Jernbokser med penger som står på gatene i byen kan ikke unngå å tiltrekke seg oppmerksomheten til elskere av raske penger. Og hvis tidligere rent fysiske metoder ble brukt for å tømme minibanker, brukes nå stadig flere dyktige datarelaterte triks. Nå er den mest relevante av dem en "svart boks" med en enkeltbretts mikrodatamaskin inni. Vi vil snakke om hvordan det fungerer i denne artikkelen.
Leder for International ATM Manufacturers Association (ATMIA)
En typisk minibank er et sett med ferdige elektromekaniske komponenter plassert i ett hus. Minibankprodusenter bygger sine maskinvarekreasjoner fra seddelautomaten, kortleseren og andre komponenter som allerede er utviklet av tredjepartsleverandører. En slags LEGO-konstruktør for voksne. De ferdige komponentene plasseres i minibankkroppen, som vanligvis består av to rom: et øvre rom ("skap" eller "serviceområde"), og et nedre rom (safe). Alle elektromekaniske komponenter kobles via USB- og COM-porter til systemenheten, som i dette tilfellet fungerer som en vert. På eldre minibankmodeller kan du også finne forbindelser via SDC-bussen.
Utviklingen av ATM-korting
Minibanker med enorme summer inne tiltrekker alltid kortere. Til å begynne med utnyttet kortere bare de grove fysiske manglene ved minibankbeskyttelse - de brukte skimmere og skimmere for å stjele data fra magnetstriper; falske pin-puter og kameraer for visning av pin-koder; og til og med falske minibanker.
Så, da minibanker begynte å bli utstyrt med enhetlig programvare som opererer i henhold til vanlige standarder, som XFS (eXtensions for Financial Services), begynte kortbrukere å angripe minibanker med datavirus.
Blant dem er Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii og andre tallrike navngitte og ikke-navngitte skadevare, som kortere planter på minibankverten enten gjennom en oppstartbar USB-flash-stasjon eller gjennom en TCP-fjernkontrollport.
ATM-infeksjonsprosess
Etter å ha fanget XFS-undersystemet, kan skadelig programvare gi kommandoer til seddelautomaten uten autorisasjon. Eller gi kommandoer til kortleseren: les/skriv magnetstripen til et bankkort og hent til og med transaksjonshistorikken som er lagret på EMV-kortbrikken. EPP (Encrypting PIN Pad) fortjener spesiell oppmerksomhet. Det er generelt akseptert at PIN-koden som er oppgitt på den ikke kan avskjæres. Imidlertid lar XFS deg bruke EPP pinpad i to moduser: 1) åpen modus (for å angi forskjellige numeriske parametere, for eksempel beløpet som skal utbetales); 2) sikker modus (EPP bytter til den når du trenger å taste inn en PIN-kode eller krypteringsnøkkel). Denne funksjonen til XFS lar korteren utføre et MiTM-angrep: avlytte sikkermodusaktiveringskommandoen som sendes fra verten til EPP, og informer deretter EPP-pinpaden om at den skal fortsette å jobbe i åpen modus. Som svar på denne meldingen sender EPP tastetrykk i klartekst.
Driftsprinsippet til en "svart boks"
I de senere år,
Angrep på en minibank via fjerntilgang
Antivirus, blokkering av fastvareoppdateringer, blokkering av USB-porter og kryptering av harddisken – beskytter til en viss grad minibanken mot virusangrep fra kortere. Men hva om korteren ikke angriper verten, men kobler seg direkte til periferien (via RS232 eller USB) - til en kortleser, pinnepute eller pengeautomat?
Første bekjentskap med den "svarte boksen"
Dagens teknologikyndige kardere
"Black box" basert på Raspberry Pi
De største minibankprodusentene og statlige etterretningsbyråene står overfor flere implementeringer av den "svarte boksen",
Samtidig, for ikke å dukke opp foran kameraene, tar de mest forsiktige kardantene hjelp av en ikke veldig verdifull partner, et muldyr. Og slik at han ikke kan tilegne seg den "svarte boksen" for seg selv, bruker de
Modifisering av den "svarte boksen", med aktivering via fjerntilgang
Hvordan ser dette ut fra bankfolkets ståsted? I opptak fra videokameraer skjer noe slikt: en bestemt person åpner det øvre rommet (serviceområdet), kobler en "magisk boks" til minibanken, lukker det øvre rommet og går. Litt senere nærmer flere personer, tilsynelatende vanlige kunder, minibanken og tar ut enorme mengder penger. Korteren kommer deretter tilbake og henter den lille magiske enheten sin fra minibanken. Vanligvis oppdages faktumet med et minibankangrep av en "svart boks" først etter noen dager: når den tomme safen og kontantuttaksloggen ikke stemmer overens. Som et resultat kan bankansatte bare
Analyse av minibankkommunikasjon
Som nevnt ovenfor utføres interaksjon mellom systemenheten og eksterne enheter via USB, RS232 eller SDC. Korteren kobler seg direkte til porten på den perifere enheten og sender kommandoer til den - omgå verten. Dette er ganske enkelt, fordi standardgrensesnitt ikke krever noen spesifikke drivere. Og de proprietære protokollene som periferenheten og verten samhandler med krever ikke autorisasjon (tross alt er enheten plassert inne i en klarert sone); og derfor er disse usikre protokollene, som periferen og verten kommuniserer gjennom, lett avlyttet og lett mottakelige for replay-angrep.
At. Kortere kan bruke en programvare- eller maskinvaretrafikkanalysator, og koble den direkte til porten på en bestemt perifer enhet (for eksempel en kortleser) for å samle overførte data. Ved å bruke en trafikkanalysator lærer korteren alle de tekniske detaljene om minibankens drift, inkludert udokumenterte funksjoner til periferiutstyret (for eksempel funksjonen til å endre fastvaren til en perifer enhet). Som et resultat får kortgiveren full kontroll over minibanken. Samtidig er det ganske vanskelig å oppdage tilstedeværelsen av en trafikkanalysator.
Direkte kontroll over seddeldispenseren gjør at minibankkassettene kan tømmes uten registrering i loggene, som normalt legges inn av programvaren som er utplassert på verten. For de som ikke er kjent med ATM-maskinvare og programvarearkitektur, kan det virkelig se ut som magi.
Hvor kommer svarte bokser fra?
Minibankleverandører og underleverandører utvikler feilsøkingsverktøy for å diagnostisere minibankmaskinvare, inkludert den elektriske mekanikken som er ansvarlig for kontantuttak. Blant disse verktøyene:
ATMDesk kontrollpanel
RapidFire ATM XFS kontrollpanel
Sammenlignende egenskaper for flere diagnostiske verktøy
Tilgang til slike verktøy er normalt begrenset til personlige tokens; og de fungerer bare når minibankdøren er åpen. Men ganske enkelt ved å erstatte noen få byte i den binære koden til verktøyet, carders
"Last mile" og falsk prosesseringssenter
Direkte interaksjon med periferien, uten kommunikasjon med verten, er bare en av de effektive kardeteknikkene. Andre teknikker er avhengige av at vi har et bredt utvalg av nettverksgrensesnitt som minibanken kommuniserer med omverdenen gjennom. Fra X.25 til Ethernet og mobilnett. Mange minibanker kan identifiseres og lokaliseres ved hjelp av Shodan-tjenesten (de mest konsise instruksjonene for bruken er presentert
Den "siste milen" med kommunikasjon mellom minibanken og behandlingssenteret er rik på et bredt utvalg av teknologier som kan tjene som et inngangspunkt for korteren. Samhandling kan utføres via kablet (telefonlinje eller Ethernet) eller trådløs (Wi-Fi, mobil: CDMA, GSM, UMTS, LTE) kommunikasjonsmetode. Sikkerhetsmekanismer kan omfatte: 1) maskinvare eller programvare for å støtte VPN (både standard, innebygd i operativsystemet og fra tredjeparter); 2) SSL/TLS (både spesifikt for en bestemt minibankmodell og fra tredjepartsprodusenter); 3) kryptering; 4) meldingsgodkjenning.
Men
Et av kjernekravene til PCI DSS er at alle sensitive data må krypteres når de overføres over et offentlig nettverk. Og vi har faktisk nettverk som opprinnelig ble designet på en slik måte at dataene i dem er fullstendig kryptert! Derfor er det fristende å si: "Dataene våre er kryptert fordi vi bruker Wi-Fi og GSM." Mange av disse nettverkene gir imidlertid ikke tilstrekkelig sikkerhet. Mobilnettverk av alle generasjoner har lenge blitt hacket. Endelig og ugjenkallelig. Og det er til og med leverandører som tilbyr enheter for å fange opp data som overføres over dem.
Derfor, enten i en usikker kommunikasjon eller i et "privat" nettverk, hvor hver minibank kringkaster seg selv til andre minibanker, kan det initieres et MiTM "falsk prosesseringssenter"-angrep - som vil føre til at kortholderen tar kontroll over datastrømmene som overføres mellom kl. Minibank og prosesseringssenter.
På det følgende bildet
Kommandodump av et falsk behandlingssenter
Kilde: www.habr.com