Kothak wesi kanthi dhuwit sing ngadeg ing lurung-lurung ing kutha ora bisa narik kawigaten para penyayang dhuwit cepet. Lan yen sadurunge cara fisik murni digunakake kanggo kosongaké ATMs, saiki trik related komputer liyane lan liyane trampil digunakake. Saiki sing paling relevan yaiku "kothak ireng" kanthi mikrokomputer papan siji ing njero. Kita bakal ngomong babagan cara kerjane ing artikel iki.
Ketua International ATM Manufacturers Association (ATMIA) "Kothak ireng" minangka ancaman paling mbebayani kanggo ATM.
ATM sing khas yaiku sakumpulan komponen elektromekanis sing siap digawe ing siji omah. Produsen ATM nggawe gaweyan hardware saka dispenser tagihan, maca kertu lan komponen liyane sing wis dikembangake dening supplier pihak katelu. Konstruktor LEGO kanggo wong diwasa. Komponen rampung diselehake ing awak ATM, sing biasane dumadi saka rong kompartemen: kompartemen ndhuwur ("kabinet" utawa "area layanan"), lan kompartemen ngisor (aman). Kabeh komponen elektromekanik disambungake liwat port USB lan COM menyang unit sistem, sing ing kasus iki minangka host. Ing model ATM lawas sampeyan uga bisa nemokake sambungan liwat bis SDC.
Evolusi kertu ATM
ATMs karo jumlah ageng nang invariably narik kawigaten carders. Ing kawitan, carders eksploitasi mung cacat fisik reged pangayoman ATM - padha nggunakake skimmers lan shimmers kanggo nyolong data saka loreng Magnetik; bantalan pin palsu lan kamera kanggo ndeleng kode pin; lan malah ATM palsu.
Banjur, nalika ATM wiwit dilengkapi piranti lunak terpadu sing beroperasi miturut standar umum, kayata XFS (eXtensions for Financial Services), carder wiwit nyerang ATM kanthi virus komputer.
Antarane wong-wong mau sing Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii lan akeh liyane jenenge lan unnamed malware, kang carders tanduran ing host ATM salah siji liwat bootable USB flash drive utawa liwat TCP remot kontrol port.
Proses infeksi ATM
Sawise nyekel subsistem XFS, malware bisa ngetokake prentah menyang dispenser dhuwit kertas tanpa idin. Utawa menehi printah kanggo maca kertu: maca / nulis belang Magnetik saka kertu bank lan malah njupuk sajarah transaksi disimpen ing chip kertu EMV. EPP (Encrypting PIN Pad) pantes manungsa waé khusus. Umume ditampa manawa kode PIN sing dilebokake ora bisa dicegat. Nanging, XFS ngidini sampeyan nggunakake pinpad EPP ing rong mode: 1) mode mbukak (kanggo nglebokake macem-macem parameter numerik, kayata jumlah sing kudu dibayar); 2) mode aman (EPP ngalih menyang nalika sampeyan kudu ngetik kode PIN utawa kunci enkripsi). Fitur XFS iki ngidini carder nindakake serangan MiTM: nyegat perintah aktivasi mode aman sing dikirim saka host menyang EPP, banjur ngandhani pinpad EPP yen kudu terus digunakake ing mode mbukak. Nanggepi pesen iki, EPP ngirim keystrokes ing teks cetha.
Prinsip operasi "kotak ireng"
Ing taun-taun pungkasan, Europol, malware ATM wis ngalami évolusi sacara signifikan. Carder ora perlu maneh duwe akses fisik menyang ATM kanggo nginfeksi. Padha bisa nginfeksi ATM liwat serangan jaringan remot nggunakake jaringan perusahaan bank. Grup IB, ing 2016 ing luwih saka 10 negara Eropa, ATM kena serangan remot.
Serangan ing ATM liwat akses remot
Antivirus, mblokir nganyari perangkat kukuh, mblokir port USB lan enkripsi hard drive - nganti sawetara bisa nglindhungi ATM saka serangan virus dening carder. Nanging apa yen carder ora nyerang inang, nanging nyambung langsung menyang periphery (liwat RS232 utawa USB) - kanggo maca kertu, pin pad utawa dispenser awis?
Kenal pisanan karo "kotak ireng"
Carder sing ngerti teknologi saiki , nggunakake sing disebut kanggo nyolong awis saka ATM. "Kothak ireng" khusus diprogram mikrokomputer papan tunggal, kaya Raspberry Pi. "Kothak ireng" ATMs kosong rampung, ing cara rampung gaib (saka sudut pandang bankir). Carders nyambung piranti sihir langsung menyang dispenser tagihan; kanggo extract kabeh dhuwit kasedhiya saka iku. Serangan iki ngliwati kabeh piranti lunak keamanan sing dipasang ing host ATM (antivirus, kontrol integritas, enkripsi disk lengkap, lsp.).
"Kothak ireng" adhedhasar Raspberry Pi
Produsen ATM paling gedhe lan lembaga intelijen pemerintah, ngadhepi sawetara implementasine "kotak ireng", sing iki komputer pinter ngindhuksi ATM kanggo muntahake kabeh awis kasedhiya; 40 dhuwit kertas saben 20 detik. Layanan keamanan uga ngelingake yen carder paling asring target ATM ing apotek lan pusat blanja; lan uga kanggo ATMs sing ngawula motor ing Go.
Ing wektu sing padha, supaya ora katon ing ngarepe kamera, carders paling ngati-ati njupuk bantuan saka sawetara partner ora banget terkenal, mule. Lan supaya ora bisa cocog "kothak ireng" kanggo awake dhewe, padha nggunakake . Padha mbusak fungsi tombol saka "kothak ireng" lan nyambungake smartphone menyang, kang digunakake minangka saluran kanggo mbatalake ngirim printah menyang "kothak ireng" diudani-mudhun liwat protokol IP.
Modifikasi "kotak ireng", kanthi aktivasi liwat akses remot
Apa iki katon saka sudut pandang para bankir? Ing rekaman saka kamera video, kaya iki kedadeyan: wong tartamtu mbukak kompartemen ndhuwur (area layanan), nyambungake "kotak ajaib" menyang ATM, nutup kompartemen ndhuwur lan ninggalake. Ora suwe, sawetara wong, sing katon pelanggan biasa, nyedhaki ATM lan mbatalake dhuwit sing akeh banget. Carder banjur bali lan njupuk piranti sihir cilik saka ATM. Biasane, kasunyatan serangan ATM dening "kothak ireng" ditemokake mung sawise sawetara dina: nalika brankas kosong lan log penarikan awis ora cocog. Akibaté, karyawan bank mung bisa .
Analisis komunikasi ATM
Kaya kasebut ing ndhuwur, interaksi antarane unit sistem lan piranti periferal ditindakake liwat USB, RS232 utawa SDC. Carder nyambung langsung menyang port piranti peripheral lan ngirim printah menyang - bypassing host. Iki cukup prasaja, amarga antarmuka standar ora mbutuhake driver tartamtu. Lan protokol kepemilikan sing peripheral lan host sesambungan ora mbutuhake wewenang (sawise kabeh, piranti kasebut ana ing zona sing dipercaya); lan mulane iki protokol ora aman, liwat kang peripheral lan inang komunikasi, gampang eavesdropped lan gampang rentan kanggo muter maneh serangan.
Iku. Carders bisa nggunakake piranti lunak utawa hardware analyzer lalu lintas, nyambung langsung menyang port piranti peripheral tartamtu (Contone, maca kertu) kanggo ngumpulake data ditularaké. Nggunakake analisa lalu lintas, carder sinau kabeh rincian teknis saka operasi ATM, kalebu fungsi undocumented peripheral sawijining (contone, fungsi ngganti perangkat kukuh piranti peripheral). Akibaté, carder entuk kontrol penuh liwat ATM. Ing wektu sing padha, cukup angel kanggo ndeteksi anané penganalisa lalu lintas.
Kontrol langsung liwat dispenser dhuwit kertas tegese kaset ATM bisa dikosongake tanpa rekaman ing log, sing biasane dilebokake dening piranti lunak sing dipasang ing host. Kanggo sing ora kenal karo arsitektur hardware lan software ATM, pancen bisa katon kaya sihir.
Saka ngendi asale kothak ireng?
Pemasok lan subkontraktor ATM ngembangake utilitas debugging kanggo diagnosa hardware ATM, kalebu mekanik listrik sing tanggung jawab kanggo penarikan awis. Antarane utilitas kasebut: , . Tokoh ing ngisor iki nuduhake sawetara utilitas diagnostik liyane.
Panel Kontrol ATMDesk
Panel Kontrol XFS RapidFire ATM
Karakteristik komparatif saka sawetara utilitas diagnostik
Akses menyang keperluan kuwi biasane diwatesi kanggo token pribadi; lan padha mung bisa nalika lawang aman ATM mbukak. Nanging, mung kanthi ngganti sawetara bita ing kode binar sarana, carders Penarikan awis "tes" - ngliwati cek sing diwenehake dening pabrikan sarana. Carder nginstal utilitas sing diowahi kasebut ing laptop utawa mikrokomputer papan siji, sing banjur disambungake langsung menyang dispenser dhuwit kanggo nggawe penarikan awis sing ora sah.
"Mile pungkasan" lan pusat pangolahan palsu
Interaksi langsung karo pinggiran, tanpa komunikasi karo tuan rumah, mung minangka salah sawijining teknik carding sing efektif. Techniques liyane gumantung ing kasunyatan sing kita duwe macem-macem saka sudhut antarmuka jaringan liwat kang ATM komunikasi karo donya njaba. Saka X.25 nganti Ethernet lan seluler. Akeh ATM sing bisa diidentifikasi lan dilokalisasi nggunakake layanan Shodan (instruksi sing paling ringkes kanggo panggunaane ditampilake ), - kanthi serangan sakteruse sing ngeksploitasi konfigurasi keamanan sing rawan, kesed administrator lan komunikasi sing rawan antarane macem-macem departemen bank.
Komunikasi "mil pungkasan" antarane ATM lan pusat pangolahan sugih ing macem-macem teknologi sing bisa dadi titik entri kanggo carder. Interaksi bisa ditindakake liwat cara komunikasi kabel (saluran telpon utawa Ethernet) utawa nirkabel (Wi-Fi, seluler: CDMA, GSM, UMTS, LTE). Mekanisme keamanan bisa uga kalebu: 1) hardware utawa piranti lunak kanggo ndhukung VPN (loro standar, dibangun ing OS, lan saka pihak katelu); 2) SSL/TLS (loro khusus kanggo model ATM tartamtu lan saka pabrikan pihak katelu); 3) enkripsi; 4) otentikasi pesen.
Nanging, sing kanggo bank-bank teknologi kadhaptar katon banget Komplek, lan mulane padha ora keganggu piyambak karo pangayoman jaringan khusus; utawa padha ngleksanakake karo kasalahan. Ing kasus sing paling apik, ATM komunikasi karo server VPN, lan wis ana ing jaringan pribadi sing nyambung menyang pusat pangolahan. Kajaba iku, sanajan bank-bank ngatur kanggo ngleksanakake mekanisme protèktif kadhaptar ndhuwur, carder wis serangan efektif marang wong-wong mau. Iku. Sanajan keamanan tundhuk karo standar PCI DSS, ATM isih rentan.
Salah sawijining syarat inti PCI DSS yaiku kabeh data sensitif kudu dienkripsi nalika dikirim liwat jaringan umum. Lan kita duwe jaringan sing asline dirancang kanthi cara supaya data kasebut dienkripsi kanthi lengkap! Mula, nggodho ujar: "Data kita dienkripsi amarga nggunakake Wi-Fi lan GSM." Nanging, akeh jaringan kasebut ora nyedhiyakake keamanan sing cukup. Jaringan seluler kabeh generasi wis suwe diretas. Akhire lan irrevocably. Lan malah ana pemasok sing nawakake piranti kanggo nyegat data sing dikirimake.
Mulane, ing komunikasi sing ora aman utawa ing jaringan "pribadi", ing ngendi saben ATM nyebarake dhewe menyang ATM liyane, serangan "pusat pangolahan palsu" MiTM bisa diwiwiti - sing bakal nyebabake carder ngrebut kontrol aliran data sing dikirim antarane ATM lan pusat pangolahan.
Ewonan ATM duweni potensi kena pengaruh. Ing dalan menyang pusat pangolahan asli, cardr nglebokake dhewe, sing palsu. Pusat pangolahan palsu iki menehi prentah marang ATM kanggo mbuwang dhuwit kertas. Ing kasus iki, carder ngatur pusat pangolahan supaya awis ditanggepi preduli saka kertu sing dipasang ing ATM - sanajan wis kadaluwarsa utawa duwe imbangan nol. Sing utama yaiku pusat pangolahan palsu "ngerteni" kasebut. Pusat pangolahan palsu bisa dadi produk krasan utawa simulator pusat pangolahan, asline dirancang kanggo debugging setelan jaringan (hadiah liyane saka "produsen" kanggo carders).
Ing gambar ngisor iki mbucal printah kanggo nerbitake 40 dhuwit kertas saka kaset papat - dikirim saka pusat Processing palsu lan disimpen ing log lunak ATM. Padha katon meh nyata.
Mbuwang printah saka pusat pangolahan palsu
Source: www.habr.com