrol langsung atas dispenser uang kertas berarti bahwa kaset ATM dapat dikosongkan tanpa pencatatan apa pun di log, yang biasanya dimasukkan oleh perangkat lunak yang digunakan pada host. Bagi mereka yang belum familiar dengan arsitektur perangkat keras dan perangkat lunak ATM, ini benar-benar terlihat seperti keajaiban.
Dari mana datangnya kotak hitam?
Pemasok dan subkontraktor ATM sedang mengembangkan utilitas debugging untuk mendiagnosis perangkat keras ATM, termasuk mekanik kelistrikan yang bertanggung jawab atas penarikan tunai. Di antara utilitas tersebut:
Panel Kontrol ATMDesk
Panel Kontrol XFS ATM RapidFire
Karakteristik komparatif dari beberapa utilitas diagnostik
Akses ke utilitas tersebut biasanya terbatas pada token yang dipersonalisasi; dan hanya berfungsi bila pintu brankas ATM terbuka. Namun, cukup dengan mengganti beberapa byte dalam kode biner utilitas, carders
“Last mile” dan pusat pemrosesan palsu
Interaksi langsung dengan periferal, tanpa komunikasi dengan tuan rumah, hanyalah salah satu teknik carding yang efektif. Teknik lain bergantung pada fakta bahwa kita memiliki beragam antarmuka jaringan yang melaluinya ATM berkomunikasi dengan dunia luar. Dari X.25 hingga Ethernet dan seluler. Banyak ATM dapat diidentifikasi dan dilokalisasi menggunakan layanan Shodan (instruksi paling ringkas untuk penggunaannya disajikan
Komunikasi “last mile” antara ATM dan pusat pemrosesan kaya akan beragam teknologi yang dapat berfungsi sebagai titik masuk bagi carder. Interaksi dapat dilakukan melalui metode komunikasi kabel (saluran telepon atau Ethernet) atau nirkabel (Wi-Fi, seluler: CDMA, GSM, UMTS, LTE). Mekanisme keamanan dapat mencakup: 1) perangkat keras atau perangkat lunak untuk mendukung VPN (baik standar, bawaan OS, dan dari pihak ketiga); 2) SSL/TLS (khusus untuk model ATM tertentu dan dari produsen pihak ketiga); 3) enkripsi; 4) otentikasi pesan.
Tetapi
Salah satu persyaratan inti PCI DSS adalah semua data sensitif harus dienkripsi ketika dikirimkan melalui jaringan publik. Dan kami sebenarnya memiliki jaringan yang awalnya dirancang sedemikian rupa sehingga data di dalamnya terenkripsi sepenuhnya! Oleh karena itu, kita tergoda untuk mengatakan: “Data kami dienkripsi karena kami menggunakan Wi-Fi dan GSM.” Namun, banyak dari jaringan ini tidak memberikan keamanan yang memadai. Jaringan seluler dari semua generasi telah lama diretas. Akhirnya dan tidak dapat ditarik kembali. Dan bahkan ada pemasok yang menawarkan perangkat untuk mencegat data yang dikirimkan melalui mereka.
Oleh karena itu, baik dalam komunikasi yang tidak aman atau dalam jaringan “pribadi”, di mana setiap ATM menyiarkan dirinya ke ATM lain, serangan “pusat pemrosesan palsu” MiTM dapat dimulai - yang akan menyebabkan carder mengambil kendali atas aliran data yang dikirimkan antara ATM dan pusat pemrosesan.
Pada gambar berikut
Tempat pembuangan perintah dari pusat pemrosesan palsu
Sumber: www.habr.com