Kotak besi dengan wang yang berdiri di jalan-jalan bandar tidak dapat membantu tetapi menarik perhatian pencinta wang cepat. Dan jika sebelum ini kaedah fizikal semata-mata digunakan untuk mengosongkan ATM, kini semakin banyak helah berkaitan komputer yang mahir digunakan. Kini yang paling relevan ialah "kotak hitam" dengan mikrokomputer papan tunggal di dalamnya. Kami akan bercakap tentang cara ia berfungsi dalam artikel ini.
Ketua Persatuan Pengilang ATM Antarabangsa (ATMIA)
ATM biasa ialah satu set komponen elektromekanikal siap pakai yang ditempatkan dalam satu perumahan. Pengilang ATM membina ciptaan perkakasan mereka daripada dispenser bil, pembaca kad dan komponen lain yang telah dibangunkan oleh pembekal pihak ketiga. Sejenis pembina LEGO untuk orang dewasa. Komponen siap diletakkan di dalam badan ATM, yang biasanya terdiri daripada dua petak: petak atas ("kabinet" atau "kawasan perkhidmatan"), dan petak bawah (selamat). Semua komponen elektromekanikal disambungkan melalui port USB dan COM ke unit sistem, yang dalam kes ini bertindak sebagai hos. Pada model ATM lama anda juga boleh mencari sambungan melalui bas SDC.
Evolusi kad ATM
ATM dengan jumlah wang yang besar di dalamnya sentiasa menarik kad. Pada mulanya, tukang kad mengeksploitasi hanya kekurangan fizikal kasar perlindungan ATM - mereka menggunakan skimmer dan shimmer untuk mencuri data daripada jalur magnetik; pad pin palsu dan kamera untuk melihat kod pin; dan juga ATM palsu.
Kemudian, apabila ATM mula dilengkapi dengan perisian bersatu yang beroperasi mengikut piawaian biasa, seperti XFS (eXtensions for Financial Services), carder mula menyerang ATM dengan virus komputer.
Antaranya ialah Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii dan banyak lagi perisian hasad bernama dan tidak bernama, yang mana kad menanam pada hos ATM sama ada melalui pemacu kilat USB boleh boot atau melalui port kawalan jauh TCP.
Proses jangkitan ATM
Setelah menangkap subsistem XFS, perisian hasad boleh mengeluarkan arahan kepada dispenser wang kertas tanpa kebenaran. Atau berikan arahan kepada pembaca kad: baca/tulis jalur magnetik kad bank dan juga dapatkan semula sejarah transaksi yang disimpan pada cip kad EMV. EPP (Pad PIN Penyulitan) patut diberi perhatian khusus. Secara amnya diterima bahawa kod PIN yang dimasukkan padanya tidak boleh dipintas. Walau bagaimanapun, XFS membenarkan anda menggunakan pad pin EPP dalam dua mod: 1) mod terbuka (untuk memasukkan pelbagai parameter berangka, seperti jumlah yang akan dikeluarkan); 2) mod selamat (EPP bertukar kepadanya apabila anda perlu memasukkan kod PIN atau kunci penyulitan). Ciri XFS ini membolehkan carder melakukan serangan MiTM: memintas arahan pengaktifan mod selamat yang dihantar daripada hos kepada EPP, dan kemudian memaklumkan pad pin EPP bahawa ia harus terus berfungsi dalam mod terbuka. Sebagai tindak balas kepada mesej ini, EPP menghantar ketukan kekunci dalam teks yang jelas.
Prinsip operasi "kotak hitam"
Beberapa tahun kebelakangan ini,
Menyerang ATM melalui akses jauh
Antivirus, menyekat kemas kini perisian tegar, menyekat port USB dan menyulitkan pemacu keras - sedikit sebanyak melindungi ATM daripada serangan virus oleh carder. Tetapi bagaimana jika kad tidak menyerang hos, tetapi menyambung terus ke pinggir (melalui RS232 atau USB) - ke pembaca kad, pad pin atau dispenser tunai?
Kenalan pertama dengan "kotak hitam"
Carder yang celik teknologi masa kini
"Kotak hitam" berdasarkan Raspberry Pi
Pengilang ATM terbesar dan agensi perisikan kerajaan, berhadapan dengan beberapa pelaksanaan "kotak hitam",
Pada masa yang sama, agar tidak muncul di hadapan kamera, tukang kad yang paling berhati-hati mengambil bantuan rakan kongsi yang tidak begitu berharga, seekor keldai. Dan supaya dia tidak dapat menyesuaikan "kotak hitam" untuk dirinya sendiri, mereka gunakan
Pengubahsuaian "kotak hitam", dengan pengaktifan melalui akses jauh
Apakah rupa ini dari sudut pandangan jurubank? Dalam rakaman dari kamera video, sesuatu seperti ini berlaku: orang tertentu membuka petak atas (kawasan perkhidmatan), menyambungkan "kotak ajaib" ke ATM, menutup petak atas dan pergi. Tidak lama kemudian, beberapa orang, yang kelihatan seperti pelanggan biasa, mendekati ATM dan mengeluarkan sejumlah besar wang. Tukang kad kemudian kembali dan mengambil peranti sihir kecilnya dari ATM. Biasanya, fakta serangan ATM oleh "kotak hitam" ditemui hanya selepas beberapa hari: apabila peti besi kosong dan log pengeluaran tunai tidak sepadan. Akibatnya, pekerja bank hanya boleh
Analisis komunikasi ATM
Seperti yang dinyatakan di atas, interaksi antara unit sistem dan peranti persisian dijalankan melalui USB, RS232 atau SDC. Carder menyambung terus ke port peranti persisian dan menghantar arahan kepadanya - memintas hos. Ini agak mudah, kerana antara muka standard tidak memerlukan sebarang pemacu khusus. Dan protokol proprietari yang mana peranti dan hos berinteraksi tidak memerlukan kebenaran (lagipun, peranti itu terletak di dalam zon yang dipercayai); dan oleh itu protokol tidak selamat ini, yang melaluinya periferal dan hos berkomunikasi, mudah didengari dan mudah terdedah kepada serangan semula.
Itu. Carder boleh menggunakan perisian atau penganalisis trafik perkakasan, menyambungkannya terus ke port peranti persisian tertentu (contohnya, pembaca kad) untuk mengumpul data yang dihantar. Menggunakan penganalisis trafik, carder mempelajari semua butiran teknikal operasi ATM, termasuk fungsi tidak didokumenkan bagi perantinya (contohnya, fungsi menukar perisian tegar peranti persisian). Akibatnya, kad mendapat kawalan penuh ke atas ATM. Pada masa yang sama, agak sukar untuk mengesan kehadiran penganalisis trafik.
Kawalan terus ke atas dispenser wang kertas bermakna bahawa kaset ATM boleh dikosongkan tanpa sebarang rakaman dalam log, yang biasanya dimasukkan oleh perisian yang digunakan pada hos. Bagi mereka yang tidak biasa dengan seni bina perkakasan dan perisian ATM, ia benar-benar boleh kelihatan seperti sihir.
Dari mana datangnya kotak hitam?
Pembekal dan subkontraktor ATM sedang membangunkan utiliti penyahpepijatan untuk mendiagnosis perkakasan ATM, termasuk mekanik elektrik yang bertanggungjawab untuk pengeluaran tunai. Antara utiliti ini:
Panel Kawalan ATMDesk
Panel Kawalan XFS ATM RapidFire
Ciri perbandingan beberapa utiliti diagnostik
Akses kepada utiliti tersebut biasanya terhad kepada token yang diperibadikan; dan mereka hanya berfungsi apabila pintu peti keselamatan ATM dibuka. Walau bagaimanapun, hanya dengan menggantikan beberapa bait dalam kod binari utiliti, carders
"Last mile" dan pusat pemprosesan palsu
Interaksi langsung dengan pinggir, tanpa komunikasi dengan hos, hanyalah salah satu teknik kad yang berkesan. Teknik lain bergantung pada fakta bahawa kami mempunyai pelbagai jenis antara muka rangkaian yang melaluinya ATM berkomunikasi dengan dunia luar. Daripada X.25 kepada Ethernet dan selular. Banyak ATM boleh dikenal pasti dan disetempatkan menggunakan perkhidmatan Shodan (arahan paling ringkas untuk penggunaannya dibentangkan
Komunikasi "batu terakhir" antara ATM dan pusat pemprosesan kaya dengan pelbagai jenis teknologi yang boleh berfungsi sebagai pintu masuk untuk kad. Interaksi boleh dilakukan melalui kaedah komunikasi berwayar (talian telefon atau Ethernet) atau wayarles (Wi-Fi, selular: CDMA, GSM, UMTS, LTE). Mekanisme keselamatan mungkin termasuk: 1) perkakasan atau perisian untuk menyokong VPN (kedua-dua standard, terbina dalam OS dan daripada pihak ketiga); 2) SSL/TLS (kedua-duanya khusus untuk model ATM tertentu dan daripada pengeluar pihak ketiga); 3) penyulitan; 4) pengesahan mesej.
Tetapi
Salah satu keperluan teras PCI DSS ialah semua data sensitif mesti disulitkan apabila dihantar melalui rangkaian awam. Dan kami sebenarnya mempunyai rangkaian yang pada asalnya direka bentuk sedemikian rupa sehingga data di dalamnya disulitkan sepenuhnya! Oleh itu, tergoda untuk mengatakan: "Data kami disulitkan kerana kami menggunakan Wi-Fi dan GSM." Walau bagaimanapun, kebanyakan rangkaian ini tidak menyediakan keselamatan yang mencukupi. Rangkaian selular semua generasi telah lama digodam. Akhirnya dan tidak boleh ditarik balik. Malah ada pembekal yang menawarkan peranti untuk memintas data yang dihantar ke atasnya.
Oleh itu, sama ada dalam komunikasi yang tidak selamat atau dalam rangkaian "peribadi", di mana setiap ATM menyiarkan dirinya sendiri ke ATM lain, serangan "pusat pemprosesan palsu" MiTM boleh dimulakan - yang akan membawa kepada kader merampas kawalan aliran data yang dihantar antara ATM dan pusat pemprosesan.
Dalam gambar berikut
Pembuangan arahan pusat pemprosesan palsu
Sumber: www.habr.com