Ang mga kahon ng bakal na may pera na nakatayo sa mga lansangan ng lungsod ay hindi maaaring makatulong ngunit maakit ang atensyon ng mga mahilig sa mabilis na pera. At kung dati ay puro pisikal na pamamaraan ang ginamit sa pag-alis ng laman ng mga ATM, ngayon ay parami nang parami ang mga mahuhusay na trick na nauugnay sa computer. Ngayon ang pinaka-nauugnay sa kanila ay isang "itim na kahon" na may isang single-board microcomputer sa loob. Pag-uusapan natin kung paano ito gumagana sa artikulong ito.
Pinuno ng International ATM Manufacturers Association (ATMIA) "black boxes" bilang ang pinaka-mapanganib na banta sa mga ATM.
Ang isang tipikal na ATM ay isang hanay ng mga yari na electromechanical na bahagi na nakalagay sa isang pabahay. Binubuo ng mga tagagawa ng ATM ang kanilang mga nilikhang hardware mula sa dispenser ng bill, card reader at iba pang mga bahagi na binuo na ng mga third-party na supplier. Isang uri ng LEGO constructor para sa mga matatanda. Ang mga natapos na bahagi ay inilalagay sa katawan ng ATM, na karaniwang binubuo ng dalawang compartment: isang upper compartment ("cabinet" o "service area"), at isang lower compartment (safe). Ang lahat ng mga electromechanical na bahagi ay konektado sa pamamagitan ng USB at COM port sa unit ng system, na sa kasong ito ay gumaganap bilang isang host. Sa mas lumang mga modelo ng ATM maaari ka ring makahanap ng mga koneksyon sa pamamagitan ng SDC bus.
Ang ebolusyon ng ATM carding
Ang mga ATM na may malalaking halaga sa loob ay palaging nakakaakit ng mga carder. Noong una, pinagsamantalahan lamang ng mga carder ang malalaking pisikal na kakulangan ng proteksyon ng ATM - gumamit sila ng mga skimmer at shimmers upang magnakaw ng data mula sa mga magnetic stripes; mga pekeng pin pad at camera para sa pagtingin sa mga pin code; at kahit mga pekeng ATM.
Pagkatapos, nang ang mga ATM ay nagsimulang magkaroon ng pinag-isang software na tumatakbo ayon sa mga karaniwang pamantayan, tulad ng XFS (eXtensions for Financial Services), nagsimulang atakehin ng mga carder ang mga ATM na may mga virus sa computer.
Kabilang sa mga ito ay Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii at iba pang maraming pinangalanan at hindi pinangalanang malware, na itinatanim ng mga carder sa host ng ATM alinman sa pamamagitan ng isang bootable USB flash drive o sa pamamagitan ng isang TCP remote control port.
Proseso ng impeksyon sa ATM
Ang pagkakaroon ng nakuhang XFS subsystem, ang malware ay maaaring mag-isyu ng mga utos sa banknote dispenser nang walang pahintulot. O magbigay ng mga utos sa card reader: basahin/isulat ang magnetic stripe ng isang bank card at kahit na kunin ang history ng transaksyon na nakaimbak sa EMV card chip. Ang EPP (Encrypting PIN Pad) ay nararapat na espesyal na atensyon. Karaniwang tinatanggap na ang PIN code na ipinasok dito ay hindi maharang. Gayunpaman, binibigyang-daan ka ng XFS na gamitin ang EPP pinpad sa dalawang mode: 1) open mode (para sa pagpasok ng iba't ibang numerical parameters, gaya ng halagang i-cash out); 2) safe mode (lilipat dito ang EPP kapag kailangan mong magpasok ng PIN code o encryption key). Ang tampok na ito ng XFS ay nagbibigay-daan sa carder na magsagawa ng pag-atake sa MiTM: hadlangan ang safe mode activation command na ipinadala mula sa host patungo sa EPP, at pagkatapos ay ipaalam sa EPP pinpad na dapat itong magpatuloy sa pagtatrabaho sa open mode. Bilang tugon sa mensaheng ito, nagpapadala ang EPP ng mga keystroke sa malinaw na teksto.
Ang prinsipyo ng pagpapatakbo ng isang "itim na kahon"
Sa mga nagdaang taon, Europol, ang malware ng ATM ay nagbago nang malaki. Hindi na kailangan ng mga carder na magkaroon ng pisikal na access sa isang ATM para mahawa ito. Maaari silang makahawa sa mga ATM sa pamamagitan ng mga pag-atake sa malayong network gamit ang corporate network ng bangko. Group IB, noong 2016 sa mahigit 10 bansa sa Europa, ang mga ATM ay sumailalim sa malalayong pag-atake.
Pag-atake sa isang ATM sa pamamagitan ng malayuang pag-access
Ang mga antivirus, pagharang sa mga update ng firmware, pagharang sa mga USB port at pag-encrypt ng hard drive - sa ilang mga lawak ay pinoprotektahan ang ATM mula sa mga pag-atake ng virus ng mga carder. Ngunit paano kung hindi inaatake ng carder ang host, ngunit direktang kumokonekta sa periphery (sa pamamagitan ng RS232 o USB) - sa isang card reader, pin pad o cash dispenser?
Unang pagkakakilala sa "itim na kahon"
Mga tech-savvy carder ngayon , gamit ang tinatawag na magnakaw ng pera mula sa isang ATM. Ang "mga itim na kahon" ay partikular na naka-program na mga single-board na microcomputer, tulad ng Raspberry Pi. Ang "mga itim na kahon" ay walang laman na mga ATM nang ganap, sa isang ganap na kaakit-akit (mula sa punto ng view ng mga banker). Direktang ikinonekta ng mga carder ang kanilang magic device sa bill dispenser; upang kunin ang lahat ng magagamit na pera mula dito. Ang pag-atake na ito ay lumalampas sa lahat ng software ng seguridad na naka-deploy sa host ng ATM (antivirus, pagsubaybay sa integridad, buong disk encryption, atbp.).
"Black box" batay sa Raspberry Pi
Ang pinakamalaking mga tagagawa ng ATM at mga ahensya ng paniktik ng gobyerno, na nahaharap sa ilang mga pagpapatupad ng "itim na kahon", na ang mga matatalinong computer na ito ay humikayat sa mga ATM na iluwa ang lahat ng magagamit na pera; 40 banknotes bawat 20 segundo. Nagbabala rin ang mga serbisyo sa seguridad na ang mga carder ay kadalasang nagta-target ng mga ATM sa mga parmasya at shopping center; at gayundin sa mga ATM na nagsisilbi sa mga motorista habang naglalakbay.
Kasabay nito, upang hindi lumitaw sa harap ng mga camera, ang pinaka-maingat na carder ay kumukuha ng tulong sa ilang hindi masyadong mahalagang kasosyo, isang mola. At upang hindi niya maangkop ang "itim na kahon" para sa kanyang sarili, ginagamit nila . Tinatanggal nila ang pangunahing pag-andar mula sa "itim na kahon" at ikinonekta ang isang smartphone dito, na ginagamit bilang isang channel para sa malayuang pagpapadala ng mga utos sa hinubad na "itim na kahon" sa pamamagitan ng IP protocol.
Pagbabago ng "black box", na may activation sa pamamagitan ng remote access
Ano ang hitsura nito mula sa pananaw ng mga banker? Sa mga pag-record mula sa mga video camera, nangyayari ang isang bagay tulad nito: binuksan ng isang partikular na tao ang itaas na kompartamento (lugar ng serbisyo), ikinonekta ang isang "magic box" sa ATM, isinara ang itaas na kompartimento at umalis. Maya-maya, ilang tao, na tila ordinaryong mga customer, ang lumapit sa ATM at nag-withdraw ng malaking halaga ng pera. Pagkatapos ay bumalik ang carder at kinuha ang kanyang maliit na magic device mula sa ATM. Karaniwan, ang katotohanan ng pag-atake ng ATM ng isang "itim na kahon" ay natuklasan lamang pagkatapos ng ilang araw: kapag ang walang laman na safe at ang cash withdrawal log ay hindi magkatugma. Bilang resulta, ang mga empleyado ng bangko ay maaari lamang .
Pagsusuri ng mga komunikasyon sa ATM
Tulad ng nabanggit sa itaas, ang pakikipag-ugnayan sa pagitan ng unit ng system at mga peripheral na aparato ay isinasagawa sa pamamagitan ng USB, RS232 o SDC. Direktang kumokonekta ang carder sa port ng peripheral device at nagpapadala ng mga utos dito - pag-bypass sa host. Ito ay medyo simple, dahil ang mga karaniwang interface ay hindi nangangailangan ng anumang partikular na mga driver. At ang mga proprietary protocol kung saan nakikipag-ugnayan ang peripheral at ang host ay hindi nangangailangan ng pahintulot (pagkatapos ng lahat, ang aparato ay matatagpuan sa loob ng isang pinagkakatiwalaang zone); at samakatuwid ang mga hindi secure na protocol na ito, kung saan nakikipag-usap ang peripheral at ang host, ay madaling na-eavesdrop at madaling madaling ma-replay ang mga pag-atake.
yun. Maaaring gumamit ang mga carder ng software o hardware traffic analyzer, direktang ikinokonekta ito sa port ng isang partikular na peripheral device (halimbawa, isang card reader) upang mangolekta ng ipinadalang data. Gamit ang traffic analyzer, natutunan ng carder ang lahat ng teknikal na detalye ng operasyon ng ATM, kabilang ang mga hindi dokumentadong function ng mga peripheral nito (halimbawa, ang function ng pagpapalit ng firmware ng isang peripheral device). Bilang resulta, ang carder ay nakakuha ng ganap na kontrol sa ATM. Kasabay nito, medyo mahirap tuklasin ang pagkakaroon ng isang traffic analyzer.
Ang direktang kontrol sa dispenser ng banknote ay nangangahulugan na ang mga ATM cassette ay maaaring ma-emptie nang walang anumang recording sa mga log, na karaniwang ipinapasok ng software na naka-deploy sa host. Para sa mga hindi pamilyar sa ATM hardware at software architecture, maaari itong magmukhang magic.
Saan nagmula ang mga itim na kahon?
Gumagawa ang mga supplier at subcontractor ng ATM ng mga debugging utilities para masuri ang ATM hardware, kabilang ang mga electrical mechanics na responsable para sa mga cash withdrawal. Kabilang sa mga utility na ito: , . Ang figure sa ibaba ay nagpapakita ng ilan pang mga diagnostic utility.
Control Panel ng ATMDesk
RapidFire ATM XFS Control Panel
Mga paghahambing na katangian ng ilang diagnostic utility
Ang pag-access sa mga naturang utility ay karaniwang limitado sa mga personalized na token; at gumagana lang sila kapag bukas ang ATM safe door. Gayunpaman, sa pamamagitan lamang ng pagpapalit ng ilang byte sa binary code ng utility, mga carder "pagsubok" na pag-withdraw ng pera - pag-bypass sa mga tseke na ibinigay ng tagagawa ng utility. Ang mga carder ay nag-i-install ng mga naturang binagong utility sa kanilang laptop o single-board microcomputer, na pagkatapos ay direktang konektado sa banknote dispenser upang gumawa ng hindi awtorisadong pag-withdraw ng pera.
"Huling milya" at pekeng sentro ng pagproseso
Ang direktang pakikipag-ugnayan sa paligid, nang walang komunikasyon sa host, ay isa lamang sa mga epektibong pamamaraan ng carding. Ang iba pang mga diskarte ay umaasa sa katotohanan na mayroon kaming malawak na iba't ibang mga interface ng network kung saan nakikipag-ugnayan ang ATM sa labas ng mundo. Mula X.25 hanggang Ethernet at cellular. Maraming mga ATM ang maaaring makilala at mai-localize gamit ang serbisyo ng Shodan (ang pinaka-maigsi na mga tagubilin para sa paggamit nito ay ipinakita ), β na may kasunod na pag-atake na nagsasamantala sa isang masusugatan na pagsasaayos ng seguridad, katamaran ng tagapangasiwa at mahihinang komunikasyon sa pagitan ng iba't ibang departamento ng bangko.
Ang "huling milya" ng komunikasyon sa pagitan ng ATM at ng processing center ay mayaman sa iba't ibang uri ng mga teknolohiya na maaaring magsilbing entry point para sa carder. Maaaring isagawa ang pakikipag-ugnayan sa pamamagitan ng wired (linya ng telepono o Ethernet) o wireless (Wi-Fi, cellular: CDMA, GSM, UMTS, LTE) na paraan ng komunikasyon. Maaaring kabilang sa mga mekanismo ng seguridad ang: 1) hardware o software upang suportahan ang VPN (parehong pamantayan, nakapaloob sa OS, at mula sa mga ikatlong partido); 2) SSL/TLS (parehong partikular sa isang partikular na modelo ng ATM at mula sa mga tagagawa ng third-party); 3) pag-encrypt; 4) pagpapatunay ng mensahe.
Pero na para sa mga bangko ang mga nakalistang teknolohiya ay tila napakakumplikado, at samakatuwid ay hindi nila iniistorbo ang kanilang mga sarili sa espesyal na proteksyon sa network; o ipinatupad nila ito nang may mga pagkakamali. Sa pinakamagandang kaso, nakikipag-ugnayan ang ATM sa VPN server, at nasa loob na ng pribadong network na kumokonekta ito sa processing center. Bilang karagdagan, kahit na pinamamahalaan ng mga bangko na ipatupad ang mga mekanismo ng proteksyon na nakalista sa itaas, ang carder ay mayroon nang epektibong pag-atake laban sa kanila. yun. Kahit na sumusunod ang seguridad sa pamantayan ng PCI DSS, mahina pa rin ang mga ATM.
Ang isa sa mga pangunahing kinakailangan ng PCI DSS ay ang lahat ng sensitibong data ay dapat na naka-encrypt kapag ipinadala sa isang pampublikong network. At mayroon talaga kaming mga network na orihinal na idinisenyo sa paraang ganap na naka-encrypt ang data sa mga ito! Samakatuwid, nakakaakit na sabihing: "Naka-encrypt ang aming data dahil gumagamit kami ng Wi-Fi at GSM." Gayunpaman, marami sa mga network na ito ay hindi nagbibigay ng sapat na seguridad. Ang mga cellular network ng lahat ng henerasyon ay matagal nang na-hack. Sa wakas at hindi na mababawi. At may mga supplier pa nga na nag-aalok ng mga device para ma-intercept ang data na ipinadala sa kanila.
Samakatuwid, alinman sa isang hindi secure na komunikasyon o sa isang "pribado" na network, kung saan ang bawat ATM ay nagbo-broadcast mismo sa iba pang mga ATM, ang isang "pekeng sentro ng pagproseso" ng MiTM ay maaaring magsimula - na hahantong sa carder na agawin ang kontrol ng mga daloy ng data na ipinadala sa pagitan ATM at sentro ng pagproseso.
Libu-libong ATM ang posibleng maapektuhan. Sa daan patungo sa tunay na sentro ng pagpoproseso, ipinapasok ng cardr ang sarili niyang peke. Ang pekeng processing center na ito ay nagbibigay ng mga utos sa ATM na magbigay ng mga banknotes. Sa kasong ito, iko-configure ng carder ang processing center nito sa paraang maibibigay ang cash anuman ang inilagay na card sa ATM - kahit na ito ay nag-expire na o may zero na balanse. Ang pangunahing bagay ay ang pekeng sentro ng pagproseso ay "kinikilala" ito. Ang pekeng processing center ay maaaring maging isang gawang bahay na produkto o isang processing center simulator, na orihinal na idinisenyo para sa pag-debug ng mga setting ng network (isa pang regalo mula sa "manufacturer" sa mga carder).
Sa sumusunod na larawan dump of commands para sa pag-isyu ng 40 banknotes mula sa ikaapat na cassette - ipinadala mula sa isang pekeng processing center at nakaimbak sa mga log ng software ng ATM. Halos totoo sila.
Command dump ng pekeng processing center
Pinagmulan: www.habr.com