街の通りに佇むお金の入った鉄の箱は、一攫千金愛好家の注目を集めずにはいられません。 また、ATM を空にするために以前は純粋に物理的な方法が使用されていましたが、現在ではコンピューター関連の巧妙なトリックがますます使用されています。 現在、それらの中で最も関連性があるのは、シングルボード マイクロコンピューターを内部に備えた「ブラック ボックス」です。 この記事ではその仕組みについて説明します。

– ATM カードの進化
– 「ブラックボックス」との最初の出会い
– ATM通信の分析
– 「ブラックボックス」はどこから来たのでしょうか？
– 「ラストマイル」と偽装処理センター

国際 ATM 製造者協会 (ATMIA) 会長 選び出した ATMにとって最も危険な脅威は「ブラックボックス」です。

典型的な ATM は、XNUMX つのハウジングに収容された既製の電気機械コンポーネントのセットです。 ATM メーカーは、サードパーティ サプライヤーがすでに開発した紙幣ディスペンサー、カード リーダー、その他のコンポーネントからハードウェアを構築します。 大人向けのレゴコンストラクターのようなもの。 完成したコンポーネントは ATM 本体に配置されます。ATM 本体は通常、上部コンパートメント (「キャビネット」または「サービスエリア」) と下部コンパートメント (金庫) の XNUMX つのコンパートメントで構成されます。 すべての電気機械コンポーネントは、USB および COM ポートを介してシステム ユニットに接続されており、この場合、システム ユニットはホストとして機能します。 古い ATM モデルでは、SDC バス経由の接続も見つかります。

ATM カードの進化

巨額の現金が入った ATM には、カード利用者が常に集まります。 当初、カーダーは ATM 保護の重大な物理的欠陥のみを悪用していました。スキマーとシマーを使用して磁気ストライプからデータを盗んでいました。 PINコードを表示するための偽のPINパッドとカメラ。 そして偽のATMさえも。

その後、ATM に XFS (eXtensions for Financial Services) などの共通標準に従って動作する統一ソフトウェアが搭載され始めると、カード会社はコンピューター ウイルスで ATM を攻撃し始めました。

その中には、Trojan.Skimmer、Backdoor.Win32.Skimer、Ploutus、ATMii、その他多数の名前付きおよび名前のないマルウェアが含まれており、カーダーは起動可能な USB フラッシュ ドライブまたは TCP リモート コントロール ポートを通じて ATM ホストに仕掛けます。

ATM感染プロセス

XFS サブシステムをキャプチャしたマルウェアは、許可なく紙幣自動支払機にコマンドを発行できます。 または、カード リーダーにコマンドを入力して、銀行カードの磁気ストライプを読み取り/書き込みし、EMV カード チップに保存されている取引履歴を取得することもできます。 EPP (暗号化 PIN パッド) は特に注意が必要です。 一般に、それに入力された PIN コードは傍受できないと考えられています。 ただし、XFS では、EPP ピンパッドを次の 1 つのモードで使用できます。2) オープン モード (キャッシュアウトされる金額など、さまざまな数値パラメーターを入力するため)。 XNUMX) セーフ モード (PIN コードまたは暗号化キーを入力する必要がある場合、EPP はセーフ モードに切り替わります)。 XFS のこの機能により、カード管理者は MiTM 攻撃を実行できます。つまり、ホストから EPP に送信されるセーフ モード アクティベーション コマンドを傍受し、EPP ピンパッドにオープン モードで動作を継続する必要があることを通知します。 このメッセージに応答して、EPP はキーストロークをクリア テキストで送信します。

「ブラックボックス」の動作原理

近年では、 に従って ユーロポール、ATM マルウェアは大幅に進化しました。 カード利用者は、感染するために ATM に物理的にアクセスする必要がなくなりました。 銀行の企業ネットワークを使用したリモート ネットワーク攻撃を通じて ATM に感染する可能性があります。 による グループ IB によれば、2016 年にヨーロッパの 10 か国以上で ATM がリモート攻撃の対象となりました。

リモートアクセスによるATMへの攻撃

ウイルス対策、ファームウェア更新のブロック、USB ポートのブロック、ハードドライブの暗号化などにより、カード会社によるウイルス攻撃から ATM をある程度保護します。 しかし、カーダーがホストを攻撃せず、周辺機器 (RS232 または USB 経由)、つまりカード リーダー、ピン パッド、またはキャッシュ ディスペンサーに直接接続した場合はどうなるでしょうか?

「ブラックボックス」との初めての出会い

今日のテクノロジーに精通したカーダー それはまさに彼らがやっていることです、いわゆるを使ってATMから現金を盗みます。 「ブラック ボックス」は、Raspberry Pi のような、特別にプログラムされたシングルボード マイクロコンピューターです。 「ブラック ボックス」は、（銀行家の観点からすると）まったく魔法のような方法で、ATM を完全に空にします。 カーダーは魔法のデバイスを紙幣自動支払機に直接接続します。 そこから利用可能なお金をすべて引き出すためです。 この攻撃は、ATM ホストに導入されているすべてのセキュリティ ソフトウェア (ウイルス対策、整合性監視、フルディスク暗号化など) をバイパスします。

Raspberry Piをベースにした「ブラックボックス」

最大手のATMメーカーと政府諜報機関は、「ブラックボックス」のいくつかの実装に直面しており、 警告するこれらの賢いコンピュータが ATM に利用可能な現金をすべて吐き出させるように仕向けているということ。 40秒ごとに20枚の紙幣。 セキュリティサービスはまた、カード決済業者は薬局やショッピングセンターのATMをターゲットにすることが最も多いと警告している。 さらには、外出中のドライバーにサービスを提供する ATM も含まれます。

同時に、カメラの前に姿を現さないようにするために、最も慎重なカーダーは、それほど価値のないパートナーであるラバの助けを借ります。 そして、彼が「ブラックボックス」を自分自身に流用できないように、彼らは 次の図。 彼らは「ブラック ボックス」から主要な機能を削除し、そこにスマートフォンを接続します。これは、IP プロトコルを介して、機能を取り除いた「ブラック ボックス」にコマンドをリモート送信するためのチャネルとして使用されます。

リモートアクセスによるアクティベーションによる「ブラックボックス」の変更

銀行家の視点からこれはどう見えるでしょうか? ビデオカメラの記録では、ある人物が上部の区画（サービスエリア）を開け、「魔法の箱」をATMに接続し、上部の区画を閉めて立ち去るというようなことが起こります。 少し後、一見一般客と思われる数人がATMに近づき、巨額のお金を引き出しました。 その後カード係は戻ってきて、ATM から小さな魔法の装置を取り出します。 通常、「ブラック ボックス」による ATM 攻撃の事実は、空の金庫と現金引き出しのログが一致しない数日後に初めて発見されます。 その結果、銀行員ができることは、 頭をかいてください.

ATM通信の解析

上で述べたように、システム ユニットと周辺機器間の対話は、USB、RS232、または SDC 経由で実行されます。 カーダーは周辺機器のポートに直接接続し、ホストをバイパスしてそこにコマンドを送信します。 標準インターフェイスには特定のドライバーが必要ないため、これは非常に簡単です。 また、ペリフェラルとホストが対話する独自のプロトコルには認証が必要ありません (結局のところ、デバイスは信頼できるゾーン内にあります)。 したがって、周辺機器とホストが通信するこれらの安全でないプロトコルは、簡単に盗聴され、リプレイ攻撃の影響を受けやすくなります。

それ。 カード管理者は、ソフトウェアまたはハードウェアのトラフィック アナライザーを使用して、特定の周辺機器 (カード リーダーなど) のポートに直接接続して、送信されたデータを収集できます。 カード管理者は、トラフィック アナライザを使用して、文書化されていない周辺機器の機能 (たとえば、周辺機器のファームウェアを変更する機能) を含む、ATM 動作の技術的な詳細をすべて学習します。 その結果、カード会社は ATM を完全に制御できるようになります。 同時に、トラフィック アナライザーの存在を検出することは非常に困難です。

紙幣ディスペンサーを直接制御するということは、通常、ホスト上に展開されたソフトウェアによって入力されるログに記録することなく、ATM カセットを空にすることができることを意味します。 ATM のハードウェアとソフトウェアのアーキテクチャに詳しくない人にとっては、それは本当に魔法のように見えるかもしれません。

ブラックボックスはどこから来たのでしょうか?

ATM サプライヤーと下請け業者は、現金引き出しを担当する電気整備士を含む ATM ハードウェアを診断するためのデバッグ ユーティリティを開発しています。 これらのユーティリティには次のようなものがあります。 ATMデスク, RapidFire ATM XFS。 以下の図は、このような診断ユーティリティをさらにいくつか示しています。

ATMDesk コントロール パネル

RapidFire ATM XFS コントロール パネル

いくつかの診断ユーティリティの特性の比較

このようなユーティリティへのアクセスは通常、パーソナライズされたトークンに限定されます。 また、ATM 金庫のドアが開いている場合にのみ機能します。 ただし、ユーティリティのバイナリ コードの数バイトを置き換えるだけで、カーダーは 缶 「テスト」現金引き出し - 電力会社が提供する小切手を回避します。 カード業者は、このような改変されたユーティリティをラップトップまたはシングルボード マイクロコンピュータにインストールし、紙幣自動支払機に直接接続して不正な現金引き出しを行います。

「ラストワンマイル」と偽装処理センター

ホストとの通信を行わずに、周辺機器と直接対話することは、効果的なカーディング技術の 25 つにすぎません。 他の技術は、ATM が外部と通信するためのさまざまなネットワーク インターフェイスがあるという事実に依存しています。 X.XNUMX からイーサネットおよびセルラーまで。 Shodan サービスを使用すると、多くの ATM を識別してローカライズできます (その使用に関する最も簡潔な手順が示されています) ここで)、 – 脆弱なセキュリティ構成、管理者の怠惰、銀行のさまざまな部門間の脆弱な通信を悪用した後続の攻撃。

ATM と処理センター間の通信の「ラスト マイル」には、カード会社のエントリ ポイントとして機能するさまざまなテクノロジが豊富に組み込まれています。 インタラクションは、有線 (電話回線またはイーサネット) または無線 (Wi-Fi、セルラー: CDMA、GSM、UMTS、LTE) 通信方式を介して実行できます。 セキュリティ メカニズムには次のものが含まれます。1) VPN をサポートするハードウェアまたはソフトウェア (両方とも標準、OS に組み込まれているもの、およびサードパーティ製)。 2) SSL/TLS (特定の ATM モデルとサードパーティ メーカーの両方に固有)。 3) 暗号化。 4) メッセージ認証。

しかし らしい銀行にとって、リストされているテクノロジーは非常に複雑に見えるため、特別なネットワーク保護を気にする必要はありません。 または、実装にエラーが発生します。 最良の場合、ATM は VPN サーバーと通信し、すでにプライベート ネットワーク内で処理センターに接続しています。 さらに、たとえ銀行が上記の保護メカニズムを実装できたとしても、カード会社はすでに銀行に対して効果的な攻撃を仕掛けています。 それ。 たとえセキュリティが PCI DSS 標準に準拠していても、ATM は依然として脆弱です。

PCI DSS の中核的な要件の XNUMX つは、パブリック ネットワーク経由で送信される場合、すべての機密データを暗号化する必要があるということです。 そして実際、私たちのネットワークは元々、その中のデータが完全に暗号化されるように設計されていました。 したがって、「Wi-Fi と GSM を使用しているため、データは暗号化されています」と言いたくなります。 ただし、これらのネットワークの多くは十分なセキュリティを提供しません。 あらゆる世代の携帯電話ネットワークは長い間ハッキングされてきました。 最後に、そして取り返しのつかないこと。 さらに、送信されるデータを傍受するデバイスを提供するサプライヤーもいます。

したがって、安全でない通信や、各 ATM が他の ATM に自身をブロードキャストする「プライベート」ネットワークのいずれかで、MiTM の「偽の処理センター」攻撃が開始される可能性があります。これにより、カード会社が、ATM 間で送信されるデータ フローの制御を掌握することになります。 ATMと処理センター。

このような MiTM 攻撃 数千台の ATM が影響を受ける可能性があります。 本物の処理センターに向かう途中、カードルは自分の偽のカードを挿入します。 この偽造処理センターは、ATM に紙幣を払い出すように命令を出します。 この場合、カード会社は、どのカードが ATM に挿入されたかに関係なく、有効期限が切れているか残高がゼロであっても、現金が発行されるように処理センターを設定します。 重要なことは、偽造処理センターがそれを「認識」するということです。 偽の処理センターは、自家製の製品か、元々はネットワーク設定をデバッグするために設計された処理センター シミュレーター (「メーカー」からカーダーへのもう XNUMX つの贈り物) のいずれかです。

次の写真では 与えられた 40 番目のカセットから XNUMX 枚の紙幣を発行するためのコマンドのダンプ - 偽造処理センターから送信され、ATM ソフトウェアのログに保存されます。 ほとんど本物に見えます。

偽の処理センターのコマンドダンプ

出所： habr.com