Ang mga kahon ng bakal na may pera na nakatayo sa mga lansangan ng lungsod ay hindi maaaring makatulong ngunit maakit ang atensyon ng mga mahilig sa mabilis na pera. At kung dati ay puro pisikal na pamamaraan ang ginamit sa pag-alis ng laman ng mga ATM, ngayon ay parami nang parami ang mga mahuhusay na trick na nauugnay sa computer. Ngayon ang pinaka-nauugnay sa kanila ay isang "itim na kahon" na may isang single-board microcomputer sa loob. Pag-uusapan natin kung paano ito gumagana sa artikulong ito.
Pinuno ng International ATM Manufacturers Association (ATMIA)
Ang isang tipikal na ATM ay isang hanay ng mga yari na electromechanical na bahagi na nakalagay sa isang pabahay. Binubuo ng mga tagagawa ng ATM ang kanilang mga nilikhang hardware mula sa dispenser ng bill, card reader at iba pang mga bahagi na binuo na ng mga third-party na supplier. Isang uri ng LEGO constructor para sa mga matatanda. Ang mga natapos na bahagi ay inilalagay sa katawan ng ATM, na karaniwang binubuo ng dalawang compartment: isang upper compartment ("cabinet" o "service area"), at isang lower compartment (safe). Ang lahat ng mga electromechanical na bahagi ay konektado sa pamamagitan ng USB at COM port sa unit ng system, na sa kasong ito ay gumaganap bilang isang host. Sa mas lumang mga modelo ng ATM maaari ka ring makahanap ng mga koneksyon sa pamamagitan ng SDC bus.
Ang ebolusyon ng ATM carding
Ang mga ATM na may malalaking halaga sa loob ay palaging nakakaakit ng mga carder. Noong una, pinagsamantalahan lamang ng mga carder ang malalaking pisikal na kakulangan ng proteksyon ng ATM - gumamit sila ng mga skimmer at shimmers upang magnakaw ng data mula sa mga magnetic stripes; mga pekeng pin pad at camera para sa pagtingin sa mga pin code; at kahit mga pekeng ATM.
Pagkatapos, nang ang mga ATM ay nagsimulang magkaroon ng pinag-isang software na tumatakbo ayon sa mga karaniwang pamantayan, tulad ng XFS (eXtensions for Financial Services), nagsimulang atakehin ng mga carder ang mga ATM na may mga virus sa computer.
Kabilang sa mga ito ay Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii at iba pang maraming pinangalanan at hindi pinangalanang malware, na itinatanim ng mga carder sa host ng ATM alinman sa pamamagitan ng isang bootable USB flash drive o sa pamamagitan ng isang TCP remote control port.
Proseso ng impeksyon sa ATM
Ang pagkakaroon ng nakuhang XFS subsystem, ang malware ay maaaring mag-isyu ng mga utos sa banknote dispenser nang walang pahintulot. O magbigay ng mga utos sa card reader: basahin/isulat ang magnetic stripe ng isang bank card at kahit na kunin ang history ng transaksyon na nakaimbak sa EMV card chip. Ang EPP (Encrypting PIN Pad) ay nararapat na espesyal na atensyon. Karaniwang tinatanggap na ang PIN code na ipinasok dito ay hindi maharang. Gayunpaman, binibigyang-daan ka ng XFS na gamitin ang EPP pinpad sa dalawang mode: 1) open mode (para sa pagpasok ng iba't ibang numerical parameters, gaya ng halagang i-cash out); 2) safe mode (lilipat dito ang EPP kapag kailangan mong magpasok ng PIN code o encryption key). Ang tampok na ito ng XFS ay nagbibigay-daan sa carder na magsagawa ng pag-atake sa MiTM: hadlangan ang safe mode activation command na ipinadala mula sa host patungo sa EPP, at pagkatapos ay ipaalam sa EPP pinpad na dapat itong magpatuloy sa pagtatrabaho sa open mode. Bilang tugon sa mensaheng ito, nagpapadala ang EPP ng mga keystroke sa malinaw na teksto.
Ang prinsipyo ng pagpapatakbo ng isang "itim na kahon"
Sa mga nagdaang taon,
Pag-atake sa isang ATM sa pamamagitan ng malayuang pag-access
Ang mga antivirus, pagharang sa mga update ng firmware, pagharang sa mga USB port at pag-encrypt ng hard drive - sa ilang mga lawak ay pinoprotektahan ang ATM mula sa mga pag-atake ng virus ng mga carder. Ngunit paano kung hindi inaatake ng carder ang host, ngunit direktang kumokonekta sa periphery (sa pamamagitan ng RS232 o USB) - sa isang card reader, pin pad o cash dispenser?
Unang pagkakakilala sa "itim na kahon"
Mga tech-savvy carder ngayon
"Black box" batay sa Raspberry Pi
Ang pinakamalaking mga tagagawa ng ATM at mga ahensya ng paniktik ng gobyerno, na nahaharap sa ilang mga pagpapatupad ng "itim na kahon",
Kasabay nito, upang hindi lumitaw sa harap ng mga camera, ang pinaka-maingat na carder ay kumukuha ng tulong sa ilang hindi masyadong mahalagang kasosyo, isang mola. At upang hindi niya maangkop ang "itim na kahon" para sa kanyang sarili, ginagamit nila
Pagbabago ng "black box", na may activation sa pamamagitan ng remote access
Ano ang hitsura nito mula sa pananaw ng mga banker? Sa mga pag-record mula sa mga video camera, nangyayari ang isang bagay tulad nito: binuksan ng isang partikular na tao ang itaas na kompartamento (lugar ng serbisyo), ikinonekta ang isang "magic box" sa ATM, isinara ang itaas na kompartimento at umalis. Maya-maya, ilang tao, na tila ordinaryong mga customer, ang lumapit sa ATM at nag-withdraw ng malaking halaga ng pera. Pagkatapos ay bumalik ang carder at kinuha ang kanyang maliit na magic device mula sa ATM. Karaniwan, ang katotohanan ng pag-atake ng ATM ng isang "itim na kahon" ay natuklasan lamang pagkatapos ng ilang araw: kapag ang walang laman na safe at ang cash withdrawal log ay hindi magkatugma. Bilang resulta, ang mga empleyado ng bangko ay maaari lamang
Pagsusuri ng mga komunikasyon sa ATM
Tulad ng nabanggit sa itaas, ang pakikipag-ugnayan sa pagitan ng unit ng system at mga peripheral na aparato ay isinasagawa sa pamamagitan ng USB, RS232 o SDC. Direktang kumokonekta ang carder sa port ng peripheral device at nagpapadala ng mga utos dito - pag-bypass sa host. Ito ay medyo simple, dahil ang mga karaniwang interface ay hindi nangangailangan ng anumang partikular na mga driver. At ang mga proprietary protocol kung saan nakikipag-ugnayan ang peripheral at ang host ay hindi nangangailangan ng pahintulot (pagkatapos ng lahat, ang aparato ay matatagpuan sa loob ng isang pinagkakatiwalaang zone); at samakatuwid ang mga hindi secure na protocol na ito, kung saan nakikipag-usap ang peripheral at ang host, ay madaling na-eavesdrop at madaling madaling ma-replay ang mga pag-atake.
yun. Maaaring gumamit ang mga carder ng software o hardware traffic analyzer, direktang ikinokonekta ito sa port ng isang partikular na peripheral device (halimbawa, isang card reader) upang mangolekta ng ipinadalang data. Gamit ang traffic analyzer, natutunan ng carder ang lahat ng teknikal na detalye ng operasyon ng ATM, kabilang ang mga hindi dokumentadong function ng mga peripheral nito (halimbawa, ang function ng pagpapalit ng firmware ng isang peripheral device). Bilang resulta, ang carder ay nakakuha ng ganap na kontrol sa ATM. Kasabay nito, medyo mahirap tuklasin ang pagkakaroon ng isang traffic analyzer.
Ang direktang kontrol sa dispenser ng banknote ay nangangahulugan na ang mga ATM cassette ay maaaring ma-emptie nang walang anumang recording sa mga log, na karaniwang ipinapasok ng software na naka-deploy sa host. Para sa mga hindi pamilyar sa ATM hardware at software architecture, maaari itong magmukhang magic.
Saan nagmula ang mga itim na kahon?
Gumagawa ang mga supplier at subcontractor ng ATM ng mga debugging utilities para masuri ang ATM hardware, kabilang ang mga electrical mechanics na responsable para sa mga cash withdrawal. Kabilang sa mga utility na ito:
Control Panel ng ATMDesk
RapidFire ATM XFS Control Panel
Mga paghahambing na katangian ng ilang diagnostic utility
Ang pag-access sa mga naturang utility ay karaniwang limitado sa mga personalized na token; at gumagana lang sila kapag bukas ang ATM safe door. Gayunpaman, sa pamamagitan lamang ng pagpapalit ng ilang byte sa binary code ng utility, mga carder
"Huling milya" at pekeng sentro ng pagproseso
Ang direktang pakikipag-ugnayan sa paligid, nang walang komunikasyon sa host, ay isa lamang sa mga epektibong pamamaraan ng carding. Ang iba pang mga diskarte ay umaasa sa katotohanan na mayroon kaming malawak na iba't ibang mga interface ng network kung saan nakikipag-ugnayan ang ATM sa labas ng mundo. Mula X.25 hanggang Ethernet at cellular. Maraming mga ATM ang maaaring makilala at mai-localize gamit ang serbisyo ng Shodan (ang pinaka-maigsi na mga tagubilin para sa paggamit nito ay ipinakita
Ang "huling milya" ng komunikasyon sa pagitan ng ATM at ng processing center ay mayaman sa iba't ibang uri ng mga teknolohiya na maaaring magsilbing entry point para sa carder. Maaaring isagawa ang pakikipag-ugnayan sa pamamagitan ng wired (linya ng telepono o Ethernet) o wireless (Wi-Fi, cellular: CDMA, GSM, UMTS, LTE) na paraan ng komunikasyon. Maaaring kabilang sa mga mekanismo ng seguridad ang: 1) hardware o software upang suportahan ang VPN (parehong pamantayan, nakapaloob sa OS, at mula sa mga ikatlong partido); 2) SSL/TLS (parehong partikular sa isang partikular na modelo ng ATM at mula sa mga tagagawa ng third-party); 3) pag-encrypt; 4) pagpapatunay ng mensahe.
Pero
Ang isa sa mga pangunahing kinakailangan ng PCI DSS ay ang lahat ng sensitibong data ay dapat na naka-encrypt kapag ipinadala sa isang pampublikong network. At mayroon talaga kaming mga network na orihinal na idinisenyo sa paraang ganap na naka-encrypt ang data sa mga ito! Samakatuwid, nakakaakit na sabihing: "Naka-encrypt ang aming data dahil gumagamit kami ng Wi-Fi at GSM." Gayunpaman, marami sa mga network na ito ay hindi nagbibigay ng sapat na seguridad. Ang mga cellular network ng lahat ng henerasyon ay matagal nang na-hack. Sa wakas at hindi na mababawi. At may mga supplier pa nga na nag-aalok ng mga device para ma-intercept ang data na ipinadala sa kanila.
Samakatuwid, alinman sa isang hindi secure na komunikasyon o sa isang "pribado" na network, kung saan ang bawat ATM ay nagbo-broadcast mismo sa iba pang mga ATM, ang isang "pekeng sentro ng pagproseso" ng MiTM ay maaaring magsimula - na hahantong sa carder na agawin ang kontrol ng mga daloy ng data na ipinadala sa pagitan ATM at sentro ng pagproseso.
Sa sumusunod na larawan
Command dump ng pekeng processing center
Pinagmulan: www.habr.com