Le scatole di ferro con i soldi in piedi per le strade della città non possono fare a meno di attirare l'attenzione degli amanti del denaro veloce. E se prima per svuotare i bancomat si utilizzavano metodi puramente fisici, ora si utilizzano sempre più abili trucchi informatici. Ora la più rilevante di queste è una "scatola nera" con all'interno un microcomputer a scheda singola. Parleremo di come funziona in questo articolo.
Responsabile dell'Associazione internazionale dei produttori di ATM (ATMIA)
Un tipico bancomat è un insieme di componenti elettromeccanici già pronti alloggiati in un unico alloggiamento. I produttori di bancomat realizzano le loro creazioni hardware partendo da distributori di banconote, lettori di carte e altri componenti già sviluppati da fornitori terzi. Una sorta di costruttore LEGO per adulti. I componenti finiti vengono inseriti nella scocca dell'ATM, che solitamente è composta da due vani: un vano superiore ("armadio" o "zona di servizio"), ed un vano inferiore (cassaforte). Tutti i componenti elettromeccanici sono collegati tramite porte USB e COM all'unità di sistema, che in questo caso funge da host. Sui modelli ATM più vecchi potete trovare collegamenti anche tramite il bus SDC.
L'evoluzione della carta ATM
Gli sportelli bancomat con ingenti somme all'interno attirano invariabilmente i cardatori. Inizialmente, i cardatori sfruttavano solo le grossolane carenze fisiche della protezione del bancomat: utilizzavano skimmer e shimmer per rubare dati dalle bande magnetiche; falsi pin pad e fotocamere per la visualizzazione di codici pin; e persino falsi bancomat.
Poi, quando i bancomat iniziarono ad essere dotati di software unificato che funzionava secondo standard comuni, come XFS (eXtensions for Financial Services), i cardatori iniziarono ad attaccare i bancomat con virus informatici.
Tra questi ci sono Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii e altri numerosi malware con e senza nome, che i cardatori inseriscono nell'host ATM tramite un'unità flash USB avviabile o tramite una porta di controllo remoto TCP.
Processo di infezione del bancomat
Dopo aver catturato il sottosistema XFS, il malware può impartire comandi al distributore di banconote senza autorizzazione. Oppure impartisci comandi al lettore di carte: leggi/scrivi la banda magnetica di una carta bancaria e persino recupera la cronologia delle transazioni memorizzata sul chip della carta EMV. L'EPP (Encrypting PIN Pad) merita un'attenzione particolare. È generalmente accettato che il codice PIN inserito su di esso non possa essere intercettato. XFS consente tuttavia di utilizzare il pinpad EPP in due modalità: 1) modalità aperta (per inserire vari parametri numerici, come l'importo da incassare); 2) modalità provvisoria (l'EPP passa ad essa quando è necessario inserire un codice PIN o una chiave di crittografia). Questa funzionalità di XFS consente al carder di effettuare un attacco MiTM: intercettare il comando di attivazione della modalità provvisoria inviato dall'host all'EPP e quindi informare il pinpad dell'EPP che dovrebbe continuare a funzionare in modalità aperta. In risposta a questo messaggio, il PPE invia le sequenze di tasti in chiaro.
Principio di funzionamento di una “scatola nera”
Negli ultimi anni,
Attacco ad un bancomat tramite accesso remoto
Antivirus, blocco degli aggiornamenti del firmware, blocco delle porte USB e crittografia del disco rigido: in una certa misura proteggono il bancomat dagli attacchi di virus da parte dei cardatori. Ma cosa succede se la carder non attacca l'host, ma si collega direttamente alla periferia (tramite RS232 o USB) - a un lettore di carte, a un pin pad o a uno sportello automatico?
Prima conoscenza con la “scatola nera”
I cardatori di oggi esperti di tecnologia
"Scatola nera" basata su Raspberry Pi
I più grandi produttori di bancomat e le agenzie di intelligence governative, di fronte a diverse implementazioni della "scatola nera",
Allo stesso tempo, per non apparire davanti alle telecamere, i cardatori più cauti si avvalgono dell'aiuto di qualche compagno di scarso valore, un mulo. E affinché non possa appropriarsi della “scatola nera”, la usano
Modifica della “scatola nera”, con attivazione tramite accesso remoto
Cosa significa tutto questo dal punto di vista dei banchieri? Nelle registrazioni delle telecamere accade qualcosa del genere: una certa persona apre lo scomparto superiore (area di servizio), collega la “scatola magica” al bancomat, chiude lo scomparto superiore ed esce. Poco dopo, diverse persone, apparentemente normali clienti, si avvicinano al bancomat e prelevano enormi somme di denaro. Il cardatore poi ritorna e recupera il suo piccolo dispositivo magico dal bancomat. In genere, l'attacco ad un bancomat da parte di una "scatola nera" viene scoperto solo dopo pochi giorni: quando la cassaforte vuota e il registro dei prelievi di contanti non corrispondono. Di conseguenza, solo i dipendenti della banca possono farlo
Analisi delle comunicazioni ATM
Come notato sopra, l'interazione tra l'unità di sistema e i dispositivi periferici viene effettuata tramite USB, RS232 o SDC. La scheda si collega direttamente alla porta del dispositivo periferico e gli invia i comandi, bypassando l'host. Questo è abbastanza semplice perché le interfacce standard non richiedono driver specifici. E i protocolli proprietari con cui la periferica e l'host interagiscono non richiedono autorizzazione (dopotutto il dispositivo si trova all'interno di una zona sicura); e quindi questi protocolli non sicuri, attraverso i quali la periferica e l'host comunicano, sono facilmente intercettati e facilmente suscettibili ad attacchi di riproduzione.
Quello. I carder possono utilizzare un analizzatore di traffico software o hardware, collegandolo direttamente alla porta di uno specifico dispositivo periferico (ad esempio un lettore di carte) per raccogliere i dati trasmessi. Utilizzando un analizzatore di traffico, il cardatore apprende tutti i dettagli tecnici del funzionamento del bancomat, comprese le funzioni non documentate delle sue periferiche (ad esempio, la funzione di modifica del firmware di un dispositivo periferico). Di conseguenza, il cardatore acquisisce il pieno controllo del bancomat. Allo stesso tempo, è abbastanza difficile rilevare la presenza di un analizzatore di traffico.
Il controllo diretto dell'erogatore di banconote fa sì che le cassette ATM possano essere svuotate senza alcuna registrazione nei log, che normalmente vengono inseriti dal software installato sull'host. Per coloro che non hanno familiarità con l'architettura hardware e software dell'ATM, può davvero sembrare magico.
Da dove vengono le scatole nere?
I fornitori e i subappaltatori dei bancomat stanno sviluppando utilità di debug per diagnosticare l’hardware dei bancomat, compresi i meccanismi elettrici responsabili dei prelievi di contanti. Tra queste utilità:
Pannello di controllo di ATMDesk
Pannello di controllo RapidFire ATM XFS
Caratteristiche comparative di diverse utilità diagnostiche
L'accesso a tali utilità è normalmente limitato a token personalizzati; e funzionano solo quando la porta della cassaforte del bancomat è aperta. Tuttavia, semplicemente sostituendo alcuni byte nel codice binario dell'utilità, i cardatori
“Ultimo miglio” e finto centro di lavorazione
L'interazione diretta con la periferia, senza comunicazione con l'ospite, è solo una delle tecniche di cardatura efficaci. Altre tecniche si basano sul fatto che disponiamo di un'ampia varietà di interfacce di rete attraverso le quali l'ATM comunica con il mondo esterno. Da X.25 a Ethernet e cellulare. Molti bancomat possono essere identificati e localizzati utilizzando il servizio Shodan (vengono presentate le istruzioni più concise per il suo utilizzo
L'“ultimo miglio” di comunicazione tra l'ATM e il centro di elaborazione è ricco di un'ampia varietà di tecnologie che possono fungere da punto di ingresso per il cardatore. L'interazione può essere effettuata tramite modalità di comunicazione cablata (linea telefonica o Ethernet) o wireless (Wi-Fi, cellulare: CDMA, GSM, UMTS, LTE). I meccanismi di sicurezza possono includere: 1) hardware o software per supportare la VPN (sia standard, integrati nel sistema operativo, sia di terze parti); 2) SSL/TLS (entrambi specifici per un particolare modello di ATM e di produttori di terze parti); 3) crittografia; 4) autenticazione del messaggio.
tuttavia
Uno dei requisiti fondamentali del PCI DSS è che tutti i dati sensibili devono essere crittografati quando vengono trasmessi su una rete pubblica. E in realtà disponiamo di reti originariamente progettate in modo tale che i dati in esse contenuti siano completamente crittografati! Pertanto, si è tentati di dire: “I nostri dati sono crittografati perché utilizziamo Wi-Fi e GSM”. Tuttavia, molte di queste reti non garantiscono una sicurezza sufficiente. Le reti cellulari di tutte le generazioni sono state compromesse da tempo. Finalmente e irrevocabilmente. E ci sono anche fornitori che offrono dispositivi per intercettare i dati trasmessi su di essi.
Pertanto, sia in una comunicazione non sicura sia in una rete “privata”, dove ogni ATM trasmette se stesso ad altri ATM, può essere avviato un attacco MiTM “falso centro di elaborazione” - che porterà il cardatore a prendere il controllo dei flussi di dati trasmessi tra ATM e centro di elaborazione.
Nella foto seguente
Dump dei comandi di un falso centro di elaborazione
Fonte: habr.com