شهر جي گهٽين تي بيٺا پئسن سان لوهه جا دٻا مدد نٿا ڪري سگهن پر جلدي پئسن جي شوقينن جو ڌيان ڇڪائي سگهن ٿا. ۽ جيڪڏهن اڳ ۾ اي ٽي ايمز کي خالي ڪرڻ لاءِ خالص جسماني طريقا استعمال ڪيا ويندا هئا، هاڻي وڌيڪ ۽ وڌيڪ مهارت رکندڙ ڪمپيوٽر سان لاڳاپيل چالون استعمال ٿي رهيون آهن. هاڻي انهن مان سڀ کان وڌيڪ لاڳاپيل هڪ "ڪارو باڪس" آهي جيڪو اندر هڪ واحد بورڊ مائڪرو ڪمپيوٽر سان گڏ آهي. اسان هن مضمون ۾ اهو ڪيئن ڪم ڪندو بابت ڳالهائينداسين.
بين الاقوامي ATM ٺاهيندڙن جي ايسوسيئيشن (ATMIA) جو سربراهه "ڪارو باڪس" ATMs لاء سڀ کان وڌيڪ خطرناڪ خطرو آهي.
هڪ عام اي ٽي ايم هڪ گهر ۾ رکيل تيار ٿيل اليڪٽروميڪيڪل حصن جو هڪ سيٽ آهي. اي ٽي ايم ٺاهيندڙ پنهنجون هارڊويئر تخليقون بل ڊسپينسر، ڪارڊ ريڊر ۽ ٻين حصن مان ٺاهيندا آهن جيڪي اڳ ۾ ئي ٽئين پارٽي سپلائرز پاران تيار ڪيا ويا آهن. بالغن لاءِ LEGO تعمير ڪندڙ جو هڪ قسم. ختم ٿيل اجزاء ATM باڊي ۾ رکيا ويندا آهن، جيڪي عام طور تي ٻن حصن تي مشتمل هوندا آهن: هڪ مٿاهون خانو ("ڪئبينيٽ" يا "سروس ايريا")، ۽ هڪ هيٺيون خانو (محفوظ). سڀئي اليڪٽروميڪيڪل اجزاء USB ۽ COM بندرگاهن ذريعي سسٽم يونٽ سان ڳنڍيل آهن، جيڪي هن صورت ۾ ميزبان طور ڪم ڪن ٿا. پراڻن ATM ماڊلز تي توهان SDC بس ذريعي ڪنيڪشن پڻ ڳولي سگهو ٿا.
ATM ڪارڊ جي ارتقا
اي ٽي ايم اندر وڏي رقم سان گڏ هميشه ڪارڊرز کي راغب ڪن ٿا. پهرين ۾، ڪارڊرز صرف ATM تحفظ جي مجموعي جسماني گهٽتائي جو استحصال ڪيو - انهن مقناطيسي پٽي مان ڊيٽا چوري ڪرڻ لاء اسڪيمر ۽ شيمر استعمال ڪيو؛ پن ڪوڊ ڏسڻ لاءِ جعلي پن پيڊ ۽ ڪئميرا؛ ۽ اڃا به جعلي ATMs.
ان کان پوء، جڏهن ATMs عام معيارن جي مطابق ڪم ڪندڙ متحد سافٽ ويئر سان ليس ٿيڻ شروع ڪيو، جهڙوڪ XFS (مالي خدمتن لاء ايڪسٽينشن)، ڪارڊرز ڪمپيوٽر وائرس سان ATMs تي حملو ڪرڻ شروع ڪيو.
انهن مان آهن Trojan.Skimmer، Backdoor.Win32.Skimer، Ploutus، ATMii ۽ ٻيا ڪيترائي نالا ۽ اڻ ڄاتل مالويئر، جيڪي ڪارڊ ATM ميزبان تي يا ته بوٽبل USB فليش ڊرائيو ذريعي يا TCP ريموٽ ڪنٽرول پورٽ ذريعي پوکيندا آهن.
ATM انفيڪشن جي عمل
XFS سب سسٽم تي قبضو ڪرڻ کان پوء، مالويئر اجازت ڏيڻ کان سواء بينڪ نوٽ ڊسپينسر کي حڪم جاري ڪري سگهي ٿو. يا ڪارڊ ريڊر کي حڪم ڏيو: بئنڪ ڪارڊ جي مقناطيسي پٽي کي پڙهو/لکيو ۽ ايستائين جو EMV ڪارڊ چپ تي محفوظ ڪيل ٽرانزيڪشن جي تاريخ کي ٻيهر حاصل ڪريو. EPP (انڪريپٽنگ پن پيڊ) خاص توجه جي لائق آهي. اهو عام طور تي قبول ڪيو ويو آهي ته ان تي داخل ٿيل پن ڪوڊ کي روڪي نه ٿو سگهجي. بهرحال، XFS توهان کي ٻن طريقن ۾ EPP پن پيڊ استعمال ڪرڻ جي اجازت ڏئي ٿو: 1) اوپن موڊ (مختلف عددي پيرا ميٽرز ۾ داخل ٿيڻ لاءِ، جيئن ته ڪيش آئوٽ ڪيل رقم)؛ 2) محفوظ موڊ (اي پي پي ان کي سوئچ ڪري ٿو جڏهن توهان کي پن ڪوڊ يا انڪرپشن ڪي داخل ڪرڻ جي ضرورت آهي). XFS جي هي خصوصيت ڪارڊر کي اجازت ڏئي ٿي ته MiTM حملو ڪري: محفوظ موڊ ايڪٽيوشن ڪمانڊ کي روڪيو جيڪو ميزبان کان EPP ڏانهن موڪليو ويو آهي، ۽ پوءِ EPP پن پيڊ کي اطلاع ڏيو ته ان کي اوپن موڊ ۾ ڪم جاري رکڻ گهرجي. ھن پيغام جي جواب ۾، اي پي پي صاف متن ۾ ڪي اسٽروڪ موڪلي ٿو.
"بليڪ باڪس" جو آپريٽنگ اصول
تازن سالن ۾ ، يوروپول، اي ٽي ايم مالويئر خاص طور تي ترقي ڪئي آهي. ڪارڊز کي هاڻي ان کي متاثر ڪرڻ لاءِ ATM تائين جسماني رسائي جي ضرورت ناهي. اهي بينڪ جي ڪارپوريٽ نيٽ ورڪ کي استعمال ڪندي ريموٽ نيٽ ورڪ حملن ذريعي اي ٽي ايمز کي متاثر ڪري سگهن ٿا. گروپ IB، 2016 ۾ 10 کان وڌيڪ يورپي ملڪن ۾، اي ٽي ايمز ريموٽ حملن جي تابع هئا.
ريموٽ رسائي ذريعي ATM تي حملو
اينٽي وائرس، فرم ويئر اپڊيٽ کي بلاڪ ڪرڻ، يو ايس بي بندرگاهن کي بلاڪ ڪرڻ ۽ هارڊ ڊرائيو کي انڪرپٽ ڪرڻ - ڪجهه حد تائين اي ٽي ايم کي ڪارڊرز جي وائرس جي حملن کان بچائي ٿو. پر ڇا ٿيندو جيڪڏهن ڪارڊ ميزبان تي حملو نه ڪري، پر سڌو سنئون پردي سان ڳنڍي (RS232 يا USB ذريعي) - هڪ ڪارڊ ريڊر، پن پيڊ يا ڪيش ڊسپينسر ڏانهن؟
”بليڪ باڪس“ سان پهرين واقفيت
اڄ جي ٽيڪنيڪي ڪارڊرز ، اي ٽي ايم مان نقد چوري ڪرڻ لاءِ نام نهاد استعمال ڪندي. "بليڪ باڪس" خاص طور تي پروگرام ٿيل سنگل بورڊ مائڪرو ڪمپيوٽرن وانگر آهن، جهڙوڪ Raspberry Pi. ”بليڪ باڪس“ خالي ATMs مڪمل طور تي، مڪمل طور تي جادوئي انداز ۾ (بينڪن جي نقطي نظر کان) طريقي سان. ڪارڊرز پنهنجي جادوئي ڊوائيس کي سڌو بل ڊسپينسر سان ڳنڍيندا آهن؛ ان مان سڀ موجود پئسا ڪڍڻ لاء. هي حملو اي ٽي ايم ميزبان (اينٽي وائرس، سالميت مانيٽرنگ، مڪمل ڊسڪ انڪرپشن، وغيره) تي لڳل سمورن سيڪيورٽي سافٽ ويئر کي پاس ڪري ٿو.
Raspberry Pi جي بنياد تي "ڪارو باڪس"
سڀ کان وڏي اي ٽي ايم ٺاهيندڙن ۽ سرڪاري انٽيليجنس ايجنسين، "بليڪ باڪس" جي ڪيترن ئي عملن سان منهن ڏيڻ، ته اهي هوشيار ڪمپيوٽر ATMs کي تمام دستياب نقد ٻاهر ڪڍڻ لاءِ آماده ڪن ٿا؛ 40 بئنڪ نوٽ هر 20 سيڪنڊن ۾. سيڪيورٽي خدمتون پڻ ڊيڄارين ٿيون ته ڪارڊرز اڪثر ڪري دواسازي ۽ شاپنگ سينٽرن ۾ ATMs کي نشانو بڻائيندا آهن؛ ۽ اي ٽي ايمز ڏانهن پڻ جيڪي گاڏين جي خدمت ڪن ٿا.
ساڳئي وقت، ڪئميرا جي سامهون ظاهر نه ڪرڻ لاء، سڀ کان وڌيڪ محتاط ڪارڊرز جي مدد وٺن ٿا ڪجهه نه قيمتي ڀائيوار، هڪ خچر. ۽ انهي ڪري ته هو پنهنجي لاءِ ”بليڪ باڪس“ مناسب نه ٿو ڪري سگهي، اهي استعمال ڪن ٿا . اهي "بليڪ باڪس" مان اهم ڪارڪردگي کي هٽائي ڇڏيندا آهن ۽ هڪ اسمارٽ فون کي ان سان ڳنڍيندا آهن، جيڪو IP پروٽوڪول ذريعي سٽيل-ڊائون "بليڪ باڪس" ڏانهن ريموٽ حڪمن کي منتقل ڪرڻ لاء هڪ چينل طور استعمال ڪيو ويندو آهي.
"ڪارو باڪس" جي تبديلي، ريموٽ رسائي ذريعي چالو ڪرڻ سان
بينڪن جي نقطه نظر کان هي ڇا نظر اچي ٿو؟ ويڊيو ڪيمرا جي رڪارڊنگ ۾، ڪجهه هن طرح ٿئي ٿو: هڪ خاص شخص مٿيون خانو (سروس ايريا) کوليندو آهي، اي ٽي ايم کي "جادو باڪس" سان ڳنڍيندو آهي، مٿئين خاني کي بند ڪري ڇڏيندو آهي. ٿوري دير کان پوء، ڪيترائي ماڻهو، بظاهر عام گراهڪ، اي ٽي ايم تي پهچي ويا ۽ وڏي پئماني تي پئسا ڪڍيا. ڪارڊر وري واپس اچي ٿو ۽ ATM مان پنهنجي ننڍڙي جادوئي ڊوائيس کي ٻيهر حاصل ڪري ٿو. عام طور تي، "ڪارو باڪس" پاران ATM حملي جي حقيقت صرف ڪجهه ڏينهن کان پوء دريافت ڪئي وئي آهي: جڏهن خالي محفوظ ۽ نقد رقم ڪڍڻ وارو لاگ ان سان نه ملندو آهي. نتيجي طور، بينڪ ملازم صرف ڪري سگهن ٿا .
ATM مواصلات جو تجزيو
جيئن مٿي ڄاڻايل آهي، سسٽم يونٽ ۽ پردي جي ڊوائيسز جي وچ ۾ رابطي کي USB، RS232 يا SDC ذريعي ڪيو ويندو آهي. ڪارڊر سڌو سنئون پردي جي ڊوائيس جي بندرگاهن سان ڳنڍيندو آهي ۽ ان ڏانهن حڪم موڪلي ٿو - ميزبان کي بائي پاس ڪندي. اهو بلڪل سادو آهي، ڇاڪاڻ ته معياري انٽرفيس کي ڪنهن خاص ڊرائيور جي ضرورت ناهي. ۽ پراپرائيٽري پروٽوڪول جنهن جي ذريعي پردي ۽ ميزبان وچ ۾ رابطي جي اجازت نه هوندي آهي (آخرڪار، ڊوائيس هڪ قابل اعتماد زون اندر واقع آهي)؛ ۽ تنهن ڪري اهي غير محفوظ پروٽوڪول، جن جي ذريعي پردي ۽ ميزبان گفتگو ڪندا آهن، آساني سان لڪايا ويندا آهن ۽ آساني سان حملن کي ٻيهر هلائڻ لاءِ حساس هوندا آهن.
اهو. ڪارڊ استعمال ڪري سگھن ٿا سافٽ ويئر يا هارڊويئر ٽريفڪ اينالائيزر، ان کي سڌو سنئون هڪ مخصوص پرديري ڊوائيس جي بندرگاهن سان ڳنڍي (مثال طور، هڪ ڪارڊ ريڊر) منتقل ٿيل ڊيٽا گڏ ڪرڻ لاءِ. ٽريفڪ اينالائيزر استعمال ڪندي، ڪارڊر اي ٽي ايم جي آپريشن جا سڀ ٽيڪنيڪل تفصيل سکي ٿو، بشمول ان جي پردي جي غير دستاويزي افعال (مثال طور، پردي جي ڊوائيس جي فرم ویئر کي تبديل ڪرڻ جو ڪم). نتيجي طور، ڪارڊر ATM تي مڪمل ڪنٽرول حاصل ڪري ٿو. ساڳي ئي وقت، ٽرئفڪ تجزيي جي موجودگي کي ڳولڻ ڏاڍو ڏکيو آهي.
بئنڪ نوٽ ڊسپينسر تي سڌو ڪنٽرول جو مطلب اهو آهي ته ATM ڪيسٽ بغير ڪنهن رڪارڊنگ جي لاگن ۾ خالي ڪري سگهجي ٿو، جيڪي عام طور تي ميزبان تي مقرر ڪيل سافٽ ويئر پاران داخل ڪيا ويا آهن. انهن لاءِ جيڪي ATM هارڊويئر ۽ سافٽ ويئر فن تعمير کان واقف نه آهن، اهو حقيقت ۾ جادو وانگر نظر اچي سگهي ٿو.
بليڪ باڪس ڪٿان اچن ٿا؟
ATM سپلائرز ۽ ذيلي ٺيڪيدار ATM هارڊويئر جي تشخيص ڪرڻ لاءِ ڊيبگنگ يوٽيلٽيز کي ترقي ڪري رهيا آهن، بشمول ڪيش ڪڍڻ جا ذميوار برقي ميڪينڪس. انهن افاديت جي وچ ۾: , . هيٺ ڏنل انگن اکرن کي وڌيڪ تشخيصي افاديت ڏيکاري ٿو.
ATMDesk ڪنٽرول پينل
RapidFire ATM XFS ڪنٽرول پينل
ڪيترن ئي تشخيصي افاديت جي تقابلي خاصيتون
اهڙين افاديت تائين رسائي عام طور تي ذاتي ٽوڪن تائين محدود هوندي آهي؛ ۽ اهي صرف ڪم ڪن ٿا جڏهن ATM محفوظ دروازو کليل آهي. بهرحال، صرف چند بائيٽ کي تبديل ڪندي يوٽيلٽي جي بائنري ڪوڊ ۾، ڪارڊرز "ٽيسٽ" نقد ڪڍڻ - يوٽيلٽي ٺاهيندڙ پاران مهيا ڪيل چيڪن کي پاس ڪرڻ. ڪارڊرز پنهنجي ليپ ٽاپ يا سنگل بورڊ مائڪرو ڪمپيوٽر تي اهڙيون تبديل ٿيل يوٽيلٽيز انسٽال ڪندا آهن، جيڪي پوءِ سڌو سنئون بئنڪ نوٽ ڊسپينسر سان ڳنڍجي وينديون آهن ته جيئن غير مجاز ڪيش ڪڍڻ لاءِ.
"آخري ميل" ۽ جعلي پروسيسنگ سينٽر
پردي سان سڌو رابطو، ميزبان سان رابطي کان سواء، صرف هڪ مؤثر ڪارڊنگ ٽيڪنالاجي مان هڪ آهي. ٻيون ٽيڪنالاجيون ان حقيقت تي ڀاڙين ٿيون ته اسان وٽ وسيع قسم جا نيٽ ورڪ انٽرفيس آهن جن جي ذريعي ATM ٻاهرين دنيا سان رابطو ڪري ٿو. X.25 کان Ethernet ۽ سيلولر تائين. شوڊان سروس استعمال ڪندي ڪيتريون ئي ATMs سڃاڻپ ۽ مقامي ڪري سگھجن ٿيون (ان جي استعمال لاءِ سڀ کان وڌيڪ جامع هدايتون پيش ڪيون ويون آهن )، - هڪ ايندڙ حملي سان جيڪو هڪ ڪمزور سيڪيورٽي ترتيب جو استحصال ڪري ٿو، منتظم جي سستي ۽ بينڪ جي مختلف شعبن جي وچ ۾ ڪمزور رابطي.
ATM ۽ پروسيسنگ سينٽر جي وچ ۾ رابطي جو ”آخري ميل“ مختلف ٽيڪنالاجيز سان مالا مال آهي جيڪي ڪارڊر لاءِ داخلا پوائنٽ طور ڪم ڪري سگهن ٿيون. وائرڊ (ٽيليفون لائن يا ايٿرنيٽ) يا وائرليس (وائي فائي، سيلولر: CDMA، GSM، UMTS، LTE) رابطي جو طريقو ذريعي رابطو ڪري سگهجي ٿو. سيڪيورٽي ميڪانيزم ۾ شامل ٿي سگھي ٿو: 1) هارڊويئر يا سافٽ ويئر VPN کي سپورٽ ڪرڻ لاءِ (ٻئي معياري، او ايس ۾ ٺهيل، ۽ ٽئين پارٽين کان)؛ 2) SSL/TLS (ٻنهي هڪ خاص ATM ماڊل لاءِ مخصوص ۽ ٽئين پارٽي ٺاهيندڙن کان)؛ 3) انڪرپشن؛ 4) پيغام جي تصديق.
جڏهن ته، ته بينڪن لاءِ درج ٿيل ٽيڪنالاجيون تمام پيچيده لڳيون آهن، ۽ تنهن ڪري اهي پاڻ کي خاص نيٽ ورڪ تحفظ سان پريشان نه ڪندا آهن؛ يا اهي ان کي غلطي سان لاڳو ڪن ٿا. بهترين صورت ۾، ATM VPN سرور سان رابطو ڪري ٿو، ۽ اڳ ۾ ئي نجي نيٽ ورڪ جي اندر اهو پروسيسنگ سينٽر سان ڳنڍيندو آهي. ان کان علاوه، جيتوڻيڪ بئنڪ مٿي ڏنل فهرستن جي حفاظتي ميڪانيزم کي لاڳو ڪرڻ جو انتظام ڪن ٿا، ڪارڊ اڳ ۾ ئي انهن جي خلاف اثرائتي حملا آهن. اهو. جيتوڻيڪ سيڪيورٽي PCI DSS معيار سان مطابقت رکي ٿي، اي ٽي ايم اڃا تائين خطرناڪ آهن.
PCI DSS جي بنيادي ضرورتن مان هڪ آهي ته سڀني حساس ڊيٽا کي انڪوڊ ڪيو وڃي جڏهن عوامي نيٽ ورڪ تي منتقل ڪيو وڃي. ۽ اسان وٽ اصل ۾ نيٽ ورڪ آهن جيڪي اصل ۾ اهڙي طرح ٺهيل آهن ته انهن ۾ ڊيٽا مڪمل طور تي انڪوڊ ٿيل آهي! تنهن ڪري، اهو چوڻ لاء پرجوش آهي: "اسان جي ڊيٽا انڪريپٽ ٿيل آهي ڇو ته اسان وائي فائي ۽ GSM استعمال ڪندا آهيون." جڏهن ته، انهن مان ڪيترائي نيٽ ورڪ ڪافي سيڪيورٽي فراهم نٿا ڪن. سڀني نسلن جا سيلولر نيٽ ورڪ ڊگهي عرصي کان هيڪ ڪيا ويا آهن. آخرڪار ۽ ناقابل واپسي. ۽ اهڙا به سپلائر آهن جيڪي انهن تي منتقل ٿيل ڊيٽا کي روڪڻ لاءِ ڊوائيسز پيش ڪن ٿا.
تنهن ڪري، يا ته هڪ غير محفوظ رابطي ۾ يا هڪ "نجي" نيٽ ورڪ ۾، جتي هر ATM پاڻ کي ٻين ATMs ڏانهن نشر ڪري ٿو، هڪ MiTM "جعلي پروسيسنگ سينٽر" جو حملو شروع ڪري سگهجي ٿو - جيڪو ڪارڊ جي وچ ۾ منتقل ٿيل ڊيٽا جي وهڪري جي ڪنٽرول کي ضبط ڪري ٿو. ATM ۽ پروسيسنگ سينٽر.
هزارين ATMs ممڪن طور تي متاثر ٿيا آهن. حقيقي پروسيسنگ سينٽر جي رستي تي، ڪارڊ داخل ڪري ٿو پنهنجو، جعلي هڪ. هي جعلي پروسيسنگ سينٽر اي ٽي ايم کي حڪم ڏئي ٿو ته بينڪ نوٽس کي ورهايو وڃي. انهي صورت ۾، ڪارڊر پنهنجي پروسيسنگ سينٽر کي اهڙي طرح ترتيب ڏئي ٿو ته نقد جاري ڪيو وڃي بغير ڪنهن به ڪارڊ کي ATM ۾ داخل ڪيو ويو آهي - جيتوڻيڪ اهو ختم ٿي چڪو آهي يا صفر بيلنس آهي. بنيادي شيء اها آهي ته جعلي پروسيسنگ سينٽر ان کي "سڃاڻڻ" آهي. هڪ جعلي پروسيسنگ سينٽر يا ته ٿي سگهي ٿو گهر جو ٺهيل پراڊڪٽ يا پروسيسنگ سينٽر سميلٽر، اصل ۾ نيٽ ورڪ سيٽنگن کي ڊيبگ ڪرڻ لاءِ ٺهيل آهي (ڪارڊرز لاءِ ”ٺاهيندڙ“ کان ٻيو تحفو).
هيٺ ڏنل تصوير ۾ چوٿين ڪيسٽ مان 40 بئنڪ نوٽس جاري ڪرڻ لاءِ حڪمن جو ڊمپ - جعلي پروسيسنگ سينٽر کان موڪليو ويو ۽ ATM سافٽ ويئر لاگز ۾ محفوظ ڪيو ويو. اهي لڳ ڀڳ حقيقي نظر اچن ٿا.
جعلي پروسيسنگ سينٽر جو ڪمانڊ ڊمپ
جو ذريعو: www.habr.com