Järnlådor med pengar som står på gatorna i staden kan inte låta bli att dra till sig uppmärksamheten från älskare av snabba pengar. Och om tidigare rent fysiska metoder användes för att tömma bankomater så används nu allt fler skickliga datorrelaterade knep. Nu är den mest relevanta av dem en "svart låda" med en mikrodator med ett kort inuti. Vi kommer att prata om hur det fungerar i den här artikeln.
Chef för International ATM Manufacturers Association (ATMIA) "svarta lådor" som det farligaste hotet mot bankomater.
En typisk bankomat är en uppsättning färdiggjorda elektromekaniska komponenter inrymda i ett hus. ATM-tillverkare bygger sina hårdvaruskapelser från sedelautomaten, kortläsaren och andra komponenter som redan utvecklats av tredjepartsleverantörer. En sorts LEGO-konstruktör för vuxna. De färdiga komponenterna placeras i ATM-kroppen, som vanligtvis består av två fack: ett övre fack ("skåp" eller "serviceområde") och ett nedre fack (safe). Alla elektromekaniska komponenter ansluts via USB- och COM-portar till systemenheten, som i detta fall fungerar som en värd. På äldre ATM-modeller kan du även hitta anslutningar via SDC-bussen.
Utvecklingen av ATM-kortning
Uttagsautomater med enorma summor inuti lockar alltid kortare. Till en början utnyttjade kardarna endast de grova fysiska bristerna i ATM-skyddet - de använde skimmers och skimmers för att stjäla data från magnetremsor; falska pin-kuddar och kameror för visning av pin-koder; och till och med falska bankomater.
Sedan, när bankomater började förses med enhetlig programvara som fungerar enligt vanliga standarder, såsom XFS (eXtensions for Financial Services), började kortare attackera bankomater med datavirus.
Bland dem är Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii och andra talrika namngivna och icke namngivna skadliga program, som kortare planterar på ATM-värden antingen via ett startbart USB-minne eller via en TCP-fjärrkontrollport.
ATM-infektionsprocess
Efter att ha fångat XFS-undersystemet kan skadlig programvara utfärda kommandon till sedelautomaten utan tillstånd. Eller ge kommandon till kortläsaren: läs/skriv magnetremsan på ett bankkort och hämta till och med transaktionshistoriken som är lagrad på EMV-kortchippet. EPP (Encrypting PIN Pad) förtjänar särskild uppmärksamhet. Det är allmänt accepterat att PIN-koden som anges på den inte kan avlyssnas. Däremot låter XFS dig använda EPP pinpad i två lägen: 1) öppet läge (för att ange olika numeriska parametrar, såsom beloppet som ska tas ut); 2) säkert läge (EPP växlar till det när du behöver ange en PIN-kod eller krypteringsnyckel). Den här funktionen hos XFS gör det möjligt för kortaren att utföra en MiTM-attack: avlyssna kommandot för aktivering av säkert läge som skickas från värden till EPP, och informera sedan EPP-stiftet att det ska fortsätta att arbeta i öppet läge. Som svar på detta meddelande skickar EPP tangenttryckningar i klartext.
Funktionsprincipen för en "svart låda"
På senare år har Europol, ATM malware har utvecklats avsevärt. Kortare behöver inte längre ha fysisk tillgång till en bankomat för att infektera den. De kan infektera bankomater genom fjärrnätsattacker med hjälp av bankens företagsnätverk. Grupp IB, 2016 i mer än 10 europeiska länder, uttagsautomater utsattes för fjärrattacker.
Attack mot en bankomat via fjärråtkomst
Antivirus, blockering av firmwareuppdateringar, blockering av USB-portar och kryptering av hårddisken - skydda till viss del bankomaten från virusattacker från kortare. Men vad händer om kortaren inte attackerar värden, utan ansluter direkt till periferin (via RS232 eller USB) - till en kortläsare, stift eller bankautomat?
Första bekantskapen med "svarta lådan"
Dagens teknikkunniga kardare , använder den så kallade för att stjäla kontanter från en bankomat. "svarta lådor" är specifikt programmerade enkorts mikrodatorer, som Raspberry Pi. "Svarta lådor" tömmer bankomater helt, på ett helt magiskt (ur bankernas synvinkel) sätt. Carders ansluter sin magiska enhet direkt till sedelautomaten; att utvinna alla tillgängliga pengar från den. Den här attacken kringgår all säkerhetsprogramvara som finns på ATM-värden (antivirus, integritetsövervakning, fullständig diskkryptering, etc.).
"Black box" baserad på Raspberry Pi
De största ATM-tillverkarna och statliga underrättelseorgan, som står inför flera implementeringar av den "svarta lådan", att dessa smarta datorer får bankomater att spotta ut alla tillgängliga kontanter; 40 sedlar var 20:e sekund. Säkerhetstjänster varnar också för att kortare oftast riktar sig mot uttagsautomater på apotek och köpcentra; och även till bankomater som servar bilister på språng.
Samtidigt, för att inte synas framför kamerorna, tar de mest försiktiga kardarna hjälp av någon inte särskilt värdefull partner, en mula. Och så att han inte kan tillägna sig den "svarta lådan" för sig själv, använder de . De tar bort nyckelfunktioner från den "svarta lådan" och ansluter en smartphone till den, som används som en kanal för att fjärrsända kommandon till den avskalade "svarta lådan" via IP-protokollet.
Modifiering av den "svarta lådan", med aktivering via fjärråtkomst
Hur ser det här ut ur bankirernas synvinkel? I inspelningar från videokameror händer något i stil med detta: en viss person öppnar det övre facket (serviceområdet), ansluter en "magisk låda" till bankomaten, stänger det övre facket och går. Lite senare närmar sig flera personer, till synes vanliga kunder, bankomaten och tar ut enorma summor pengar. Kortaren återvänder sedan och hämtar sin lilla magiska enhet från bankomaten. Vanligtvis upptäcks faktumet med en bankomattattack av en "svart låda" först efter några dagar: när det tomma kassaskåpet och kontantuttagsloggen inte matchar. Som ett resultat kan bankanställda bara .
Analys av ATM-kommunikation
Som nämnts ovan sker interaktion mellan systemenheten och kringutrustning via USB, RS232 eller SDC. Kortaren ansluter direkt till porten på den perifera enheten och skickar kommandon till den - förbi värden. Detta är ganska enkelt, eftersom standardgränssnitt inte kräver några specifika drivrutiner. Och de proprietära protokollen genom vilka kringutrustningen och värden interagerar kräver inte auktorisering (enheten är trots allt placerad i en betrodd zon); och därför är dessa osäkra protokoll, genom vilka den perifera enheten och värden kommunicerar, lätt avlyssnade och lätt mottagliga för omspelsattacker.
Den där. Kortare kan använda en trafikanalysator för mjukvara eller hårdvara, koppla den direkt till porten på en specifik kringutrustning (till exempel en kortläsare) för att samla in överförd data. Med hjälp av en trafikanalysator lär sig kortaren alla tekniska detaljer om bankomatens funktion, inklusive odokumenterade funktioner för dess kringutrustning (till exempel funktionen att ändra fast programvara för en kringutrustning). Som ett resultat får kortaren full kontroll över bankomaten. Samtidigt är det ganska svårt att upptäcka närvaron av en trafikanalysator.
Direkt kontroll över sedelautomaten gör att bankomatkassetterna kan tömmas utan någon inspelning i loggarna, som normalt matas in av programvaran som är utplacerad på värden. För dem som inte är bekanta med ATM-hårdvaru- och mjukvaruarkitektur kan det verkligen se ut som magi.
Var kommer svarta lådor ifrån?
ATM-leverantörer och underleverantörer utvecklar felsökningsverktyg för att diagnostisera ATM-hårdvara, inklusive den elektriska mekanik som ansvarar för kontantuttag. Bland dessa verktyg: , . Bilden nedan visar flera fler sådana diagnostiska verktyg.
ATMDesk kontrollpanel
RapidFire ATM XFS kontrollpanel
Jämförande egenskaper hos flera diagnostiska verktyg
Tillgång till sådana verktyg är normalt begränsad till personliga tokens; och de fungerar bara när bankomatskåpsdörren är öppen. Men helt enkelt genom att ersätta några byte i den binära koden för verktyget, carders "testa" kontantuttag - förbi de kontroller som tillhandahålls av verktygstillverkaren. Kortare installerar sådana modifierade verktyg på sin bärbara dator eller mikrodator med ett kort, som sedan kopplas direkt till sedelautomaten för att göra otillåtna kontantuttag.
"Last mile" och falsk bearbetningscenter
Direkt interaktion med periferin, utan kommunikation med värden, är bara en av de effektiva kardningsteknikerna. Andra tekniker förlitar sig på det faktum att vi har ett brett utbud av nätverksgränssnitt genom vilka uttagsautomaten kommunicerar med omvärlden. Från X.25 till Ethernet och mobilt. Många uttagsautomater kan identifieras och lokaliseras med Shodan-tjänsten (de mest kortfattade instruktionerna för dess användning presenteras ), – med en efterföljande attack som utnyttjar en sårbar säkerhetskonfiguration, lathet hos administratören och sårbar kommunikation mellan olika avdelningar på banken.
Den "sista milen" av kommunikation mellan uttagsautomaten och bearbetningscentret är rik på en mängd olika tekniker som kan fungera som en ingångspunkt för kortaren. Interaktion kan utföras via trådbunden (telefonlinje eller Ethernet) eller trådlös (Wi-Fi, mobil: CDMA, GSM, UMTS, LTE) kommunikationsmetod. Säkerhetsmekanismer kan innefatta: 1) hårdvara eller mjukvara för att stödja VPN (både standard, inbyggt i operativsystemet och från tredje part); 2) SSL/TLS (både specifikt för en viss ATM-modell och från tredjepartstillverkare); 3) kryptering; 4) meddelandeautentisering.
Men att för banker verkar de listade teknikerna mycket komplexa, och därför stör de sig inte med speciellt nätverksskydd; eller så implementerar de det med fel. I bästa fall kommunicerar bankomaten med VPN-servern och redan i det privata nätverket ansluter den till bearbetningscentret. Dessutom, även om banker lyckas implementera de skyddsmekanismer som anges ovan, har kortaren redan effektiva attacker mot dem. Den där. Även om säkerheten följer PCI DSS-standarden är bankomater fortfarande sårbara.
Ett av kärnkraven för PCI DSS är att all känslig data måste krypteras när den överförs över ett offentligt nätverk. Och vi har faktiskt nätverk som ursprungligen var designade på ett sådant sätt att datan i dem är helt krypterad! Därför är det frestande att säga: "Vår data är krypterad eftersom vi använder Wi-Fi och GSM." Många av dessa nätverk ger dock inte tillräcklig säkerhet. Cellulära nätverk av alla generationer har länge hackats. Äntligen och oåterkalleligt. Och det finns till och med leverantörer som erbjuder enheter för att fånga upp data som överförs över dem.
Antingen i en osäker kommunikation eller i ett "privat" nätverk, där varje bankomat sänder sig själv till andra uttagsautomater, kan därför en MiTM "fake processing center"-attack initieras - vilket kommer att leda till att kortaren tar kontroll över dataflödena som överförs mellan Bankomat och bearbetningscenter.
Tusentals bankomater är potentiellt berörda. På vägen till det äkta bearbetningscentret sätter kortaren in sin egen, falska. Detta falska bearbetningscenter ger kommandon till bankomaten att dela ut sedlar. I det här fallet konfigurerar kortaren sitt hanteringscenter på ett sådant sätt att kontanter utfärdas oavsett vilket kort som sätts in i bankomaten - även om det har gått ut eller har ett nollsaldo. Huvudsaken är att det falska bearbetningscentret "känner igen" det. Ett falskt bearbetningscenter kan antingen vara en hemmagjord produkt eller en bearbetningscentersimulator, ursprungligen designad för att felsöka nätverksinställningar (en annan gåva från "tillverkaren" till kardarna).
På följande bild dumpning av kommandon för att utfärda 40 sedlar från den fjärde kassetten - skickade från ett falskt bearbetningscenter och lagrat i ATM-programvaruloggar. De ser nästan verkliga ut.
Kommandodump av ett falskt bearbetningscenter
Källa: will.com