Şehrin sokaklarında duran paralı demir kutular, hızlı para tutkunlarının dikkatini çekmeden edemiyor. Daha önce ATM'leri boşaltmak için tamamen fiziksel yöntemler kullanılıyordu, şimdi ise bilgisayarla ilgili hileler giderek daha fazla kullanılıyor. Şimdi bunlardan en alakalı olanı, içinde tek kartlı bir mikro bilgisayar bulunan bir “kara kutu”. Bu yazımızda nasıl çalıştığından bahsedeceğiz.
Uluslararası ATM Üreticileri Birliği (ATMIA) Başkanı ATM'ler için en tehlikeli tehdit "kara kutular"dır.
Tipik bir ATM, tek bir muhafazaya yerleştirilmiş bir dizi hazır elektromekanik bileşenden oluşur. ATM üreticileri, donanım tasarımlarını fatura dağıtıcı, kart okuyucu ve üçüncü taraf tedarikçiler tarafından halihazırda geliştirilmiş olan diğer bileşenlerden oluşturur. Yetişkinler için bir tür LEGO yapıcısı. Bitmiş bileşenler, genellikle iki bölmeden oluşan ATM gövdesine yerleştirilir: bir üst bölme ("dolap" veya "servis alanı") ve bir alt bölme (kasa). Tüm elektromekanik bileşenler, USB ve COM bağlantı noktaları aracılığıyla, bu durumda ana bilgisayar görevi gören sistem birimine bağlanır. Daha eski ATM modellerinde bağlantıları SDC veri yolu üzerinden de bulabilirsiniz.
ATM kartlamanın evrimi
İçinde büyük meblağlar bulunan ATM'ler her zaman kartçıların ilgisini çeker. İlk başta, kartçılar ATM korumasının yalnızca büyük fiziksel eksikliklerinden yararlandılar; manyetik şeritlerden veri çalmak için sıyırıcıları ve parıltıları kullandılar; sahte pin pedleri ve pin kodlarını görüntülemek için kameralar; ve hatta sahte ATM'ler.
Daha sonra ATM'ler, XFS (Finansal Hizmetler için eXtensions) gibi ortak standartlara göre çalışan birleşik yazılımlarla donatılmaya başlayınca, kartçılar ATM'lere bilgisayar virüsleriyle saldırmaya başladı.
Bunların arasında Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii ve kartçıların önyüklenebilir bir USB flash sürücü veya bir TCP uzaktan kumanda bağlantı noktası aracılığıyla ATM ana bilgisayarına yerleştirdiği çok sayıda adlandırılmış ve adlandırılmamış kötü amaçlı yazılım bulunmaktadır.
ATM enfeksiyon süreci
XFS alt sistemini ele geçiren kötü amaçlı yazılım, banknot dağıtıcısına izinsiz komutlar verebilir. Veya kart okuyucuya komutlar verin: bir banka kartının manyetik şeridini okuyun/yazın ve hatta EMV kart çipinde saklanan işlem geçmişini alın. EPP (Şifreleme PIN Pad'i) özel ilgiyi hak ediyor. Üzerine girilen PIN kodunun ele geçirilemeyeceği genel olarak kabul edilmektedir. Ancak XFS, EPP pinpad'ini iki modda kullanmanıza olanak tanır: 1) açık mod (paraya çevrilecek tutar gibi çeşitli sayısal parametreleri girmek için); 2) güvenli mod (Bir PIN kodu veya şifreleme anahtarı girmeniz gerektiğinde EPP buna geçer). XFS'nin bu özelliği, taraklayıcının bir MiTM saldırısı gerçekleştirmesine olanak tanır: Ana bilgisayardan EPP'ye gönderilen güvenli mod etkinleştirme komutunu engelleyin ve ardından EPP pinpad'ine açık modda çalışmaya devam etmesi gerektiğini bildirin. Bu mesaja yanıt olarak EPP, tuş vuruşlarını açık metin olarak gönderir.
“Kara kutunun” çalışma prensibi
Son yıllarda, Europol, ATM kötü amaçlı yazılımları önemli ölçüde gelişti. Kart sahiplerinin artık ATM'ye virüs bulaştırmak için fiziksel erişime sahip olmaları gerekmiyor. Bankanın kurumsal ağını kullanarak uzaktan ağ saldırıları yoluyla ATM'lere bulaşabilirler. Grup IB, 2016 yılında 10'dan fazla Avrupa ülkesinde ATM'ler uzaktan saldırılara maruz kaldı.
Uzaktan erişim yoluyla ATM'ye saldırı
Antivirüsler, ürün yazılımı güncellemelerini engelleme, USB bağlantı noktalarını engelleme ve sabit sürücüyü şifreleme - ATM'yi karterlerin virüs saldırılarına karşı bir dereceye kadar korur. Peki ya taraklayıcı ana bilgisayara saldırmaz, ancak doğrudan çevre birimine (RS232 veya USB yoluyla) - bir kart okuyucuya, pin pad'e veya bankamatik'e bağlanırsa?
“Kara kutu” ile ilk tanışma
Günümüzün teknoloji meraklısı tarakçılar ATM'den nakit çalmak için sözde yöntemi kullanıyor. “Kara kutular” Raspberry Pi gibi özel olarak programlanmış tek kartlı mikrobilgisayarlardır. “Kara kutular” ATM'leri tamamen sihirli bir şekilde (bankacıların bakış açısından) tamamen boşaltır. Kartçılar sihirli cihazlarını doğrudan fatura dağıtıcıya bağlar; mevcut tüm parayı ondan çıkarmak için. Bu saldırı, ATM ana bilgisayarında kurulu olan tüm güvenlik yazılımlarını (antivirüs, bütünlük kontrolü, tam disk şifreleme vb.) atlar.
Raspberry Pi'ye dayalı "kara kutu"
En büyük ATM üreticileri ve devlet istihbarat teşkilatları, çeşitli "kara kutu" uygulamalarıyla karşı karşıya kaldı. bu akıllı bilgisayarların ATM'leri mevcut tüm parayı dağıtmaya teşvik ettiğini; Her 40 saniyede bir 20 banknot. Güvenlik hizmetleri ayrıca kartçıların çoğunlukla eczaneler ve alışveriş merkezlerindeki ATM'leri hedef aldığı konusunda da uyarıyor; ve ayrıca hareket halindeyken sürücülere hizmet veren ATM'lere.
Aynı zamanda en temkinli kartçılar, kameraların karşısına çıkmamak için pek de değerli olmayan bir ortak olan katırdan yardım alır. Ve “kara kutuyu” kendine mal edemesin diye kullanıyorlar . Temel işlevleri "kara kutudan" kaldırırlar ve ona, komutları IP protokolü aracılığıyla sadeleştirilmiş "kara kutuya" uzaktan iletmek için bir kanal olarak kullanılan bir akıllı telefonu bağlarlar.
Uzaktan erişim yoluyla etkinleştirme ile "kara kutunun" değiştirilmesi
Bankacıların bakış açısından bu nasıl görünüyor? Video kameralardan alınan kayıtlarda şöyle bir şey oluyor: Belirli bir kişi üst bölmeyi (servis alanı) açıyor, ATM'ye “sihirli kutu” bağlıyor, üst bölmeyi kapatıyor ve çıkıyor. Kısa bir süre sonra, görünüşte sıradan müşteriler olan birkaç kişi ATM'ye yaklaşır ve büyük miktarlarda para çeker. Kartçı daha sonra geri döner ve küçük sihirli cihazını ATM'den alır. Tipik olarak, bir "kara kutu" tarafından ATM saldırısının gerçek olduğu ancak birkaç gün sonra keşfedilir: boş kasa ve nakit çekme günlüğü eşleşmediğinde. Sonuç olarak, banka çalışanları yalnızca .
ATM iletişimlerinin analizi
Yukarıda belirtildiği gibi sistem birimi ile çevresel cihazlar arasındaki etkileşim USB, RS232 veya SDC üzerinden gerçekleştirilir. Taraklayıcı doğrudan çevre biriminin bağlantı noktasına bağlanır ve ana bilgisayarı atlayarak ona komutlar gönderir. Bu oldukça basittir çünkü standart arayüzler herhangi bir özel sürücü gerektirmez. Çevre biriminin ve ana bilgisayarın etkileşimde bulunduğu özel protokoller yetkilendirme gerektirmez (sonuçta cihaz güvenilir bir bölgede bulunur); ve bu nedenle, çevre birimlerin ve ana bilgisayarın iletişim kurduğu bu güvenli olmayan protokoller kolaylıkla dinlenebilir ve tekrarlama saldırılarına kolaylıkla maruz kalabilir.
O. Kartçılar, iletilen verileri toplamak için onu doğrudan belirli bir çevre birimi aygıtının (örneğin kart okuyucu) bağlantı noktasına bağlayan bir yazılım veya donanım trafik analizörü kullanabilir. Kartçı, bir trafik analizörü kullanarak, çevre birimlerinin belgelenmemiş işlevleri (örneğin, bir çevre aygıtının donanım yazılımını değiştirme işlevi) dahil olmak üzere, ATM'nin çalışmasının tüm teknik ayrıntılarını öğrenir. Sonuç olarak, kartçı ATM üzerinde tam kontrol sahibi olur. Aynı zamanda trafik analizörünün varlığını tespit etmek oldukça zordur.
Banknot dağıtıcısının doğrudan kontrolü, ATM kasetlerinin normalde ana makineye yerleştirilen yazılım tarafından girilen günlüklere herhangi bir kayıt yapılmadan boşaltılabileceği anlamına gelir. ATM donanım ve yazılım mimarisine aşina olmayanlar için bu gerçekten sihir gibi görünebilir.
Kara kutular nereden geliyor?
ATM tedarikçileri ve taşeronları, nakit çekmeden sorumlu elektrik teknisyenleri de dahil olmak üzere ATM donanımını teşhis etmek için hata ayıklama araçları geliştiriyor. Bu yardımcı programlar arasında: , . Aşağıdaki şekil buna benzer birkaç tanılama yardımcı programını daha göstermektedir.
ATMDesk Kontrol Paneli
RapidFire ATM XFS Kontrol Paneli
Çeşitli teşhis yardımcı programlarının karşılaştırmalı özellikleri
Bu tür yardımcı programlara erişim normalde kişiselleştirilmiş tokenlarla sınırlıdır; ve yalnızca ATM kasasının kapısı açıkken çalışırlar. Ancak, yardımcı programın ikili kodundaki birkaç baytın değiştirilmesiyle, kartlayıcılar Nakit çekmeyi "test" - yardımcı program üreticisi tarafından sağlanan kontrolleri atlayarak. Kart sahipleri, bu tür değiştirilmiş yardımcı programları dizüstü bilgisayarlarına veya tek kartlı mikro bilgisayarlarına yükler ve bunlar daha sonra yetkisiz nakit çekme işlemi yapmak için doğrudan banknot dağıtıcıya bağlanır.
“Son mil” ve sahte işlem merkezi
Ev sahibi ile iletişim olmaksızın çevre ile doğrudan etkileşim, etkili tarama tekniklerinden yalnızca biridir. Diğer teknikler, ATM'nin dış dünyayla iletişim kurmasını sağlayan çok çeşitli ağ arayüzlerine sahip olduğumuz gerçeğine dayanmaktadır. X.25'ten Ethernet ve hücresele. Shodan hizmeti kullanılarak birçok ATM tanımlanabilir ve yerelleştirilebilir (kullanımına ilişkin en kısa talimatlar sunulmaktadır) ), – savunmasız bir güvenlik yapılandırmasından, yöneticinin tembelliğinden ve bankanın çeşitli departmanları arasındaki güvenlik açığından yararlanan müteakip bir saldırıyla.
ATM ile işlem merkezi arasındaki iletişimin "son mili", tarakçı için bir giriş noktası görevi görebilecek çok çeşitli teknolojiler açısından zengindir. Etkileşim kablolu (telefon hattı veya Ethernet) veya kablosuz (Wi-Fi, hücresel: CDMA, GSM, UMTS, LTE) iletişim yöntemiyle gerçekleştirilebilir. Güvenlik mekanizmaları şunları içerebilir: 1) VPN'yi destekleyen donanım veya yazılım (hem standart, işletim sistemi içinde yerleşik hem de üçüncü taraflardan); 2) SSL/TLS (hem belirli bir ATM modeline özel hem de üçüncü taraf üreticilere ait); 3) şifreleme; 4) mesaj kimlik doğrulaması.
Ancak listelenen teknolojilerin bankalar için çok karmaşık göründüğünü ve bu nedenle özel ağ korumasıyla kendilerini rahatsız etmediklerini; ya da hatalarla uyguluyorlar. En iyi durumda ATM, VPN sunucusuyla iletişim kurar ve zaten özel ağ içinde işlem merkezine bağlanır. Ayrıca bankalar yukarıda sıralanan koruma mekanizmalarını uygulamayı başarsalar bile kartçının onlara karşı zaten etkili saldırıları var. O. Güvenlik PCI DSS standardına uygun olsa bile ATM'ler hâlâ savunmasızdır.
PCI DSS'nin temel gereksinimlerinden biri, tüm hassas verilerin genel bir ağ üzerinden aktarıldığında şifrelenmesi gerektiğidir. Ve aslında orijinal olarak içlerindeki verilerin tamamen şifreleneceği şekilde tasarlanmış ağlarımız var! Dolayısıyla "Wi-Fi ve GSM kullandığımız için verilerimiz şifrelendi" demek cazip geliyor. Ancak bu ağların birçoğu yeterli güvenliği sağlayamıyor. Tüm nesillerin hücresel ağları uzun süredir saldırıya uğruyor. Son olarak ve geri dönülmez bir şekilde. Hatta üzerlerinden iletilen verilere müdahale edecek cihazlar sunan tedarikçiler bile var.
Bu nedenle, güvenli olmayan bir iletişimde veya her ATM'nin kendisini diğer ATM'lere yayınladığı "özel" bir ağda, bir MiTM "sahte işlem merkezi" saldırısı başlatılabilir ve bu, kartçının ATM'ler arasında iletilen veri akışlarının kontrolünü ele geçirmesine yol açabilir. ATM ve işlem merkezi.
Binlerce ATM potansiyel olarak etkilenebilir. Gerçek işlem merkezine giderken, kart sahibi kendi sahte kartını yerleştirir. Bu sahte işlem merkezi, ATM'ye banknot dağıtması için komutlar veriyor. Bu durumda, kartçı işlem merkezini, ATM'ye hangi kartın takıldığına bakılmaksızın, süresi dolmuş veya bakiyesi sıfır olsa bile nakit verilecek şekilde yapılandırır. Önemli olan, sahte işlem merkezinin onu "tanımasıdır". Sahte bir işleme merkezi, ev yapımı bir ürün veya orijinal olarak ağ ayarlarında hata ayıklamak için tasarlanmış bir işleme merkezi simülatörü olabilir ("üreticiden" tarakçılara başka bir hediye).
Aşağıdaki resimde Sahte bir işlem merkezinden gönderilen ve ATM yazılım kayıtlarında saklanan dördüncü kasetten 40 banknotun çıkarılmasına yönelik komutların dökümü. Neredeyse gerçek görünüyorlar.
Sahte bir işlem merkezinin komut dökümü
Kaynak: habr.com