Қала көшелерінде тұрған ақшасы бар темір жәшіктер жылдам ақшаны ұнататындардың назарын аудармай тұра алмайды. Ал егер бұрын банкоматтарды босату үшін таза физикалық әдістер қолданылса, қазір компьютерге қатысты епті айлалар көбірек қолданылуда. Қазір олардың ішіндегі ең өзектісі – ішінде бір тақталы микрокомпьютері бар «қара жәшік». Оның қалай жұмыс істейтіні туралы біз осы мақалада айтатын боламыз.
Халықаралық банкомат өндірушілер қауымдастығының (ATMIA) басшысы «қара жәшіктер» банкоматтар үшін ең қауіпті қауіп ретінде.
Әдеттегі банкомат – бір корпуста орналасқан дайын электромеханикалық компоненттердің жиынтығы. Банкомат өндірушілері шот диспенсерінен, карта оқу құрылғысынан және үшінші тарап жеткізушілері әзірлеген басқа компоненттерден аппараттық құралдарды жасайды. Ересектерге арналған LEGO конструкторының бір түрі. Дайын компоненттер банкомат корпусына орналастырылады, ол әдетте екі бөлімнен тұрады: жоғарғы бөлік («шкаф» немесе «қызмет көрсету аймағы») және төменгі бөлік (сейф). Барлық электромеханикалық құрамдас бөліктер USB және COM порттары арқылы жүйелік блокқа қосылған, бұл жағдайда ол хост рөлін атқарады. Ескі банкомат үлгілерінде сіз SDC шинасы арқылы да қосылымдарды таба аласыз.
Банкомат картасының эволюциясы
Ішінде қомақты сомалар бар банкоматтар үнемі карташыларды тартады. Бастапқыда картерлер банкоматты қорғаудың өрескел физикалық кемшіліктерін ғана пайдаланды - олар магниттік жолақтардан деректерді ұрлау үшін скиммерлер мен жылтырларды пайдаланды; жалған пин-кодтар мен пин кодтарын көруге арналған камералар; және тіпті жалған банкоматтар.
Содан кейін банкоматтар XFS (eXtensions for Financial Services) сияқты жалпы стандарттарға сәйкес жұмыс істейтін бірыңғай бағдарламалық қамтамасыз етумен жабдықтала бастағанда, карта жасаушылар банкоматтарға компьютерлік вирустармен шабуыл жасай бастады.
Олардың арасында Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii және басқа да көптеген атаулы және аталмаған зиянды бағдарламалар бар, олар банкомат хостына жүктелетін USB флэш-дискісі арқылы немесе TCP қашықтан басқару порты арқылы орналасады.
Банкоматтарды жұқтыру процесі
XFS ішкі жүйесін басып алған зиянды бағдарлама банкноттарды таратушыға рұқсатсыз командалар бере алады. Немесе картаны оқу құрылғысына пәрмендер беріңіз: банк картасының магниттік жолағын оқу/жазу және тіпті EMV картасының чипінде сақталған транзакциялар тарихын шығарып алу. EPP (Шифрлау PIN тақтасы) ерекше назар аударуды қажет етеді. Оған енгізілген PIN-кодты ұстап алу мүмкін емес деп жалпы қабылданған. Дегенмен, XFS EPP пин-пад тақтасын екі режимде пайдалануға мүмкіндік береді: 1) ашық режим (қолма-қол ақшаға аударылатын сома сияқты әртүрлі сандық параметрлерді енгізу үшін); 2) қауіпсіз режим (EPP оған PIN кодын немесе шифрлау кілтін енгізу қажет болғанда ауысады). XFS-тің бұл мүмкіндігі картерге MiTM шабуылын орындауға мүмкіндік береді: хосттан EPP-ге жіберілген қауіпсіз режимді белсендіру пәрменін тоқтатыңыз, содан кейін EPP пин-пад тақтасына ашық режимде жұмысын жалғастыру керек екенін хабарлаңыз. Осы хабарға жауап ретінде EPP пернелерді басуларды анық мәтінде жібереді.
«Қара жәшіктің» жұмыс принципі
Соңғы жылдары, Europol, ATM зиянды бағдарламалары айтарлықтай дамыды. Карталарға банкоматты жұқтыру үшін оған физикалық қол жеткізу қажет емес. Олар банкоматтарды банктің корпоративтік желісін пайдаланып қашықтағы желілік шабуылдар арқылы жұқтыруы мүмкін. IB тобы, 2016 жылы 10-нан астам Еуропа елдерінде банкоматтар қашықтан шабуылдарға ұшырады.
Қашықтан қол жеткізу арқылы банкоматқа шабуыл жасау
Антивирустар, микробағдарлама жаңартуларын блоктау, USB порттарын блоктау және қатты дискіні шифрлау - белгілі бір дәрежеде банкоматты карта жасаушылардың вирустық шабуылдарынан қорғайды. Бірақ егер картон хостқа шабуыл жасамаса, бірақ тікелей периферияға (RS232 немесе USB арқылы) - картаны оқу құрылғысына, пин-подка немесе кассалық диспенсерге қосылса ше?
«Қара жәшікпен» алғашқы танысу
Бүгінгі технологияны меңгерген карташылар , банкоматтан қолма-қол ақшаны ұрлау үшін қолданды. «Қара жәшіктер» - Raspberry Pi сияқты арнайы бағдарламаланған бір тақталы микрокомпьютерлер. «Қара жәшіктер» банкоматтарды толығымен сиқырлы түрде (банкирлердің көзқарасы бойынша) босатады. Кардерлер өздерінің сиқырлы құрылғысын тікелей есепшот таратқышқа қосады; одан бар ақшаны шығару. Бұл шабуыл банкомат хостында орналастырылған барлық қауіпсіздік бағдарламалық құралын айналып өтеді (антивирус, тұтастықты бақылау, толық дискіні шифрлау және т.б.).
Raspberry Pi негізіндегі «Қара жәшік».
Ең ірі банкомат өндірушілері мен мемлекеттік барлау агенттіктері «қара жәшіктің» бірнеше енгізуіне тап болды, бұл ақылды компьютерлер банкоматтарды барлық қолма-қол ақшаны түкіруге итермелейді; Әр 40 секунд сайын 20 банкнот. Қауіпсіздік қызметтері сондай-ақ карташылар көбінесе дәріханалар мен сауда орталықтарындағы банкоматтарды нысанаға алатынын ескертеді; сонымен қатар көлік жүргізушілеріне қызмет көрсететін банкоматтарға.
Сонымен бірге, камералардың алдына түспеу үшін, ең сақтық танытушылар өте құнды емес серіктес, қашырдың көмегіне жүгінеді. Ол «қара жәшікті» өзіне ала алмау үшін пайдаланады . Олар «қара жәшіктен» негізгі функционалдылықты жояды және оған смартфонды қосады, ол IP протоколы арқылы жойылған «қара жәшікке» командаларды қашықтан жіберу арнасы ретінде пайдаланылады.
Қашықтан қол жеткізу арқылы белсендіру арқылы «қара жәшікті» өзгерту
Бұл банкирлердің көзқарасы бойынша қалай көрінеді? Бейнекамералардың жазбаларында осындай нәрсе орын алады: белгілі бір адам жоғарғы бөлімді (қызмет көрсету аймағын) ашады, банкоматқа «сиқырлы қорапты» қосады, жоғарғы бөлікті жауып, кетеді. Сәлден соң банкоматқа қарапайым тұтынушылар болып көрінетін бірнеше адам келіп, қомақты ақша алады. Кардер содан кейін банкоматтан өзінің кішкентай сиқырлы құрылғысын қайтарып алады. Әдетте, банкоматтың «қара жәшіктің» шабуылы фактісі бірнеше күннен кейін ғана анықталады: бос сейф пен қолма-қол ақшаны алу журналы сәйкес келмегенде. Нәтижесінде банк қызметкерлері ғана алады .
Банкоматтардың байланысын талдау
Жоғарыда айтылғандай, жүйелік блок пен перифериялық құрылғылар арасындағы өзара әрекет USB, RS232 немесе SDC арқылы жүзеге асырылады. Кардер перифериялық құрылғының портына тікелей қосылады және оған командаларды жібереді - хостты айналып өтеді. Бұл өте қарапайым, өйткені стандартты интерфейстер нақты драйверлерді қажет етпейді. Ал перифериялық және хост өзара әрекеттесетін меншікті протоколдар авторизацияны қажет етпейді (ақыр соңында құрылғы сенімді аймақ ішінде орналасқан); сондықтан перифериялық құрылғы мен хост байланысатын бұл қауіпті протоколдар оңай тыңдалады және қайталанатын шабуылдарға оңай сезімтал болады.
Бұл. Кардерлер жіберілетін деректерді жинау үшін оны нақты перифериялық құрылғының портына (мысалы, картаны оқу құрылғысы) тікелей қоса отырып, бағдарламалық немесе аппараттық трафик анализаторын пайдалана алады. Трафик анализаторын пайдалана отырып, карташы банкомат жұмысының барлық техникалық мәліметтерін, оның ішінде оның перифериялық құрылғыларының құжатталмаған функцияларын (мысалы, перифериялық құрылғының микробағдарламасын өзгерту функциясы) үйренеді. Нәтижесінде карташы банкоматты толық бақылауға алады. Бұл ретте трафик анализаторының болуын анықтау өте қиын.
Банкнот диспенсерін тікелей бақылау банкомат кассеталарын әдетте хостта орналастырылған бағдарламалық құрал енгізетін журналдарда ешқандай жазбасыз босатуға болатындығын білдіреді. Банкоматтың аппараттық және бағдарламалық жасақтамасы архитектурасымен таныс емес адамдар үшін ол шынымен сиқыр сияқты көрінуі мүмкін.
Қара жәшіктер қайдан келеді?
Банкомат жеткізушілері мен қосалқы мердігерлері қолма-қол ақшаны алуға жауапты электр механиктерін қоса, банкомат аппараттық құралдарын диагностикалау үшін жөндеу утилиталарын әзірлеуде. Осы утилиталардың ішінде: , . Төмендегі суретте тағы бірнеше осындай диагностикалық утилиталар көрсетілген.
ATMDesk басқару тақтасы
RapidFire ATM XFS басқару тақтасы
Бірнеше диагностикалық утилиталардың салыстырмалы сипаттамасы
Мұндай утилиталарға қолжетімділік әдетте жекелендірілген белгілермен шектеледі; және олар банкомат сейфінің есігі ашық болғанда ғана жұмыс істейді. Дегенмен, утилитаның екілік кодындағы бірнеше байтты ауыстыру арқылы, картерлер «сынақ» қолма-қол ақшаны алу - коммуналдық өндіруші ұсынған чектерді айналып өту. Кардерлер мұндай модификацияланған утилиталарды ноутбукке немесе бір тақталы микрокомпьютерге орнатады, содан кейін олар рұқсатсыз қолма-қол ақша алу үшін банкнот диспенсеріне тікелей қосылады.
«Соңғы миль» және жалған өңдеу орталығы
Хостпен байланыссыз перифериямен тікелей өзара әрекеттесу тиімді тарақ әдістерінің бірі ғана болып табылады. Басқа әдістер бізде банкомат сыртқы әлеммен байланысатын көптеген желілік интерфейстердің бар екендігіне негізделген. X.25 бастап Ethernet және ұялы байланыс. Көптеген банкоматтарды Shodan сервисінің көмегімен анықтауға және локализациялауға болады (оны пайдалану бойынша ең қысқа нұсқаулар берілген). ), – қауіпсіздіктің осал конфигурациясын, әкімшінің жалқаулығын және банктің әртүрлі бөлімшелері арасындағы осал байланыстарды пайдаланатын кейінгі шабуылмен.
Банкомат пен процессингтік орталық арасындағы байланыстың «соңғы милясы» карташы үшін кіру нүктесі бола алатын алуан түрлі технологияларға бай. Өзара әрекеттесу сымды (телефон желісі немесе Ethernet) немесе сымсыз (Wi-Fi, ұялы: CDMA, GSM, UMTS, LTE) байланыс әдісі арқылы жүзеге асырылуы мүмкін. Қауіпсіздік тетіктері мыналарды қамтуы мүмкін: 1) VPN-ге қолдау көрсетуге арналған аппараттық немесе бағдарламалық құрал (екеуі де стандартты, ОЖ-ға енгізілген және үшінші тараптардан); 2) SSL/TLS (нақты банкомат үлгісіне тән және үшінші тарап өндірушілерінен); 3) шифрлау; 4) хабарламаның аутентификациясы.
Алайда, банктер үшін аталған технологиялар өте күрделі болып көрінеді, сондықтан олар желіні арнайы қорғаумен алаңдамайды; немесе олар оны қателермен жүзеге асырады. Ең жақсы жағдайда, банкомат VPN серверімен байланысады және жеке желі ішінде ол процессингтік орталыққа қосылады. Сонымен қатар, егер банктер жоғарыда аталған қорғаныс механизмдерін жүзеге асыра алса да, картаның оларға қарсы тиімді шабуылдары бар. Бұл. Қауіпсіздік PCI DSS стандартына сай болса да, банкоматтар әлі де осал.
PCI DSS негізгі талаптарының бірі жалпыға ортақ желі арқылы жіберілген кезде барлық құпия деректер шифрлануы керек. Бізде бастапқыда олардағы деректер толығымен шифрланғандай етіп жасалған желілер бар! Сондықтан: «Біздің деректеріміз шифрланған, өйткені біз Wi-Fi және GSM пайдаланамыз» деп айту қызықтырады. Дегенмен, бұл желілердің көпшілігі жеткілікті қауіпсіздікті қамтамасыз етпейді. Барлық ұрпақтардың ұялы желілері бұрыннан бұзылған. Ақырында және қайтымсыз. Тіпті олар арқылы берілетін деректерді ұстап алу үшін құрылғыларды ұсынатын жеткізушілер де бар.
Сондықтан, қауіпті байланыста немесе әрбір банкомат өзін басқа банкоматтарға тарататын «жеке» желіде MiTM «жалған процессингтік орталық» шабуылы басталуы мүмкін, бұл картаның банкоматтар арасында тасымалданатын деректер ағынын бақылауды басып алуына әкеледі. Банкомат және процессинг орталығы.
Мыңдаған банкоматтар зардап шегуі мүмкін. Түпнұсқа процессингтік орталыққа барар жолда карта өзінің жалған картасын енгізеді. Бұл жалған процессингтік орталық банкоматқа банкноттарды шығаруға бұйрық береді. Бұл жағдайда карта жасаушы өзінің процессингтік орталығын банкоматқа қандай карта салынғанына қарамастан – оның мерзімі өтіп кеткен немесе нөлдік қалдық болса да қолма-қол ақша берілетіндей етіп конфигурациялайды. Ең бастысы, жалған процессингтік орталық оны «танады». Жалған өңдеу орталығы не үй өнімі, не бастапқыда желі параметрлерін жөндеуге арналған процессингтік орталық тренажеры болуы мүмкін («өндірушіден» картерлерге тағы бір сыйлық).
Келесі суретте төртінші кассетадан 40 банкнот шығару командаларының төгіндісі – жалған процессингтік орталықтан жіберілген және банкоматтың бағдарламалық журналдарында сақталады. Олар дерлік шынайы көрінеді.
Жалған өңдеу орталығының командалық үйіндісі
Ақпарат көзі: www.habr.com