Những chiếc hộp sắt đựng tiền đặt trên đường phố không thể không thu hút sự chú ý của những người yêu thích kiếm tiền nhanh chóng. Và nếu trước đây các phương pháp vật lý thuần túy được sử dụng để làm trống máy ATM thì giờ đây ngày càng có nhiều thủ thuật khéo léo liên quan đến máy tính được sử dụng. Giờ đây, thứ phù hợp nhất trong số đó là “hộp đen” với một máy vi tính bảng đơn bên trong. Chúng ta sẽ nói về cách nó hoạt động trong bài viết này.
Chủ tịch Hiệp hội các nhà sản xuất ATM quốc tế (ATMIA)
Một máy ATM điển hình là một tập hợp các bộ phận cơ điện làm sẵn được đặt trong một vỏ. Các nhà sản xuất ATM xây dựng các sáng tạo phần cứng của họ từ máy rút hóa đơn, đầu đọc thẻ và các bộ phận khác đã được các nhà cung cấp bên thứ ba phát triển. Một loại công cụ xây dựng LEGO dành cho người lớn. Các bộ phận đã hoàn thiện được đặt trong thân máy ATM, thường bao gồm hai ngăn: ngăn trên ("tủ" hoặc "khu vực dịch vụ") và ngăn dưới (an toàn). Tất cả các thành phần cơ điện được kết nối qua cổng USB và COM với thiết bị hệ thống, trong trường hợp này hoạt động như một máy chủ. Trên các mẫu ATM cũ hơn, bạn cũng có thể tìm thấy các kết nối qua bus SDC.
Sự phát triển của thẻ ATM
Các máy ATM có số tiền khổng lồ bên trong luôn thu hút chủ thẻ. Lúc đầu, các chủ thẻ chỉ khai thác những thiếu sót cơ bản về mặt vật lý của khả năng bảo vệ ATM - họ sử dụng bộ thu thập dữ liệu và ánh sáng lung linh để đánh cắp dữ liệu từ các sọc từ tính; miếng ghim giả và camera để xem mã pin; và thậm chí cả máy ATM giả.
Sau đó, khi các máy ATM bắt đầu được trang bị phần mềm thống nhất vận hành theo tiêu chuẩn chung như XFS (eXtensions for Financial Services), các chủ thẻ bắt đầu tấn công máy ATM bằng virus máy tính.
Trong số đó có Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii và vô số phần mềm độc hại có tên và không tên khác, mà các kẻ đánh thẻ cài vào máy chủ ATM thông qua ổ flash USB có khả năng khởi động hoặc thông qua cổng điều khiển từ xa TCP.
Quá trình lây nhiễm ATM
Sau khi chiếm được hệ thống con XFS, phần mềm độc hại có thể ra lệnh cho bộ phân phối tiền giấy mà không được phép. Hoặc ra lệnh cho đầu đọc thẻ: đọc/ghi dải từ của thẻ ngân hàng và thậm chí truy xuất lịch sử giao dịch được lưu trên chip thẻ EMV. EPP (Mã hóa PIN Pad) đáng được quan tâm đặc biệt. Người ta thường chấp nhận rằng mã PIN được nhập vào đó không thể bị chặn. Tuy nhiên, XFS cho phép bạn sử dụng bàn phím ghim EPP ở hai chế độ: 1) chế độ mở (để nhập các thông số số khác nhau, chẳng hạn như số tiền cần rút ra); 2) chế độ an toàn (EPP chuyển sang chế độ này khi bạn cần nhập mã PIN hoặc khóa mã hóa). Tính năng này của XFS cho phép chủ thẻ thực hiện cuộc tấn công MiTM: chặn lệnh kích hoạt chế độ an toàn được gửi từ máy chủ đến EPP, sau đó thông báo cho pinpad EPP rằng nó sẽ tiếp tục hoạt động ở chế độ mở. Để trả lời thông báo này, EPP sẽ gửi tổ hợp phím ở dạng văn bản rõ ràng.
Nguyên lý hoạt động của “hộp đen”
Trong những năm gần đây,
Tấn công ATM thông qua truy cập từ xa
Chống vi-rút, chặn cập nhật chương trình cơ sở, chặn cổng USB và mã hóa ổ cứng - ở một mức độ nào đó bảo vệ ATM khỏi sự tấn công của vi-rút bởi chủ thẻ. Nhưng điều gì sẽ xảy ra nếu chủ thẻ không tấn công máy chủ mà kết nối trực tiếp với thiết bị ngoại vi (qua RS232 hoặc USB) - với đầu đọc thẻ, bảng ghim hoặc máy rút tiền?
Lần đầu làm quen với “hộp đen”
Những người đam mê công nghệ ngày nay
“Hộp đen” dựa trên Raspberry Pi
Các nhà sản xuất ATM lớn nhất và các cơ quan tình báo chính phủ phải đối mặt với một số cách triển khai "hộp đen",
Đồng thời, để không xuất hiện trước ống kính, những người đánh bài thận trọng nhất phải nhờ đến sự giúp đỡ của một đối tác không mấy giá trị, một con la. Và để anh ta không thể chiếm đoạt “hộp đen” cho riêng mình, họ sử dụng
Sửa đổi “hộp đen”, kích hoạt thông qua truy cập từ xa
Điều này trông như thế nào từ quan điểm của các chủ ngân hàng? Trong các bản ghi từ máy quay video, điều tương tự xảy ra: một người nào đó mở ngăn trên (khu vực dịch vụ), kết nối “chiếc hộp thần kỳ” với máy ATM, đóng ngăn trên và rời đi. Một lúc sau, một số người, dường như là khách hàng bình thường, đến gần máy ATM và rút số tiền khổng lồ. Sau đó, chủ thẻ quay lại và lấy thiết bị ma thuật nhỏ của mình từ máy ATM. Điển hình, vụ tấn công ATM bằng “hộp đen” chỉ được phát hiện sau vài ngày: khi két rỗng và nhật ký rút tiền không khớp nhau. Kết quả là nhân viên ngân hàng chỉ có thể
Phân tích truyền thông ATM
Như đã lưu ý ở trên, sự tương tác giữa đơn vị hệ thống và các thiết bị ngoại vi được thực hiện thông qua USB, RS232 hoặc SDC. Carder kết nối trực tiếp với cổng của thiết bị ngoại vi và gửi lệnh tới nó - bỏ qua máy chủ. Điều này khá đơn giản vì giao diện tiêu chuẩn không yêu cầu bất kỳ trình điều khiển cụ thể nào. Và các giao thức độc quyền mà thiết bị ngoại vi và máy chủ tương tác không yêu cầu ủy quyền (xét cho cùng, thiết bị được đặt bên trong vùng đáng tin cậy); và do đó, các giao thức không an toàn này, qua đó thiết bị ngoại vi và máy chủ giao tiếp, dễ bị nghe lén và dễ bị tấn công lặp lại.
Cái đó. Chủ thẻ có thể sử dụng bộ phân tích lưu lượng phần mềm hoặc phần cứng, kết nối trực tiếp với cổng của một thiết bị ngoại vi cụ thể (ví dụ: đầu đọc thẻ) để thu thập dữ liệu được truyền. Bằng cách sử dụng máy phân tích lưu lượng, chủ thẻ tìm hiểu tất cả các chi tiết kỹ thuật về hoạt động của ATM, bao gồm các chức năng không có giấy tờ của các thiết bị ngoại vi (ví dụ: chức năng thay đổi chương trình cơ sở của thiết bị ngoại vi). Kết quả là chủ thẻ có toàn quyền kiểm soát máy ATM. Đồng thời, khá khó để phát hiện sự hiện diện của máy phân tích lưu lượng.
Kiểm soát trực tiếp đối với máy phân phối tiền giấy có nghĩa là các băng ATM có thể được làm trống mà không có bất kỳ ghi chép nào vào nhật ký, thường được nhập bởi phần mềm được triển khai trên máy chủ. Đối với những người không quen thuộc với kiến trúc phần cứng và phần mềm ATM, nó thực sự có thể trông giống như một phép thuật.
Hộp đen đến từ đâu?
Các nhà cung cấp ATM và nhà thầu phụ đang phát triển các tiện ích gỡ lỗi để chẩn đoán phần cứng ATM, bao gồm cả cơ điện chịu trách nhiệm rút tiền mặt. Trong số các tiện ích này:
Bảng điều khiển ATMDesk
Bảng điều khiển XFS ATM RapidFire
Đặc điểm so sánh của một số tiện ích chẩn đoán
Quyền truy cập vào các tiện ích như vậy thường bị giới hạn ở các mã thông báo được cá nhân hóa; và chúng chỉ hoạt động khi cửa két sắt ATM mở. Tuy nhiên, chỉ cần thay thế một vài byte trong mã nhị phân của tiện ích, người viết thẻ
“Chặng cuối” và trung tâm xử lý giả
Tương tác trực tiếp với ngoại vi, không liên lạc với chủ nhà, chỉ là một trong những kỹ thuật đánh bài hiệu quả. Các kỹ thuật khác dựa trên thực tế là chúng ta có nhiều giao diện mạng khác nhau mà qua đó ATM giao tiếp với thế giới bên ngoài. Từ X.25 đến Ethernet và mạng di động. Nhiều máy ATM có thể được xác định và bản địa hóa bằng dịch vụ Shodan (hướng dẫn ngắn gọn nhất về việc sử dụng dịch vụ này được trình bày
Giao tiếp “dặm cuối” giữa ATM và trung tâm xử lý có rất nhiều công nghệ có thể đóng vai trò là điểm truy cập cho chủ thẻ. Tương tác có thể được thực hiện thông qua phương thức liên lạc có dây (đường dây điện thoại hoặc Ethernet) hoặc không dây (Wi-Fi, di động: CDMA, GSM, UMTS, LTE). Các cơ chế bảo mật có thể bao gồm: 1) phần cứng hoặc phần mềm hỗ trợ VPN (cả hai đều là tiêu chuẩn, được tích hợp trong HĐH và từ bên thứ ba); 2) SSL/TLS (cả hai đều dành riêng cho một kiểu máy ATM cụ thể và từ các nhà sản xuất bên thứ ba); 3) mã hóa; 4) xác thực tin nhắn.
Nhưng
Một trong những yêu cầu cốt lõi của PCI DSS là tất cả dữ liệu nhạy cảm phải được mã hóa khi truyền qua mạng công cộng. Và chúng tôi thực sự có các mạng được thiết kế ban đầu theo cách dữ liệu trong đó được mã hóa hoàn toàn! Vì vậy, thật hấp dẫn khi nói: “Dữ liệu của chúng tôi được mã hóa vì chúng tôi sử dụng Wi-Fi và GSM”. Tuy nhiên, nhiều mạng trong số này không cung cấp đủ bảo mật. Mạng di động của mọi thế hệ đã bị hack từ lâu. Cuối cùng và không thể thay đổi. Và thậm chí có những nhà cung cấp còn cung cấp các thiết bị chặn dữ liệu được truyền qua chúng.
Do đó, trong giao tiếp không an toàn hoặc trong mạng “riêng tư”, trong đó mỗi máy ATM tự phát sóng đến các máy ATM khác, một cuộc tấn công “trung tâm xử lý giả” MiTM có thể được bắt đầu - điều này sẽ dẫn đến việc chủ thẻ chiếm quyền kiểm soát các luồng dữ liệu được truyền giữa ATM và trung tâm xử lý.
Trong hình ảnh sau đây
Lệnh kết xuất của một trung tâm xử lý giả mạo
Nguồn: www.habr.com