Хотын гудамжинд мөнгөтэй төмөр хайрцагнууд хурдан мөнгө сонирхогчдын анхаарлыг татахгүй байхын аргагүй юм. Хэрэв өмнө нь АТМ-ыг хоослоход зөвхөн физик аргыг ашигладаг байсан бол одоо компьютертэй холбоотой илүү чадварлаг заль мэх хэрэглэж байна. Одоо тэдний хамгийн хамааралтай нь дотроо нэг самбар бүхий микрокомпьютер бүхий "хар хайрцаг" юм. Энэ нь хэрхэн ажилладаг талаар бид энэ нийтлэлд ярих болно.
Олон улсын АТМ үйлдвэрлэгчдийн холбооны тэргүүн (ATMIA) "Хар хайрцаг" нь АТМ-д хамгийн аюултай аюул юм.
Ердийн АТМ нь нэг орон сууцанд байрлуулсан бэлэн цахилгаан механик бүрэлдэхүүн хэсгүүдийн багц юм. АТМ үйлдвэрлэгчид гуравдагч талын ханган нийлүүлэгчдийн аль хэдийн хөгжүүлсэн данс, карт уншигч болон бусад бүрэлдэхүүн хэсгүүдээс техник хангамжаа бүтээдэг. Насанд хүрэгчдэд зориулсан нэг төрлийн LEGO бүтээгч. Бэлэн эд ангиудыг АТМ-ийн биед байрлуулсан бөгөөд энэ нь ихэвчлэн дээд тасалгаа ("кабинет" эсвэл "үйлчилгээний хэсэг"), доод тасалгаа (сейф) гэсэн хоёр тасалгаанаас бүрддэг. Бүх цахилгаан механик бүрэлдэхүүн хэсгүүд нь USB болон COM портуудаар системийн нэгжид холбогдсон бөгөөд энэ тохиолдолд хост үүрэг гүйцэтгэдэг. Хуучин АТМ загварууд дээр та SDC автобусаар дамжуулан холболтыг олох боломжтой.
АТМ картын хувьсал
Дотор нь асар их мөнгөтэй АТМ нь карт эзэмшигчдийн анхаарлыг байнга татдаг. Эхэндээ картчид зөвхөн АТМ-ийн хамгаалалтын бүрэн физик дутагдлыг ашигладаг байсан - тэд соронзон туузаас өгөгдлийг хулгайлахын тулд skimmers болон shimmers ашигладаг; хуурамч зүү дэвсгэр, пин кодыг үзэх камер; тэр байтугай хуурамч АТМ.
Дараа нь АТМ-уудыг XFS (Санхүүгийн үйлчилгээний өргөтгөл) гэх мэт нийтлэг стандартын дагуу ажилладаг нэгдсэн программ хангамжаар тоноглож эхлэхэд картчид компьютерийн вирусаар АТМ руу халдаж эхлэв.
Тэдгээрийн дотор Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii болон бусад олон тооны нэртэй болон нэргүй хортой программууд байдаг бөгөөд картууд нь ачаалах боломжтой USB флаш диск эсвэл TCP алсын удирдлагын портоор дамжуулан АТМ хост дээр суулгадаг.
АТМ-ийн халдварын үйл явц
XFS дэд системийг барьж авсны дараа хортой програм нь зөвшөөрөлгүйгээр мөнгөн дэвсгэрт түгээгч рүү тушаал өгөх боломжтой. Эсвэл карт уншигчид тушаал өгөх: банкны картын соронзон туузыг унших/бичих, тэр ч байтугай EMV картын чип дээр хадгалагдсан гүйлгээний түүхийг авах боломжтой. EPP (Encrypting PIN Pad) нь онцгой анхаарал хандуулах ёстой. Түүн дээр оруулсан ПИН кодыг саатуулах боломжгүй гэдгийг ерөнхийд нь хүлээн зөвшөөрдөг. Гэсэн хэдий ч XFS нь EPP pinpad-ийг хоёр горимд ашиглах боломжийг олгодог: 1) нээлттэй горим (бэлэн мөнгө авах дүн гэх мэт янз бүрийн тоон параметрүүдийг оруулах); 2) аюулгүй горим (PIN код эсвэл шифрлэлтийн түлхүүр оруулах шаардлагатай үед EPP түүн рүү шилждэг). XFS-ийн энэ онцлог нь картчинд MiTM халдлага хийх боломжийг олгодог: хостоос EPP рүү илгээсэн аюулгүй горимыг идэвхжүүлэх командыг таслан зогсоож, дараа нь нээлттэй горимд үргэлжлүүлэн ажиллах ёстойг EPP pinpad-д мэдэгдэнэ. Энэ мессежийн хариуд EPP нь товчлуурын даралтыг тодорхой текстээр илгээдэг.
"Хар хайрцаг"-ын ажиллах зарчим
Сүүлийн жилүүдэд, Europol, ATM-ийн хортой програмууд ихээхэн хөгжсөн. Картерууд халдвар авахын тулд АТМ руу биечлэн хандах шаардлагагүй болсон. Тэд банкны корпорацийн сүлжээг ашиглан алсаас сүлжээний халдлага хийх замаар АТМ-д халдварлах боломжтой. IB групп, 2016 онд Европын 10 гаруй оронд АТМ-ууд алсаас халдлагад өртөж байжээ.
Алсын зайнаас АТМ руу халдах
Антивирусууд, програмын шинэчлэлтийг хаах, USB портуудыг хаах, хатуу дискийг шифрлэх зэрэг нь АТМ-ийг картын вирусын халдлагаас тодорхой хэмжээгээр хамгаалдаг. Кардер нь хост руу дайрахгүй, харин захын хэсэг рүү (RS232 эсвэл USB-ээр) шууд холбогдвол - карт уншигч, зүү дэвсгэр эсвэл бэлэн мөнгө тараагчтай холбогдвол яах вэ?
"Хар хайрцаг"-тай анхны танилцах
Өнөөгийн технологийн мэдлэгтэй картчид , АТМ-аас бэлэн мөнгө хулгайлах гэж нэрлэгддэг зүйлийг ашиглан. "Хар хайрцаг" нь Raspberry Pi гэх мэт тусгайлан програмчлагдсан нэг самбарт микрокомпьютер юм. "Хар хайрцаг" нь АТМ-ыг бүрэн хоосолж, ид шидтэй байдлаар (банкныхны үзэж байгаагаар). Кардерууд өөрсдийн шидэт төхөөрөмжөө тооцооны таслагчтай шууд холбодог; түүнээс боломжтой бүх мөнгийг гаргаж авах. Энэ халдлага нь АТМ хост дээр байрлуулсан бүх хамгаалалтын программ хангамжийг (антивирус, бүрэн бүтэн байдлыг хянах, дискний бүрэн шифрлэлт гэх мэт) тойрч гардаг.
Raspberry Pi дээр суурилсан "Хар хайрцаг"
Хамгийн том АТМ үйлдвэрлэгчид болон засгийн газрын тагнуулын байгууллагууд "хар хайрцаг"-ын хэд хэдэн хэрэгжилттэй тулгарсан. эдгээр ухаалаг компьютерууд бэлэн байгаа бүх бэлэн мөнгийг нулимахад АТМ-ыг өдөөдөг; 40 секунд тутамд 20 мөнгөн дэвсгэрт. Картерууд ихэвчлэн эмийн сан, худалдааны төвүүдийн АТМ-ыг онилдог гэдгийг аюулгүй байдлын алба анхааруулж байна; мөн түүнчлэн жолооч нарт үйлчилдэг АТМ-д.
Үүний зэрэгцээ, камерын өмнө гарахгүйн тулд хамгийн болгоомжтой картчид тийм ч үнэ цэнэтэй биш түнш болох луусын тусламжийг авдаг. Тэгээд тэр "хар хайрцгийг" өөртөө зориулж чадахгүйн тулд тэд ашигладаг . Тэд "хар хайрцаг"-аас үндсэн функцуудыг устгаж, ухаалаг гар утсыг холбодог бөгөөд энэ нь IP протоколоор устгагдсан "хар хайрцаг" руу тушаалуудыг алсаас дамжуулах суваг болгон ашигладаг.
Алсын хандалтаар идэвхжүүлэх "хар хайрцгийг" өөрчлөх
Энэ нь банкируудын нүдээр ямар харагдаж байна вэ? Видео камерын бичлэгт иймэрхүү зүйл тохиолддог: тодорхой хүн дээд тасалгааг (үйлчилгээний талбайг) онгойлгож, "шидэт хайрцаг" -ыг АТМ-тай холбож, дээд тасалгааг хааж, орхидог. Хэсэг хугацааны дараа энгийн үйлчлүүлэгч бололтой хэд хэдэн хүмүүс АТМ руу ойртож, асар их хэмжээний мөнгө авчээ. Дараа нь картчин буцаж ирээд АТМ-аас бяцхан шидэт хэрэгслээ гаргаж авна. Ихэвчлэн "хар хайрцаг"-аар АТМ-д халдсан нь хэдхэн хоногийн дараа л олддог: хоосон сейф болон бэлэн мөнгө авах бүртгэл таарахгүй байх үед. Үүний үр дүнд банкны ажилтнууд зөвхөн боломжтой .
АТМ харилцаа холбооны шинжилгээ
Дээр дурдсанчлан системийн нэгж болон захын төхөөрөмжүүдийн хоорондын харилцан үйлчлэл нь USB, RS232 эсвэл SDC-ээр дамждаг. Кардер нь захын төхөөрөмжийн порт руу шууд холбогдож, түүн рүү командуудыг илгээдэг - хостыг тойрч гардаг. Энэ нь маш энгийн, учир нь стандарт интерфейс нь тусгай драйвер шаарддаггүй. Мөн захын болон хостын харилцан үйлчлэлийн өмчлөлийн протоколууд нь зөвшөөрөл шаарддаггүй (эцэст нь төхөөрөмж нь итгэмжлэгдсэн бүсэд байрладаг); Тиймээс захын төхөөрөмж болон хостууд хоорондоо харилцдаг эдгээр аюулгүй протоколуудыг чагнаж, давтан халдлагад амархан өртдөг.
Тэр. Кардерууд дамжуулагдсан өгөгдлийг цуглуулахын тулд тодорхой захын төхөөрөмжийн порт руу (жишээлбэл, карт уншигч) шууд холбож, програм хангамж эсвэл техник хангамжийн хөдөлгөөний анализатор ашиглаж болно. Хөдөлгөөний анализатор ашиглан картчин нь АТМ-ийн үйл ажиллагааны бүх техникийн нарийн ширийнийг, түүний дотор түүний захын төхөөрөмжийн баримтжуулаагүй функцуудыг (жишээлбэл, захын төхөөрөмжийн програмыг өөрчлөх функц) сурдаг. Үүний үр дүнд картчин АТМ-ийг бүрэн хянах боломжтой болно. Үүний зэрэгцээ замын хөдөлгөөний анализатор байгаа эсэхийг илрүүлэх нь нэлээд хэцүү байдаг.
Мөнгөн тэмдэгт түгээгчийг шууд хянах нь АТМ-ын кассетыг ихэвчлэн хост дээр байрлуулсан программ хангамжаар оруулдаг бүртгэлд ямар ч бичлэг хийхгүйгээр хоослох боломжтой гэсэн үг юм. АТМ-ийн техник хангамж, програм хангамжийн архитектурыг мэдэхгүй хүмүүст энэ нь үнэхээр ид шид мэт харагдаж болно.
Хар хайрцаг хаанаас гардаг вэ?
АТМ нийлүүлэгчид болон туслан гүйцэтгэгчид АТМ-ын тоног төхөөрөмжийг оношлох дибаг хийх хэрэгслүүд, тэр дундаа бэлэн мөнгө авах үүрэгтэй цахилгаан механикчуудыг хөгжүүлж байна. Эдгээр хэрэгслүүдийн дунд: , . Доорх зурагт ийм оношлогооны хэд хэдэн хэрэгслийг харуулав.
ATMDesk хяналтын самбар
RapidFire ATM XFS хяналтын самбар
Хэд хэдэн оношлогооны хэрэгслийн харьцуулсан шинж чанарууд
Ийм хэрэгслүүдэд хандах хандалт нь ихэвчлэн хувийн жетоноор хязгаарлагддаг; Мөн тэд зөвхөн АТМ-ийн сейфийн хаалга нээлттэй үед л ажилладаг. Гэсэн хэдий ч, зүгээр л хэрэглүүрийн хоёртын код дахь хэдэн байтыг орлуулах замаар картууд Бэлэн мөнгө авах "туршилт" - цахилгаан хэрэгсэл үйлдвэрлэгчээс өгсөн чекийг алгасах. Кардерууд зөөврийн компьютер эсвэл нэг самбарт микрокомпьютер дээрээ ийм өөрчилсөн хэрэгслийг суулгаж, дараа нь мөнгөн дэвсгэрт түгээгчтэй шууд холбогдож, зөвшөөрөлгүй бэлэн мөнгө авах боломжтой.
“Сүүлчийн миль” ба хуурамч боловсруулах төв
Хосттой харилцахгүйгээр захын хэсэгтэй шууд харьцах нь үр дүнтэй үрэх аргуудын зөвхөн нэг юм. Бусад техникүүд нь АТМ нь гадаад ертөнцтэй харилцдаг олон төрлийн сүлжээний интерфейстэй байдагт тулгуурладаг. X.25-аас Ethernet болон үүрэн холбоо хүртэл. Шодан үйлчилгээг ашиглан олон АТМ-ийг тодорхойлж, нутагшуулах боломжтой (үүнийг ашиглах хамгийн товч зааврыг танилцуулсан болно ), – аюулгүй байдлын эмзэг тохиргоо, администраторын залхуурал, банкны янз бүрийн хэлтэс хоорондын эмзэг харилцаа холбоог ашигласан дараагийн халдлага.
АТМ болон процессийн төв хоорондын харилцааны "сүүлийн миль" нь карт эзэмшигчийн нэвтрэх цэг болж чадах олон төрлийн технологиор баялаг юм. Харилцаа холбоог утастай (утасны шугам эсвэл Ethernet) эсвэл утасгүй (Wi-Fi, үүрэн холбоо: CDMA, GSM, UMTS, LTE) холбооны аргаар хийж болно. Хамгаалалтын механизмд дараахь зүйлс орно: 1) VPN-г дэмжих техник хангамж эсвэл програм хангамж (стандарт, үйлдлийн системд суулгасан болон гуравдагч этгээдийн аль аль нь); 2) SSL/TLS (тодорхой АТМ загвар болон гуравдагч талын үйлдвэрлэгчдийн аль алинд нь зориулагдсан); 3) шифрлэлт; 4) мессежийн баталгаажуулалт.
Гэсэн хэдий ч, банкуудын хувьд жагсаасан технологиуд нь маш нарийн төвөгтэй мэт санагддаг тул сүлжээний тусгай хамгаалалтад өөрсдийгөө зовоодоггүй; эсвэл алдаатай хэрэгжүүлдэг. Хамгийн сайн тохиолдолд АТМ нь VPN сервертэй холбогддог бөгөөд хувийн сүлжээнд аль хэдийн процессийн төвтэй холбогддог. Нэмж дурдахад, банкууд дээр дурдсан хамгаалалтын механизмуудыг хэрэгжүүлж чадсан ч картууд аль хэдийн тэдний эсрэг үр дүнтэй дайралт хийдэг. Тэр. Аюулгүй байдал нь PCI DSS стандартад нийцэж байгаа ч АТМ-ууд эмзэг хэвээр байна.
PCI DSS-ийн үндсэн шаардлагуудын нэг бол бүх нууц мэдээллийг нийтийн сүлжээгээр дамжуулахдаа шифрлэгдсэн байх ёстой. Бидэнд үнэхээр сүлжээнүүд байдаг бөгөөд тэдгээрийн доторх өгөгдөл нь бүрэн шифрлэгдсэн байдаг! Тиймээс, "Бид Wi-Fi болон GSM ашигладаг тул бидний өгөгдөл шифрлэгдсэн" гэж хэлэх нь сонирхолтой юм. Гэсэн хэдий ч эдгээр сүлжээнүүдийн ихэнх нь хангалттай аюулгүй байдлыг хангадаггүй. Бүх үеийн үүрэн холбооны сүлжээг хакердаад удаж байна. Эцэст нь, эргэлт буцалтгүй. Мөн тэдгээрийн дамжуулсан өгөгдлийг таслах төхөөрөмжийг санал болгодог ханган нийлүүлэгчид ч байдаг.
Тиймээс, найдвартай бус харилцаа холбоо эсвэл АТМ бүр өөр АТМ руу дамжуулдаг "хувийн" сүлжээнд MiTM "хуурамч боловсруулах төв" халдлага үйлдэж болох бөгөөд энэ нь картын хооронд дамжих өгөгдлийн урсгалыг хянахад хүргэнэ. АТМ болон боловсруулах төв.
Олон мянган АТМ өртөж болзошгүй. Жинхэнэ боловсруулах төв рүү явах замдаа карт нь өөрийн гэсэн хуурамч нэгийг оруулдаг. Энэхүү хуурамч боловсруулах төв нь АТМ-д мөнгөн тэмдэгт өгөх тушаал өгдөг. Энэ тохиолдолд картчин өөрийн боловсруулах төвөө АТМ-д аль карт оруулахаас үл хамааран хугацаа нь дууссан эсвэл тэг үлдэгдэлтэй байсан ч бэлэн мөнгө олгох байдлаар тохируулдаг. Хамгийн гол нь хуурамч боловсруулах төв үүнийг "танидаг" юм. Хуурамч боловсруулах төв нь гар хийцийн бүтээгдэхүүн эсвэл сүлжээний тохиргоог дибаг хийхэд зориулагдсан боловсруулах төвийн симулятор байж болно ("үйлдвэрлэгч"-ээс картчинд өгөх өөр нэг бэлэг).
Дараах зурган дээр Дөрөв дэх кассетаас 40 мөнгөн дэвсгэрт гаргах командын овоолго - хуурамч боловсруулах төвөөс илгээж, АТМ програмын бүртгэлд хадгалсан. Тэд бараг бодит харагдаж байна.
Хуурамч боловсруулах төвийн командын хогийн цэг
Эх сурвалж: www.habr.com