Kotak besi dengan wang yang berdiri di jalan-jalan bandar tidak dapat membantu tetapi menarik perhatian pencinta wang cepat. Dan jika sebelum ini kaedah fizikal semata-mata digunakan untuk mengosongkan ATM, kini semakin banyak helah berkaitan komputer yang mahir digunakan. Kini yang paling relevan ialah "kotak hitam" dengan mikrokomputer papan tunggal di dalamnya. Kami akan bercakap tentang cara ia berfungsi dalam artikel ini.
Ketua Persatuan Pengilang ATM Antarabangsa (ATMIA) "kotak hitam" sebagai ancaman paling berbahaya kepada ATM.
ATM biasa ialah satu set komponen elektromekanikal siap pakai yang ditempatkan dalam satu perumahan. Pengilang ATM membina ciptaan perkakasan mereka daripada dispenser bil, pembaca kad dan komponen lain yang telah dibangunkan oleh pembekal pihak ketiga. Sejenis pembina LEGO untuk orang dewasa. Komponen siap diletakkan di dalam badan ATM, yang biasanya terdiri daripada dua petak: petak atas ("kabinet" atau "kawasan perkhidmatan"), dan petak bawah (selamat). Semua komponen elektromekanikal disambungkan melalui port USB dan COM ke unit sistem, yang dalam kes ini bertindak sebagai hos. Pada model ATM lama anda juga boleh mencari sambungan melalui bas SDC.
Evolusi kad ATM
ATM dengan jumlah wang yang besar di dalamnya sentiasa menarik kad. Pada mulanya, tukang kad mengeksploitasi hanya kekurangan fizikal kasar perlindungan ATM - mereka menggunakan skimmer dan shimmer untuk mencuri data daripada jalur magnetik; pad pin palsu dan kamera untuk melihat kod pin; dan juga ATM palsu.
Kemudian, apabila ATM mula dilengkapi dengan perisian bersatu yang beroperasi mengikut piawaian biasa, seperti XFS (eXtensions for Financial Services), carder mula menyerang ATM dengan virus komputer.
Antaranya ialah Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii dan banyak lagi perisian hasad bernama dan tidak bernama, yang mana kad menanam pada hos ATM sama ada melalui pemacu kilat USB boleh boot atau melalui port kawalan jauh TCP.
Proses jangkitan ATM
Setelah menangkap subsistem XFS, perisian hasad boleh mengeluarkan arahan kepada dispenser wang kertas tanpa kebenaran. Atau berikan arahan kepada pembaca kad: baca/tulis jalur magnetik kad bank dan juga dapatkan semula sejarah transaksi yang disimpan pada cip kad EMV. EPP (Pad PIN Penyulitan) patut diberi perhatian khusus. Secara amnya diterima bahawa kod PIN yang dimasukkan padanya tidak boleh dipintas. Walau bagaimanapun, XFS membenarkan anda menggunakan pad pin EPP dalam dua mod: 1) mod terbuka (untuk memasukkan pelbagai parameter berangka, seperti jumlah yang akan dikeluarkan); 2) mod selamat (EPP bertukar kepadanya apabila anda perlu memasukkan kod PIN atau kunci penyulitan). Ciri XFS ini membolehkan carder melakukan serangan MiTM: memintas arahan pengaktifan mod selamat yang dihantar daripada hos kepada EPP, dan kemudian memaklumkan pad pin EPP bahawa ia harus terus berfungsi dalam mod terbuka. Sebagai tindak balas kepada mesej ini, EPP menghantar ketukan kekunci dalam teks yang jelas.
Prinsip operasi "kotak hitam"
Beberapa tahun kebelakangan ini, Europol, perisian hasad ATM telah berkembang dengan ketara. Carder tidak perlu lagi mempunyai akses fizikal ke ATM untuk menjangkitinya. Mereka boleh menjangkiti ATM melalui serangan rangkaian jauh menggunakan rangkaian korporat bank. Kumpulan IB, pada tahun 2016 di lebih 10 negara Eropah, ATM tertakluk kepada serangan jauh.
Menyerang ATM melalui akses jauh
Antivirus, menyekat kemas kini perisian tegar, menyekat port USB dan menyulitkan pemacu keras - sedikit sebanyak melindungi ATM daripada serangan virus oleh carder. Tetapi bagaimana jika kad tidak menyerang hos, tetapi menyambung terus ke pinggir (melalui RS232 atau USB) - ke pembaca kad, pad pin atau dispenser tunai?
Kenalan pertama dengan "kotak hitam"
Carder yang celik teknologi masa kini , menggunakan apa yang dipanggil untuk mencuri wang tunai daripada ATM. "kotak hitam" adalah mikrokomputer papan tunggal yang diprogramkan secara khusus, seperti Raspberry Pi. "Kotak hitam" mengosongkan ATM sepenuhnya, dengan cara yang benar-benar ajaib (dari sudut pandangan jurubank). Carder menyambungkan peranti ajaib mereka terus ke dispenser bil; untuk mengeluarkan semua wang yang ada daripadanya. Serangan ini memintas semua perisian keselamatan yang digunakan pada hos ATM (antivirus, pemantauan integriti, penyulitan cakera penuh, dsb.).
"Kotak hitam" berdasarkan Raspberry Pi
Pengilang ATM terbesar dan agensi perisikan kerajaan, berhadapan dengan beberapa pelaksanaan "kotak hitam", bahawa komputer pintar ini mendorong ATM untuk meludahkan semua wang tunai yang ada; 40 wang kertas setiap 20 saat. Perkhidmatan keselamatan juga memberi amaran bahawa tukang kad paling kerap menyasarkan ATM di farmasi dan pusat membeli-belah; dan juga kepada ATM yang melayani pemandu semasa dalam perjalanan.
Pada masa yang sama, agar tidak muncul di hadapan kamera, tukang kad yang paling berhati-hati mengambil bantuan rakan kongsi yang tidak begitu berharga, seekor keldai. Dan supaya dia tidak dapat menyesuaikan "kotak hitam" untuk dirinya sendiri, mereka gunakan . Mereka mengalih keluar fungsi utama daripada "kotak hitam" dan menyambung telefon pintar kepadanya, yang digunakan sebagai saluran untuk menghantar arahan dari jauh ke "kotak hitam" yang dilucutkan melalui protokol IP.
Pengubahsuaian "kotak hitam", dengan pengaktifan melalui akses jauh
Apakah rupa ini dari sudut pandangan jurubank? Dalam rakaman dari kamera video, sesuatu seperti ini berlaku: orang tertentu membuka petak atas (kawasan perkhidmatan), menyambungkan "kotak ajaib" ke ATM, menutup petak atas dan pergi. Tidak lama kemudian, beberapa orang, yang kelihatan seperti pelanggan biasa, mendekati ATM dan mengeluarkan sejumlah besar wang. Tukang kad kemudian kembali dan mengambil peranti sihir kecilnya dari ATM. Biasanya, fakta serangan ATM oleh "kotak hitam" ditemui hanya selepas beberapa hari: apabila peti besi kosong dan log pengeluaran tunai tidak sepadan. Akibatnya, pekerja bank hanya boleh .
Analisis komunikasi ATM
Seperti yang dinyatakan di atas, interaksi antara unit sistem dan peranti persisian dijalankan melalui USB, RS232 atau SDC. Carder menyambung terus ke port peranti persisian dan menghantar arahan kepadanya - memintas hos. Ini agak mudah, kerana antara muka standard tidak memerlukan sebarang pemacu khusus. Dan protokol proprietari yang mana peranti dan hos berinteraksi tidak memerlukan kebenaran (lagipun, peranti itu terletak di dalam zon yang dipercayai); dan oleh itu protokol tidak selamat ini, yang melaluinya periferal dan hos berkomunikasi, mudah didengari dan mudah terdedah kepada serangan semula.
Itu. Carder boleh menggunakan perisian atau penganalisis trafik perkakasan, menyambungkannya terus ke port peranti persisian tertentu (contohnya, pembaca kad) untuk mengumpul data yang dihantar. Menggunakan penganalisis trafik, carder mempelajari semua butiran teknikal operasi ATM, termasuk fungsi tidak didokumenkan bagi perantinya (contohnya, fungsi menukar perisian tegar peranti persisian). Akibatnya, kad mendapat kawalan penuh ke atas ATM. Pada masa yang sama, agak sukar untuk mengesan kehadiran penganalisis trafik.
Kawalan terus ke atas dispenser wang kertas bermakna bahawa kaset ATM boleh dikosongkan tanpa sebarang rakaman dalam log, yang biasanya dimasukkan oleh perisian yang digunakan pada hos. Bagi mereka yang tidak biasa dengan seni bina perkakasan dan perisian ATM, ia benar-benar boleh kelihatan seperti sihir.
Dari mana datangnya kotak hitam?
Pembekal dan subkontraktor ATM sedang membangunkan utiliti penyahpepijatan untuk mendiagnosis perkakasan ATM, termasuk mekanik elektrik yang bertanggungjawab untuk pengeluaran tunai. Antara utiliti ini: , . Rajah di bawah menunjukkan beberapa lagi utiliti diagnostik sedemikian.
Panel Kawalan ATMDesk
Panel Kawalan XFS ATM RapidFire
Ciri perbandingan beberapa utiliti diagnostik
Akses kepada utiliti tersebut biasanya terhad kepada token yang diperibadikan; dan mereka hanya berfungsi apabila pintu peti keselamatan ATM dibuka. Walau bagaimanapun, hanya dengan menggantikan beberapa bait dalam kod binari utiliti, carders βujiβ pengeluaran tunai - memintas cek yang disediakan oleh pengilang utiliti. Carder memasang utiliti yang diubah suai tersebut pada komputer riba atau mikrokomputer papan tunggal mereka, yang kemudiannya disambungkan terus ke dispenser wang kertas untuk membuat pengeluaran tunai tanpa kebenaran.
"Last mile" dan pusat pemprosesan palsu
Interaksi langsung dengan pinggir, tanpa komunikasi dengan hos, hanyalah salah satu teknik kad yang berkesan. Teknik lain bergantung pada fakta bahawa kami mempunyai pelbagai jenis antara muka rangkaian yang melaluinya ATM berkomunikasi dengan dunia luar. Daripada X.25 kepada Ethernet dan selular. Banyak ATM boleh dikenal pasti dan disetempatkan menggunakan perkhidmatan Shodan (arahan paling ringkas untuk penggunaannya dibentangkan ), β dengan serangan seterusnya yang mengeksploitasi konfigurasi keselamatan yang terdedah, kemalasan pentadbir dan komunikasi yang terdedah antara pelbagai jabatan bank.
Komunikasi "batu terakhir" antara ATM dan pusat pemprosesan kaya dengan pelbagai jenis teknologi yang boleh berfungsi sebagai pintu masuk untuk kad. Interaksi boleh dilakukan melalui kaedah komunikasi berwayar (talian telefon atau Ethernet) atau wayarles (Wi-Fi, selular: CDMA, GSM, UMTS, LTE). Mekanisme keselamatan mungkin termasuk: 1) perkakasan atau perisian untuk menyokong VPN (kedua-dua standard, terbina dalam OS dan daripada pihak ketiga); 2) SSL/TLS (kedua-duanya khusus untuk model ATM tertentu dan daripada pengeluar pihak ketiga); 3) penyulitan; 4) pengesahan mesej.
Tetapi bahawa bagi bank teknologi yang disenaraikan kelihatan sangat kompleks, dan oleh itu mereka tidak mengganggu diri mereka dengan perlindungan rangkaian khas; atau mereka melaksanakannya dengan kesilapan. Dalam kes terbaik, ATM berkomunikasi dengan pelayan VPN, dan sudah berada di dalam rangkaian peribadi ia bersambung ke pusat pemprosesan. Di samping itu, walaupun bank berjaya melaksanakan mekanisme perlindungan yang disenaraikan di atas, carder sudah mempunyai serangan yang berkesan terhadap mereka. Itu. Walaupun keselamatan mematuhi piawaian PCI DSS, ATM masih terdedah.
Salah satu keperluan teras PCI DSS ialah semua data sensitif mesti disulitkan apabila dihantar melalui rangkaian awam. Dan kami sebenarnya mempunyai rangkaian yang pada asalnya direka bentuk sedemikian rupa sehingga data di dalamnya disulitkan sepenuhnya! Oleh itu, tergoda untuk mengatakan: "Data kami disulitkan kerana kami menggunakan Wi-Fi dan GSM." Walau bagaimanapun, kebanyakan rangkaian ini tidak menyediakan keselamatan yang mencukupi. Rangkaian selular semua generasi telah lama digodam. Akhirnya dan tidak boleh ditarik balik. Malah ada pembekal yang menawarkan peranti untuk memintas data yang dihantar ke atasnya.
Oleh itu, sama ada dalam komunikasi yang tidak selamat atau dalam rangkaian "peribadi", di mana setiap ATM menyiarkan dirinya sendiri ke ATM lain, serangan "pusat pemprosesan palsu" MiTM boleh dimulakan - yang akan membawa kepada kader merampas kawalan aliran data yang dihantar antara ATM dan pusat pemprosesan.
Beribu-ribu ATM berpotensi terjejas. Dalam perjalanan ke pusat pemprosesan tulen, kadr memasukkan kad sendiri yang palsu. Pusat pemprosesan palsu ini memberi arahan kepada ATM untuk mengeluarkan wang kertas. Dalam kes ini, kad mengkonfigurasi pusat pemprosesannya sedemikian rupa sehingga wang tunai dikeluarkan tanpa mengira kad yang dimasukkan ke dalam ATM - walaupun ia telah tamat tempoh atau mempunyai baki sifar. Perkara utama ialah pusat pemprosesan palsu "mengiktiraf"nya. Pusat pemprosesan palsu boleh menjadi sama ada produk buatan sendiri atau simulator pusat pemprosesan, yang pada asalnya direka untuk menyahpepijat tetapan rangkaian (hadiah lain daripada "pengilang" kepada pembuat kad).
Dalam gambar berikut lambakan arahan untuk mengeluarkan 40 wang kertas daripada kaset keempat - dihantar dari pusat pemprosesan palsu dan disimpan dalam log perisian ATM. Mereka kelihatan hampir nyata.
Pembuangan arahan pusat pemprosesan palsu
Sumber: www.habr.com