شہر کی سڑکوں پر پیسوں کے ساتھ کھڑے لوہے کے ڈبے فوری پیسے کے شوقین افراد کی توجہ اپنی طرف متوجہ نہیں کر سکتے۔ اور اگر پہلے اے ٹی ایم کو خالی کرنے کے لیے خالصتاً جسمانی طریقے استعمال کیے جاتے تھے، تو اب کمپیوٹر سے متعلق زیادہ سے زیادہ ہنر مند طریقے استعمال کیے جا رہے ہیں۔ اب ان میں سب سے زیادہ متعلقہ ایک "بلیک باکس" ہے جس کے اندر سنگل بورڈ مائیکرو کمپیوٹر ہے۔ ہم اس مضمون میں بات کریں گے کہ یہ کیسے کام کرتا ہے۔

- اے ٹی ایم کارڈنگ کا ارتقاء
- "بلیک باکس" سے پہلی واقفیت
- اے ٹی ایم مواصلات کا تجزیہ
- "بلیک باکس" کہاں سے آتے ہیں؟
- "آخری میل" اور جعلی پروسیسنگ سینٹر

انٹرنیشنل اے ٹی ایم مینوفیکچررز ایسوسی ایشن (اے ٹی ایم آئی اے) کے سربراہ باہر نکالا "بلیک باکس" اے ٹی ایم کے لیے سب سے خطرناک خطرہ ہے۔

ایک عام ATM ایک گھر میں رکھے ہوئے الیکٹرو مکینیکل اجزاء کا ایک سیٹ ہوتا ہے۔ اے ٹی ایم مینوفیکچررز بل ڈسپنسر، کارڈ ریڈر اور تیسرے فریق کے فراہم کنندگان کے ذریعہ پہلے سے تیار کردہ دیگر اجزاء سے اپنی ہارڈویئر تخلیقات بناتے ہیں۔ بالغوں کے لیے LEGO کنسٹرکٹر کی ایک قسم۔ تیار شدہ اجزاء ATM باڈی میں رکھے جاتے ہیں، جو عام طور پر دو کمپارٹمنٹس پر مشتمل ہوتے ہیں: ایک اوپری کمپارٹمنٹ ("کیبنٹ" یا "سروس ایریا")، اور ایک نچلا کمپارٹمنٹ (محفوظ)۔ تمام الیکٹرو مکینیکل اجزاء USB اور COM پورٹس کے ذریعے سسٹم یونٹ سے منسلک ہوتے ہیں، جو اس صورت میں میزبان کے طور پر کام کرتا ہے۔ پرانے ATM ماڈلز پر آپ SDC بس کے ذریعے بھی کنکشن تلاش کر سکتے ہیں۔

اے ٹی ایم کارڈنگ کا ارتقاء

اے ٹی ایم جس کے اندر بھاری رقوم ہوتی ہیں ہمیشہ کارڈرز کو اپنی طرف متوجہ کرتی ہیں۔ پہلے پہل، کارڈرز نے اے ٹی ایم تحفظ کی صرف مجموعی جسمانی کمیوں کا فائدہ اٹھایا - وہ مقناطیسی پٹیوں سے ڈیٹا چوری کرنے کے لیے سکیمر اور چمکنے والی مشینوں کا استعمال کرتے تھے۔ پن کوڈز دیکھنے کے لیے جعلی پن پیڈ اور کیمرے؛ اور جعلی اے ٹی ایم بھی۔

پھر، جب اے ٹی ایمز مشترکہ معیارات کے مطابق کام کرنے والے متحد سافٹ ویئر سے لیس ہونا شروع ہوئے، جیسے کہ XFS (مالی خدمات کے لیے توسیع)، کارڈرز نے اے ٹی ایم پر کمپیوٹر وائرس سے حملہ کرنا شروع کیا۔

ان میں سے Trojan.Skimmer، Backdoor.Win32.Skimer، Ploutus، ATMii اور دیگر بے شمار نامی اور بے نام مال ویئر ہیں، جو کارڈرز ATM ہوسٹ پر بوٹ ایبل USB فلیش ڈرائیو کے ذریعے یا TCP ریموٹ کنٹرول پورٹ کے ذریعے لگاتے ہیں۔

اے ٹی ایم انفیکشن کا عمل

XFS سب سسٹم پر قبضہ کرنے کے بعد، میلویئر اجازت کے بغیر بینک نوٹ ڈسپنسر کو کمانڈ جاری کر سکتا ہے۔ یا کارڈ ریڈر کو کمانڈ دیں: بینک کارڈ کی مقناطیسی پٹی پڑھیں/لکھیں اور یہاں تک کہ EMV کارڈ چپ پر محفوظ ٹرانزیکشن ہسٹری کو بازیافت کریں۔ ای پی پی (انکرپٹنگ پن پیڈ) خصوصی توجہ کا مستحق ہے۔ یہ عام طور پر قبول کیا جاتا ہے کہ اس پر درج کردہ پن کوڈ کو روکا نہیں جا سکتا۔ تاہم، XFS آپ کو EPP پن پیڈ کو دو طریقوں میں استعمال کرنے کی اجازت دیتا ہے: 1) اوپن موڈ (مختلف عددی پیرامیٹرز میں داخل ہونے کے لیے، جیسے کہ کیش آؤٹ کی جانے والی رقم)؛ 2) سیف موڈ (جب آپ کو پن کوڈ یا انکرپشن کلید داخل کرنے کی ضرورت ہو تو EPP اس پر سوئچ کرتا ہے)۔ XFS کی یہ خصوصیت کارڈر کو MiTM حملہ کرنے کی اجازت دیتی ہے: محفوظ موڈ ایکٹیویشن کمانڈ کو روکیں جو میزبان سے EPP کو بھیجی جاتی ہے، اور پھر EPP پن پیڈ کو مطلع کریں کہ اسے اوپن موڈ میں کام جاری رکھنا چاہیے۔ اس پیغام کے جواب میں، EPP واضح متن میں کلیدی اسٹروک بھیجتا ہے۔

"بلیک باکس" کے آپریٹنگ اصول

حالیہ برسوں میں، کے مطابق یوروپول، اے ٹی ایم میلویئر نمایاں طور پر تیار ہوا ہے۔ کارڈرز کو اب ATM کو متاثر کرنے کے لیے اس تک جسمانی رسائی کی ضرورت نہیں ہے۔ وہ بینک کے کارپوریٹ نیٹ ورک کا استعمال کرتے ہوئے ریموٹ نیٹ ورک حملوں کے ذریعے اے ٹی ایم کو متاثر کر سکتے ہیں۔ کے مطابق گروپ آئی بی، 2016 میں 10 سے زائد یورپی ممالک میں، اے ٹی ایمز ریموٹ حملوں کا نشانہ بنے۔

ریموٹ رسائی کے ذریعے اے ٹی ایم پر حملہ

اینٹی وائرس، فرم ویئر اپ ڈیٹس کو مسدود کرنا، USB پورٹس کو مسدود کرنا اور ہارڈ ڈرائیو کو انکرپٹ کرنا - کسی حد تک ATM کو کارڈرز کے وائرس کے حملوں سے بچاتے ہیں۔ لیکن کیا ہوگا اگر کارڈر میزبان پر حملہ نہیں کرتا ہے، لیکن براہ راست پیریفری سے جڑتا ہے (RS232 یا USB کے ذریعے) - کارڈ ریڈر، پن پیڈ یا کیش ڈسپنسر سے؟

"بلیک باکس" سے پہلی واقفیت

آج کے ٹیک سیوی کارڈرز یہ بالکل وہی ہے جو وہ کرتے ہیںاے ٹی ایم سے نقدی چوری کرنے کے لیے نام نہاد کا استعمال کرنا۔ "بلیک بکس" خاص طور پر پروگرام شدہ سنگل بورڈ مائیکرو کمپیوٹرز ہیں، جیسے Raspberry Pi۔ "بلیک بکس" اے ٹی ایم کو مکمل طور پر خالی کرتے ہیں، مکمل طور پر جادوئی انداز میں (بینکروں کے نقطہ نظر سے)۔ کارڈرز اپنے جادوئی آلے کو براہ راست بل ڈسپنسر سے جوڑتے ہیں۔ اس سے تمام دستیاب رقم نکالنے کے لیے۔ یہ حملہ اے ٹی ایم ہوسٹ (اینٹی وائرس، انٹیگریٹی مانیٹرنگ، فل ڈسک انکرپشن وغیرہ) پر تعینات تمام سیکیورٹی سافٹ ویئر کو نظرانداز کرتا ہے۔

Raspberry Pi پر مبنی "بلیک باکس"

اے ٹی ایم بنانے والے سب سے بڑے ادارے اور سرکاری انٹیلی جنس ایجنسیوں کو "بلیک باکس" کے متعدد نفاذ کا سامنا کرنا پڑا۔ خبردار کرناکہ یہ ہوشیار کمپیوٹرز اے ٹی ایم کو تمام دستیاب نقدی تھوکنے پر آمادہ کرتے ہیں۔ ہر 40 سیکنڈ میں 20 بینک نوٹ۔ سیکیورٹی سروسز یہ بھی خبردار کرتی ہیں کہ کارڈرز اکثر فارمیسیوں اور شاپنگ سینٹرز میں اے ٹی ایم کو نشانہ بناتے ہیں۔ اور اے ٹی ایم کو بھی جو چلتے پھرتے گاڑی چلانے والوں کی خدمت کرتے ہیں۔

ایک ہی وقت میں، کیمروں کے سامنے نہ آنے کے لیے، سب سے زیادہ محتاط کارڈرز کچھ انتہائی قیمتی ساتھی، ایک خچر کی مدد لیتے ہیں۔ اور اس لیے کہ وہ "بلیک باکس" کو اپنے لیے موزوں نہیں کر سکتا، وہ استعمال کرتے ہیں۔ مندرجہ ذیل خاکہ. وہ "بلیک باکس" سے کلیدی فعالیت کو ہٹاتے ہیں اور اسمارٹ فون کو اس سے جوڑتے ہیں، جو آئی پی پروٹوکول کے ذریعے سٹرپڈ-ڈاؤن "بلیک باکس" میں کمانڈز کو دور سے منتقل کرنے کے لیے ایک چینل کے طور پر استعمال ہوتا ہے۔

ریموٹ رسائی کے ذریعے ایکٹیویشن کے ساتھ "بلیک باکس" میں ترمیم

بینکرز کے نقطہ نظر سے یہ کیسا لگتا ہے؟ ویڈیو کیمروں کی ریکارڈنگ میں، کچھ ایسا ہوتا ہے: ایک مخصوص شخص اوپری ڈبہ (سروس ایریا) کھولتا ہے، اے ٹی ایم سے ایک "جادو خانہ" جوڑتا ہے، اوپری ڈبہ بند کرتا ہے اور چھوڑ دیتا ہے۔ تھوڑی دیر بعد، کئی لوگ، بظاہر عام گاہک، اے ٹی ایم سے رجوع کرتے ہیں اور بھاری رقم نکالتے ہیں۔ کارڈر پھر واپس آتا ہے اور اے ٹی ایم سے اپنا چھوٹا سا جادوئی آلہ بازیافت کرتا ہے۔ عام طور پر، "بلیک باکس" کے ذریعے اے ٹی ایم حملے کی حقیقت صرف چند دنوں کے بعد دریافت ہوتی ہے: جب خالی سیف اور کیش نکالنے کا لاگ آپس میں نہیں ملتا۔ نتیجے کے طور پر، بینک ملازمین صرف کر سکتے ہیں اپنے سروں کو کھرچنا.

اے ٹی ایم مواصلات کا تجزیہ

جیسا کہ اوپر بتایا گیا ہے، سسٹم یونٹ اور پیریفرل ڈیوائسز کے درمیان تعامل USB، RS232 یا SDC کے ذریعے کیا جاتا ہے۔ کارڈر براہ راست پیریفرل ڈیوائس کی بندرگاہ سے جڑتا ہے اور اسے کمانڈ بھیجتا ہے - میزبان کو نظرانداز کرتے ہوئے۔ یہ بہت آسان ہے، کیونکہ معیاری انٹرفیس کو کسی مخصوص ڈرائیور کی ضرورت نہیں ہوتی ہے۔ اور ملکیتی پروٹوکول جن کے ذریعے پیریفیرل اور میزبان آپس میں بات چیت کرتے ہیں انہیں اجازت کی ضرورت نہیں ہوتی ہے (آخر کار، ڈیوائس ایک قابل اعتماد زون کے اندر واقع ہے)؛ اور اس لیے یہ غیر محفوظ پروٹوکول، جن کے ذریعے پردیی اور میزبان بات چیت کرتے ہیں، آسانی سے چھپ جاتے ہیں اور حملوں کو دوبارہ چلانے کے لیے آسانی سے حساس ہوتے ہیں۔

وہ. کارڈرز ایک سافٹ ویئر یا ہارڈویئر ٹریفک تجزیہ کار کا استعمال کر سکتے ہیں، اسے براہ راست کسی مخصوص پیریفرل ڈیوائس (مثال کے طور پر، کارڈ ریڈر) کی بندرگاہ سے جوڑ کر منتقل شدہ ڈیٹا اکٹھا کر سکتے ہیں۔ ٹریفک تجزیہ کار کا استعمال کرتے ہوئے، کارڈر ATM کے آپریشن کی تمام تکنیکی تفصیلات سیکھتا ہے، بشمول اس کے پیری فیرلز کے غیر دستاویزی فنکشنز (مثال کے طور پر، پیریفرل ڈیوائس کے فرم ویئر کو تبدیل کرنے کا کام)۔ نتیجے کے طور پر، کارڈر کو اے ٹی ایم پر مکمل کنٹرول حاصل ہو جاتا ہے۔ ایک ہی وقت میں، ٹریفک تجزیہ کار کی موجودگی کا پتہ لگانا کافی مشکل ہے۔

بینک نوٹ ڈسپنسر پر براہ راست کنٹرول کا مطلب یہ ہے کہ اے ٹی ایم کیسٹوں کو لاگ میں بغیر کسی ریکارڈنگ کے خالی کیا جا سکتا ہے، جو عام طور پر میزبان پر تعینات سافٹ ویئر کے ذریعے درج کیا جاتا ہے۔ ان لوگوں کے لیے جو اے ٹی ایم ہارڈویئر اور سافٹ ویئر کے فن تعمیر سے واقف نہیں ہیں، یہ واقعی جادو کی طرح لگ سکتا ہے۔

بلیک باکس کہاں سے آتے ہیں؟

اے ٹی ایم سپلائرز اور ذیلی ٹھیکیدار اے ٹی ایم ہارڈویئر کی تشخیص کے لیے ڈیبگنگ یوٹیلیٹیز تیار کر رہے ہیں، بشمول الیکٹریکل مکینکس جو کہ نقد رقم نکالنے کے لیے ذمہ دار ہیں۔ ان افادیت میں سے: اے ٹی ایم ڈیسک, ریپڈ فائر اے ٹی ایم ایکس ایف ایس. نیچے دی گئی تصویر اس طرح کی کئی اور تشخیصی افادیت کو ظاہر کرتی ہے۔

اے ٹی ایم ڈیسک کنٹرول پینل

RapidFire ATM XFS کنٹرول پینل

متعدد تشخیصی افادیت کی تقابلی خصوصیات

ایسی افادیت تک رسائی عام طور پر ذاتی ٹوکن تک محدود ہوتی ہے۔ اور وہ صرف اس وقت کام کرتے ہیں جب اے ٹی ایم کا محفوظ دروازہ کھلا ہو۔ تاہم، بس یوٹیلیٹی، کارڈرز کے بائنری کوڈ میں چند بائٹس کی جگہ لے کر کر سکتے ہیں "ٹیسٹ" کیش نکالنا - یوٹیلیٹی مینوفیکچرر کی طرف سے فراہم کردہ چیکس کو نظرانداز کرتے ہوئے کارڈرز اپنے لیپ ٹاپ یا سنگل بورڈ مائیکرو کمپیوٹر پر ایسی ترمیم شدہ یوٹیلیٹیز انسٹال کرتے ہیں، جو پھر غیر مجاز نقد رقم نکالنے کے لیے براہ راست بینک نوٹ ڈسپنسر سے منسلک ہوتے ہیں۔

"آخری میل" اور جعلی پروسیسنگ سینٹر

میزبان کے ساتھ بات چیت کے بغیر دائرہ کے ساتھ براہ راست تعامل، کارڈنگ کی موثر تکنیکوں میں سے ایک ہے۔ دیگر تکنیکیں اس حقیقت پر انحصار کرتی ہیں کہ ہمارے پاس نیٹ ورک انٹرفیس کی وسیع اقسام ہیں جن کے ذریعے اے ٹی ایم بیرونی دنیا سے رابطہ کرتا ہے۔ X.25 سے ایتھرنیٹ اور سیلولر تک۔ شوڈن سروس کا استعمال کرتے ہوئے بہت سے اے ٹی ایمز کی شناخت اور لوکلائز کیا جا سکتا ہے (اس کے استعمال کے لیے انتہائی جامع ہدایات پیش کی گئی ہیں۔ یہاں)، – بعد میں ہونے والے حملے کے ساتھ جو سیکیورٹی کی کمزور ترتیب، منتظم کی سستی اور بینک کے مختلف محکموں کے درمیان کمزور مواصلات کا فائدہ اٹھاتا ہے۔

اے ٹی ایم اور پروسیسنگ سینٹر کے درمیان رابطے کا "آخری میل" مختلف قسم کی ٹیکنالوجیز سے مالا مال ہے جو کارڈر کے لیے داخلے کے مقام کے طور پر کام کر سکتی ہے۔ تعامل وائرڈ (ٹیلی فون لائن یا ایتھرنیٹ) یا وائرلیس (وائی فائی، سیلولر: سی ڈی ایم اے، جی ایس ایم، یو ایم ٹی ایس، ایل ٹی ای) مواصلاتی طریقہ کے ذریعے کیا جا سکتا ہے۔ حفاظتی طریقہ کار میں شامل ہو سکتے ہیں: 1) VPN کو سپورٹ کرنے کے لیے ہارڈویئر یا سافٹ ویئر (دونوں معیاری، OS میں بنایا گیا، اور فریق ثالث سے)؛ 2) SSL/TLS (دونوں مخصوص اے ٹی ایم ماڈل کے لیے مخصوص ہیں اور فریق ثالث کے مینوفیکچررز سے)؛ 3) خفیہ کاری؛ 4) پیغام کی تصدیق۔

لیکن ایسا لگتا ہےکہ بینکوں کے لیے درج کردہ ٹیکنالوجیز بہت پیچیدہ معلوم ہوتی ہیں، اور اس لیے وہ اپنے آپ کو خصوصی نیٹ ورک تحفظ سے پریشان نہیں کرتے؛ یا وہ اسے غلطیوں کے ساتھ نافذ کرتے ہیں۔ بہترین صورت میں، ATM VPN سرور کے ساتھ بات چیت کرتا ہے، اور پہلے سے ہی نجی نیٹ ورک کے اندر یہ پروسیسنگ سینٹر سے جڑ جاتا ہے۔ اس کے علاوہ، یہاں تک کہ اگر بینک اوپر درج حفاظتی میکانزم کو نافذ کرنے کا انتظام کرتے ہیں، تو کارڈر پر پہلے ہی ان کے خلاف مؤثر حملے ہوتے ہیں۔ وہ. یہاں تک کہ اگر سیکورٹی PCI DSS معیار کے مطابق ہے، تب بھی ATMs کمزور ہیں۔

PCI DSS کی بنیادی ضروریات میں سے ایک یہ ہے کہ عوامی نیٹ ورک پر منتقل ہونے پر تمام حساس ڈیٹا کو انکرپٹ کیا جانا چاہیے۔ اور ہمارے پاس درحقیقت ایسے نیٹ ورکس ہیں جو اصل میں اس طرح ڈیزائن کیے گئے تھے کہ ان میں موجود ڈیٹا کو مکمل طور پر انکرپٹ کیا گیا ہو! لہذا، یہ کہنا پرجوش ہے: "ہمارا ڈیٹا انکرپٹڈ ہے کیونکہ ہم Wi-Fi اور GSM استعمال کرتے ہیں۔" تاہم، ان میں سے بہت سے نیٹ ورک کافی سیکورٹی فراہم نہیں کرتے ہیں۔ تمام نسلوں کے سیلولر نیٹ ورکس طویل عرصے سے ہیک ہو چکے ہیں۔ آخر میں اور اٹل۔ اور یہاں تک کہ ایسے سپلائی کرنے والے بھی ہیں جو ان پر منتقل ہونے والے ڈیٹا کو روکنے کے لیے آلات پیش کرتے ہیں۔

لہذا، یا تو ایک غیر محفوظ مواصلات میں یا "نجی" نیٹ ورک میں، جہاں ہر اے ٹی ایم خود کو دوسرے اے ٹی ایم پر براڈکاسٹ کرتا ہے، ایک ایم آئی ٹی ایم "جعلی پروسیسنگ سینٹر" حملہ شروع کیا جا سکتا ہے - جس کی وجہ سے کارڈر ڈیٹا کے بہاؤ پر کنٹرول حاصل کر لے گا۔ اے ٹی ایم اور پروسیسنگ سینٹر۔

ایسے ایم آئی ٹی ایم حملے ہزاروں اے ٹی ایم ممکنہ طور پر متاثر ہیں۔ اصلی پروسیسنگ سینٹر کے راستے میں، کارڈر اپنا، جعلی کارڈ داخل کرتا ہے۔ یہ جعلی پروسیسنگ سینٹر اے ٹی ایم کو نوٹوں کی تقسیم کے لیے حکم دیتا ہے۔ اس صورت میں، کارڈر اپنے پروسیسنگ سینٹر کو اس طرح ترتیب دیتا ہے کہ نقد رقم جاری کی جاتی ہے اس سے قطع نظر کہ اے ٹی ایم میں کون سا کارڈ ڈالا گیا ہے - چاہے اس کی میعاد ختم ہو گئی ہو یا اس کا بیلنس صفر ہو۔ اہم بات یہ ہے کہ جعلی پروسیسنگ سینٹر اسے "پہچانتا ہے"۔ جعلی پروسیسنگ سینٹر یا تو گھریلو مصنوعات یا پروسیسنگ سینٹر سمیلیٹر ہو سکتا ہے، جو اصل میں نیٹ ورک سیٹنگز کو ڈیبگ کرنے کے لیے ڈیزائن کیا گیا ہے (کارڈرز کو "مینوفیکچرر" کی طرف سے ایک اور تحفہ)۔

درج ذیل تصویر میں دیا چوتھی کیسٹ سے 40 بینک نوٹ جاری کرنے کے لیے احکامات کا ڈمپ - ایک جعلی پروسیسنگ سینٹر سے بھیجا گیا اور ATM سافٹ ویئر لاگ میں محفوظ کیا گیا۔ وہ تقریبا حقیقی نظر آتے ہیں.

جعلی پروسیسنگ سینٹر کا کمانڈ ڈمپ

ماخذ: www.habr.com