Jernbokser med penger som står på gatene i byen kan ikke unngå å tiltrekke seg oppmerksomheten til elskere av raske penger. Og hvis tidligere rent fysiske metoder ble brukt for å tømme minibanker, brukes nå stadig flere dyktige datarelaterte triks. Nå er den mest relevante av dem en "svart boks" med en enkeltbretts mikrodatamaskin inni. Vi vil snakke om hvordan det fungerer i denne artikkelen.
Leder for International ATM Manufacturers Association (ATMIA) «svarte bokser» som den farligste trusselen mot minibanker.
En typisk minibank er et sett med ferdige elektromekaniske komponenter plassert i ett hus. Minibankprodusenter bygger sine maskinvarekreasjoner fra seddelautomaten, kortleseren og andre komponenter som allerede er utviklet av tredjepartsleverandører. En slags LEGO-konstruktør for voksne. De ferdige komponentene plasseres i minibankkroppen, som vanligvis består av to rom: et øvre rom ("skap" eller "serviceområde"), og et nedre rom (safe). Alle elektromekaniske komponenter kobles via USB- og COM-porter til systemenheten, som i dette tilfellet fungerer som en vert. På eldre minibankmodeller kan du også finne forbindelser via SDC-bussen.
Utviklingen av ATM-korting
Minibanker med enorme summer inne tiltrekker alltid kortere. Til å begynne med utnyttet kortere bare de grove fysiske manglene ved minibankbeskyttelse - de brukte skimmere og skimmere for å stjele data fra magnetstriper; falske pin-puter og kameraer for visning av pin-koder; og til og med falske minibanker.
Så, da minibanker begynte å bli utstyrt med enhetlig programvare som opererer i henhold til vanlige standarder, som XFS (eXtensions for Financial Services), begynte kortbrukere å angripe minibanker med datavirus.
Blant dem er Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii og andre tallrike navngitte og ikke-navngitte skadevare, som kortere planter på minibankverten enten gjennom en oppstartbar USB-flash-stasjon eller gjennom en TCP-fjernkontrollport.
ATM-infeksjonsprosess
Etter å ha fanget XFS-undersystemet, kan skadelig programvare gi kommandoer til seddelautomaten uten autorisasjon. Eller gi kommandoer til kortleseren: les/skriv magnetstripen til et bankkort og hent til og med transaksjonshistorikken som er lagret på EMV-kortbrikken. EPP (Encrypting PIN Pad) fortjener spesiell oppmerksomhet. Det er generelt akseptert at PIN-koden som er oppgitt på den ikke kan avskjæres. Imidlertid lar XFS deg bruke EPP pinpad i to moduser: 1) åpen modus (for å angi forskjellige numeriske parametere, for eksempel beløpet som skal utbetales); 2) sikker modus (EPP bytter til den når du trenger å taste inn en PIN-kode eller krypteringsnøkkel). Denne funksjonen til XFS lar korteren utføre et MiTM-angrep: avlytte sikkermodusaktiveringskommandoen som sendes fra verten til EPP, og informer deretter EPP-pinpaden om at den skal fortsette å jobbe i åpen modus. Som svar på denne meldingen sender EPP tastetrykk i klartekst.
Driftsprinsippet til en "svart boks"
I de senere år, Europol, ATM malware har utviklet seg betydelig. Kortholdere trenger ikke lenger ha fysisk tilgang til en minibank for å infisere den. De kan infisere minibanker gjennom eksterne nettverksangrep ved å bruke bankens bedriftsnettverk. Gruppe IB, i 2016 i mer enn 10 europeiske land, ble minibanker utsatt for fjernangrep.
Angrep på en minibank via fjerntilgang
Antivirus, blokkering av fastvareoppdateringer, blokkering av USB-porter og kryptering av harddisken – beskytter til en viss grad minibanken mot virusangrep fra kortere. Men hva om korteren ikke angriper verten, men kobler seg direkte til periferien (via RS232 eller USB) - til en kortleser, pinnepute eller pengeautomat?
Første bekjentskap med den "svarte boksen"
Dagens teknologikyndige kardere , ved å bruke den såkalte for å stjele kontanter fra en minibank. "svarte bokser" er spesifikt programmerte enkeltkorts mikrodatamaskiner, som Raspberry Pi. "Svarte bokser" tømmer minibanker helt, på en helt magisk (fra bankens synspunkt) måte. Carders kobler sin magiske enhet direkte til seddelautomaten; å trekke ut alle tilgjengelige penger fra den. Dette angrepet omgår all sikkerhetsprogramvare som er distribuert på ATM-verten (antivirus, integritetsovervåking, full diskkryptering, etc.).
"Black box" basert på Raspberry Pi
De største minibankprodusentene og statlige etterretningsbyråene står overfor flere implementeringer av den "svarte boksen", at disse smarte datamaskinene får minibanker til å spytte ut alle tilgjengelige kontanter; 40 sedler hvert 20. sekund. Sikkerhetstjenester advarer også om at kortere oftest retter seg mot minibanker på apotek og kjøpesentre; og også til minibanker som betjener bilister på farten.
Samtidig, for ikke å dukke opp foran kameraene, tar de mest forsiktige kardantene hjelp av en ikke veldig verdifull partner, et muldyr. Og slik at han ikke kan tilegne seg den "svarte boksen" for seg selv, bruker de . De fjerner nøkkelfunksjonalitet fra den "svarte boksen" og kobler en smarttelefon til den, som brukes som en kanal for ekstern overføring av kommandoer til den nedstrippede "svarte boksen" via IP-protokollen.
Modifisering av den "svarte boksen", med aktivering via fjerntilgang
Hvordan ser dette ut fra bankfolkets ståsted? I opptak fra videokameraer skjer noe slikt: en bestemt person åpner det øvre rommet (serviceområdet), kobler en "magisk boks" til minibanken, lukker det øvre rommet og går. Litt senere nærmer flere personer, tilsynelatende vanlige kunder, minibanken og tar ut enorme mengder penger. Korteren kommer deretter tilbake og henter den lille magiske enheten sin fra minibanken. Vanligvis oppdages faktumet med et minibankangrep av en "svart boks" først etter noen dager: når den tomme safen og kontantuttaksloggen ikke stemmer overens. Som et resultat kan bankansatte bare .
Analyse av minibankkommunikasjon
Som nevnt ovenfor utføres interaksjon mellom systemenheten og eksterne enheter via USB, RS232 eller SDC. Korteren kobler seg direkte til porten på den perifere enheten og sender kommandoer til den - omgå verten. Dette er ganske enkelt, fordi standardgrensesnitt ikke krever noen spesifikke drivere. Og de proprietære protokollene som periferenheten og verten samhandler med krever ikke autorisasjon (tross alt er enheten plassert inne i en klarert sone); og derfor er disse usikre protokollene, som periferen og verten kommuniserer gjennom, lett avlyttet og lett mottakelige for replay-angrep.
At. Kortere kan bruke en programvare- eller maskinvaretrafikkanalysator, og koble den direkte til porten på en bestemt perifer enhet (for eksempel en kortleser) for å samle overførte data. Ved å bruke en trafikkanalysator lærer korteren alle de tekniske detaljene om minibankens drift, inkludert udokumenterte funksjoner til periferiutstyret (for eksempel funksjonen til å endre fastvaren til en perifer enhet). Som et resultat får kortgiveren full kontroll over minibanken. Samtidig er det ganske vanskelig å oppdage tilstedeværelsen av en trafikkanalysator.
Direkte kontroll over seddeldispenseren gjør at minibankkassettene kan tømmes uten registrering i loggene, som normalt legges inn av programvaren som er utplassert på verten. For de som ikke er kjent med ATM-maskinvare og programvarearkitektur, kan det virkelig se ut som magi.
Hvor kommer svarte bokser fra?
Minibankleverandører og underleverandører utvikler feilsøkingsverktøy for å diagnostisere minibankmaskinvare, inkludert den elektriske mekanikken som er ansvarlig for kontantuttak. Blant disse verktøyene: , . Figuren nedenfor viser flere slike diagnostiske verktøy.
ATMDesk kontrollpanel
RapidFire ATM XFS kontrollpanel
Sammenlignende egenskaper for flere diagnostiske verktøy
Tilgang til slike verktøy er normalt begrenset til personlige tokens; og de fungerer bare når minibankdøren er åpen. Men ganske enkelt ved å erstatte noen få byte i den binære koden til verktøyet, carders "test" kontantuttak - omgå sjekkene levert av verktøyprodusenten. Kortere installerer slike modifiserte verktøy på sin bærbare eller enkeltkorts mikrodatamaskin, som deretter kobles direkte til seddelautomaten for å foreta uautoriserte kontantuttak.
"Last mile" og falsk prosesseringssenter
Direkte interaksjon med periferien, uten kommunikasjon med verten, er bare en av de effektive kardeteknikkene. Andre teknikker er avhengige av at vi har et bredt utvalg av nettverksgrensesnitt som minibanken kommuniserer med omverdenen gjennom. Fra X.25 til Ethernet og mobilnett. Mange minibanker kan identifiseres og lokaliseres ved hjelp av Shodan-tjenesten (de mest konsise instruksjonene for bruken er presentert ), – med et påfølgende angrep som utnytter en sårbar sikkerhetskonfigurasjon, latskap hos administratoren og sårbar kommunikasjon mellom ulike avdelinger i banken.
Den "siste milen" med kommunikasjon mellom minibanken og behandlingssenteret er rik på et bredt utvalg av teknologier som kan tjene som et inngangspunkt for korteren. Samhandling kan utføres via kablet (telefonlinje eller Ethernet) eller trådløs (Wi-Fi, mobil: CDMA, GSM, UMTS, LTE) kommunikasjonsmetode. Sikkerhetsmekanismer kan omfatte: 1) maskinvare eller programvare for å støtte VPN (både standard, innebygd i operativsystemet og fra tredjeparter); 2) SSL/TLS (både spesifikt for en bestemt minibankmodell og fra tredjepartsprodusenter); 3) kryptering; 4) meldingsgodkjenning.
Men at for banker virker de listede teknologiene veldig komplekse, og derfor plager de seg ikke med spesiell nettverksbeskyttelse; eller de implementerer det med feil. I beste fall kommuniserer minibanken med VPN-serveren, og allerede inne i det private nettverket kobles den til behandlingssenteret. I tillegg, selv om bankene klarer å implementere beskyttelsesmekanismene som er oppført ovenfor, har kortet allerede effektive angrep mot dem. At. Selv om sikkerheten er i samsvar med PCI DSS-standarden, er minibanker fortsatt sårbare.
Et av kjernekravene til PCI DSS er at alle sensitive data må krypteres når de overføres over et offentlig nettverk. Og vi har faktisk nettverk som opprinnelig ble designet på en slik måte at dataene i dem er fullstendig kryptert! Derfor er det fristende å si: "Dataene våre er kryptert fordi vi bruker Wi-Fi og GSM." Mange av disse nettverkene gir imidlertid ikke tilstrekkelig sikkerhet. Mobilnettverk av alle generasjoner har lenge blitt hacket. Endelig og ugjenkallelig. Og det er til og med leverandører som tilbyr enheter for å fange opp data som overføres over dem.
Derfor, enten i en usikker kommunikasjon eller i et "privat" nettverk, hvor hver minibank kringkaster seg selv til andre minibanker, kan det initieres et MiTM "falsk prosesseringssenter"-angrep - som vil føre til at kortholderen tar kontroll over datastrømmene som overføres mellom kl. Minibank og prosesseringssenter.
Tusenvis av minibanker er potensielt berørt. På vei til det genuine behandlingssenteret setter kortet inn sin egen, falske. Dette falske behandlingssenteret gir kommandoer til minibanken om å dispensere sedler. I dette tilfellet konfigurerer kortgiveren sitt behandlingssenter på en slik måte at kontanter utstedes uavhengig av hvilket kort som settes inn i minibanken - selv om det er utløpt eller har nullsaldo. Hovedsaken er at det falske behandlingssenteret "gjenkjenner" det. Et falsk prosesseringssenter kan enten være et hjemmelaget produkt eller en prosesseringssentersimulator, opprinnelig designet for å feilsøke nettverksinnstillinger (en annen gave fra "produsenten" til kortere).
På det følgende bildet dump av kommandoer for utstedelse av 40 sedler fra den fjerde kassetten - sendt fra et falskt behandlingssenter og lagret i ATM-programvarelogger. De ser nesten ekte ut.
Kommandodump av et falsk behandlingssenter
Kilde: www.habr.com