Những chiếc hộp sắt đựng tiền đặt trên đường phố không thể không thu hút sự chú ý của những người yêu thích kiếm tiền nhanh chóng. Và nếu trước đây các phương pháp vật lý thuần túy được sử dụng để làm trống máy ATM thì giờ đây ngày càng có nhiều thủ thuật khéo léo liên quan đến máy tính được sử dụng. Giờ đây, thứ phù hợp nhất trong số đó là “hộp đen” với một máy vi tính bảng đơn bên trong. Chúng ta sẽ nói về cách nó hoạt động trong bài viết này.
Chủ tịch Hiệp hội các nhà sản xuất ATM quốc tế (ATMIA) "hộp đen" là mối đe dọa nguy hiểm nhất đối với máy ATM.
Một máy ATM điển hình là một tập hợp các bộ phận cơ điện làm sẵn được đặt trong một vỏ. Các nhà sản xuất ATM xây dựng các sáng tạo phần cứng của họ từ máy rút hóa đơn, đầu đọc thẻ và các bộ phận khác đã được các nhà cung cấp bên thứ ba phát triển. Một loại công cụ xây dựng LEGO dành cho người lớn. Các bộ phận đã hoàn thiện được đặt trong thân máy ATM, thường bao gồm hai ngăn: ngăn trên ("tủ" hoặc "khu vực dịch vụ") và ngăn dưới (an toàn). Tất cả các thành phần cơ điện được kết nối qua cổng USB và COM với thiết bị hệ thống, trong trường hợp này hoạt động như một máy chủ. Trên các mẫu ATM cũ hơn, bạn cũng có thể tìm thấy các kết nối qua bus SDC.
Sự phát triển của thẻ ATM
Các máy ATM có số tiền khổng lồ bên trong luôn thu hút chủ thẻ. Lúc đầu, các chủ thẻ chỉ khai thác những thiếu sót cơ bản về mặt vật lý của khả năng bảo vệ ATM - họ sử dụng bộ thu thập dữ liệu và ánh sáng lung linh để đánh cắp dữ liệu từ các sọc từ tính; miếng ghim giả và camera để xem mã pin; và thậm chí cả máy ATM giả.
Sau đó, khi các máy ATM bắt đầu được trang bị phần mềm thống nhất vận hành theo tiêu chuẩn chung như XFS (eXtensions for Financial Services), các chủ thẻ bắt đầu tấn công máy ATM bằng virus máy tính.
Trong số đó có Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii và vô số phần mềm độc hại có tên và không tên khác, mà các kẻ đánh thẻ cài vào máy chủ ATM thông qua ổ flash USB có khả năng khởi động hoặc thông qua cổng điều khiển từ xa TCP.
Quá trình lây nhiễm ATM
Sau khi chiếm được hệ thống con XFS, phần mềm độc hại có thể ra lệnh cho bộ phân phối tiền giấy mà không được phép. Hoặc ra lệnh cho đầu đọc thẻ: đọc/ghi dải từ của thẻ ngân hàng và thậm chí truy xuất lịch sử giao dịch được lưu trên chip thẻ EMV. EPP (Mã hóa PIN Pad) đáng được quan tâm đặc biệt. Người ta thường chấp nhận rằng mã PIN được nhập vào đó không thể bị chặn. Tuy nhiên, XFS cho phép bạn sử dụng bàn phím ghim EPP ở hai chế độ: 1) chế độ mở (để nhập các thông số số khác nhau, chẳng hạn như số tiền cần rút ra); 2) chế độ an toàn (EPP chuyển sang chế độ này khi bạn cần nhập mã PIN hoặc khóa mã hóa). Tính năng này của XFS cho phép chủ thẻ thực hiện cuộc tấn công MiTM: chặn lệnh kích hoạt chế độ an toàn được gửi từ máy chủ đến EPP, sau đó thông báo cho pinpad EPP rằng nó sẽ tiếp tục hoạt động ở chế độ mở. Để trả lời thông báo này, EPP sẽ gửi tổ hợp phím ở dạng văn bản rõ ràng.
Nguyên lý hoạt động của “hộp đen”
Trong những năm gần đây, Europol, phần mềm độc hại ATM đã phát triển đáng kể. Chủ thẻ không còn cần phải có quyền truy cập vật lý vào máy ATM để lây nhiễm nó. Chúng có thể lây nhiễm vào các máy ATM thông qua các cuộc tấn công mạng từ xa bằng mạng công ty của ngân hàng. Nhóm IB, năm 2016 tại hơn 10 quốc gia châu Âu, máy ATM là đối tượng bị tấn công từ xa.
Tấn công ATM thông qua truy cập từ xa
Chống vi-rút, chặn cập nhật chương trình cơ sở, chặn cổng USB và mã hóa ổ cứng - ở một mức độ nào đó bảo vệ ATM khỏi sự tấn công của vi-rút bởi chủ thẻ. Nhưng điều gì sẽ xảy ra nếu chủ thẻ không tấn công máy chủ mà kết nối trực tiếp với thiết bị ngoại vi (qua RS232 hoặc USB) - với đầu đọc thẻ, bảng ghim hoặc máy rút tiền?
Lần đầu làm quen với “hộp đen”
Những người đam mê công nghệ ngày nay , sử dụng cái gọi là để ăn trộm tiền mặt từ máy ATM. “Hộp đen” là các máy vi tính bảng đơn được lập trình đặc biệt, như Raspberry Pi. “Hộp đen” làm trống hoàn toàn các máy ATM, theo một cách hoàn toàn kỳ diệu (theo quan điểm của các chủ ngân hàng). Người chơi thẻ kết nối trực tiếp thiết bị ma thuật của họ với máy rút tiền; để trích tất cả số tiền có sẵn từ nó. Cuộc tấn công này bỏ qua tất cả phần mềm bảo mật được triển khai trên máy chủ ATM (phần mềm chống vi-rút, giám sát tính toàn vẹn, mã hóa toàn bộ ổ đĩa, v.v.).
“Hộp đen” dựa trên Raspberry Pi
Các nhà sản xuất ATM lớn nhất và các cơ quan tình báo chính phủ phải đối mặt với một số cách triển khai "hộp đen", rằng những chiếc máy tính thông minh này khiến máy ATM rút hết tiền mặt có sẵn; 40 tờ tiền cứ sau 20 giây. Các dịch vụ an ninh cũng cảnh báo rằng các chủ thẻ thường nhắm tới các máy ATM ở các hiệu thuốc và trung tâm mua sắm; và cả các máy ATM phục vụ người lái xe khi đang di chuyển.
Đồng thời, để không xuất hiện trước ống kính, những người đánh bài thận trọng nhất phải nhờ đến sự giúp đỡ của một đối tác không mấy giá trị, một con la. Và để anh ta không thể chiếm đoạt “hộp đen” cho riêng mình, họ sử dụng . Họ loại bỏ chức năng chính khỏi “hộp đen” và kết nối điện thoại thông minh với nó, được sử dụng làm kênh để truyền lệnh từ xa đến “hộp đen” rút gọn thông qua giao thức IP.
Sửa đổi “hộp đen”, kích hoạt thông qua truy cập từ xa
Điều này trông như thế nào từ quan điểm của các chủ ngân hàng? Trong các bản ghi từ máy quay video, điều tương tự xảy ra: một người nào đó mở ngăn trên (khu vực dịch vụ), kết nối “chiếc hộp thần kỳ” với máy ATM, đóng ngăn trên và rời đi. Một lúc sau, một số người, dường như là khách hàng bình thường, đến gần máy ATM và rút số tiền khổng lồ. Sau đó, chủ thẻ quay lại và lấy thiết bị ma thuật nhỏ của mình từ máy ATM. Điển hình, vụ tấn công ATM bằng “hộp đen” chỉ được phát hiện sau vài ngày: khi két rỗng và nhật ký rút tiền không khớp nhau. Kết quả là nhân viên ngân hàng chỉ có thể .
Phân tích truyền thông ATM
Như đã lưu ý ở trên, sự tương tác giữa đơn vị hệ thống và các thiết bị ngoại vi được thực hiện thông qua USB, RS232 hoặc SDC. Carder kết nối trực tiếp với cổng của thiết bị ngoại vi và gửi lệnh tới nó - bỏ qua máy chủ. Điều này khá đơn giản vì giao diện tiêu chuẩn không yêu cầu bất kỳ trình điều khiển cụ thể nào. Và các giao thức độc quyền mà thiết bị ngoại vi và máy chủ tương tác không yêu cầu ủy quyền (xét cho cùng, thiết bị được đặt bên trong vùng đáng tin cậy); và do đó, các giao thức không an toàn này, qua đó thiết bị ngoại vi và máy chủ giao tiếp, dễ bị nghe lén và dễ bị tấn công lặp lại.
Cái đó. Chủ thẻ có thể sử dụng bộ phân tích lưu lượng phần mềm hoặc phần cứng, kết nối trực tiếp với cổng của một thiết bị ngoại vi cụ thể (ví dụ: đầu đọc thẻ) để thu thập dữ liệu được truyền. Bằng cách sử dụng máy phân tích lưu lượng, chủ thẻ tìm hiểu tất cả các chi tiết kỹ thuật về hoạt động của ATM, bao gồm các chức năng không có giấy tờ của các thiết bị ngoại vi (ví dụ: chức năng thay đổi chương trình cơ sở của thiết bị ngoại vi). Kết quả là chủ thẻ có toàn quyền kiểm soát máy ATM. Đồng thời, khá khó để phát hiện sự hiện diện của máy phân tích lưu lượng.
Kiểm soát trực tiếp đối với máy phân phối tiền giấy có nghĩa là các băng ATM có thể được làm trống mà không có bất kỳ ghi chép nào vào nhật ký, thường được nhập bởi phần mềm được triển khai trên máy chủ. Đối với những người không quen thuộc với kiến trúc phần cứng và phần mềm ATM, nó thực sự có thể trông giống như một phép thuật.
Hộp đen đến từ đâu?
Các nhà cung cấp ATM và nhà thầu phụ đang phát triển các tiện ích gỡ lỗi để chẩn đoán phần cứng ATM, bao gồm cả cơ điện chịu trách nhiệm rút tiền mặt. Trong số các tiện ích này: , . Hình dưới đây cho thấy thêm một số tiện ích chẩn đoán như vậy.
Bảng điều khiển ATMDesk
Bảng điều khiển XFS ATM RapidFire
Đặc điểm so sánh của một số tiện ích chẩn đoán
Quyền truy cập vào các tiện ích như vậy thường bị giới hạn ở các mã thông báo được cá nhân hóa; và chúng chỉ hoạt động khi cửa két sắt ATM mở. Tuy nhiên, chỉ cần thay thế một vài byte trong mã nhị phân của tiện ích, người viết thẻ Rút tiền mặt "thử nghiệm" - bỏ qua séc do nhà sản xuất tiện ích cung cấp. Chủ thẻ cài đặt các tiện ích được sửa đổi như vậy trên máy tính xách tay hoặc máy vi tính bảng đơn của họ, sau đó được kết nối trực tiếp với máy rút tiền để thực hiện rút tiền mặt trái phép.
“Chặng cuối” và trung tâm xử lý giả
Tương tác trực tiếp với ngoại vi, không liên lạc với chủ nhà, chỉ là một trong những kỹ thuật đánh bài hiệu quả. Các kỹ thuật khác dựa trên thực tế là chúng ta có nhiều giao diện mạng khác nhau mà qua đó ATM giao tiếp với thế giới bên ngoài. Từ X.25 đến Ethernet và mạng di động. Nhiều máy ATM có thể được xác định và bản địa hóa bằng dịch vụ Shodan (hướng dẫn ngắn gọn nhất về việc sử dụng dịch vụ này được trình bày ), – với cuộc tấn công tiếp theo khai thác cấu hình bảo mật dễ bị tổn thương, sự lười biếng của quản trị viên và thông tin liên lạc dễ bị tổn thương giữa các bộ phận khác nhau của ngân hàng.
Giao tiếp “dặm cuối” giữa ATM và trung tâm xử lý có rất nhiều công nghệ có thể đóng vai trò là điểm truy cập cho chủ thẻ. Tương tác có thể được thực hiện thông qua phương thức liên lạc có dây (đường dây điện thoại hoặc Ethernet) hoặc không dây (Wi-Fi, di động: CDMA, GSM, UMTS, LTE). Các cơ chế bảo mật có thể bao gồm: 1) phần cứng hoặc phần mềm hỗ trợ VPN (cả hai đều là tiêu chuẩn, được tích hợp trong HĐH và từ bên thứ ba); 2) SSL/TLS (cả hai đều dành riêng cho một kiểu máy ATM cụ thể và từ các nhà sản xuất bên thứ ba); 3) mã hóa; 4) xác thực tin nhắn.
Nhưng rằng đối với các ngân hàng, các công nghệ được liệt kê có vẻ rất phức tạp và do đó họ không bận tâm đến việc bảo vệ mạng đặc biệt; hoặc họ thực hiện nó có lỗi. Trong trường hợp tốt nhất, ATM giao tiếp với máy chủ VPN và đã kết nối với trung tâm xử lý trong mạng riêng. Ngoài ra, ngay cả khi các ngân hàng cố gắng thực hiện các cơ chế bảo vệ được liệt kê ở trên, chủ thẻ đã có những cuộc tấn công hiệu quả chống lại chúng. Cái đó. Ngay cả khi bảo mật tuân thủ tiêu chuẩn PCI DSS, máy ATM vẫn dễ bị tấn công.
Một trong những yêu cầu cốt lõi của PCI DSS là tất cả dữ liệu nhạy cảm phải được mã hóa khi truyền qua mạng công cộng. Và chúng tôi thực sự có các mạng được thiết kế ban đầu theo cách dữ liệu trong đó được mã hóa hoàn toàn! Vì vậy, thật hấp dẫn khi nói: “Dữ liệu của chúng tôi được mã hóa vì chúng tôi sử dụng Wi-Fi và GSM”. Tuy nhiên, nhiều mạng trong số này không cung cấp đủ bảo mật. Mạng di động của mọi thế hệ đã bị hack từ lâu. Cuối cùng và không thể thay đổi. Và thậm chí có những nhà cung cấp còn cung cấp các thiết bị chặn dữ liệu được truyền qua chúng.
Do đó, trong giao tiếp không an toàn hoặc trong mạng “riêng tư”, trong đó mỗi máy ATM tự phát sóng đến các máy ATM khác, một cuộc tấn công “trung tâm xử lý giả” MiTM có thể được bắt đầu - điều này sẽ dẫn đến việc chủ thẻ chiếm quyền kiểm soát các luồng dữ liệu được truyền giữa ATM và trung tâm xử lý.
Hàng nghìn máy ATM có khả năng bị ảnh hưởng. Trên đường đến trung tâm xử lý chính hãng, thẻ giả của chính mình được đưa vào. Trung tâm xử lý giả này đưa ra lệnh cho máy ATM phân phát tiền giấy. Trong trường hợp này, chủ thẻ định cấu hình trung tâm xử lý của mình theo cách tiền mặt được phát hành bất kể thẻ nào được đưa vào ATM - ngay cả khi thẻ đó đã hết hạn hoặc có số dư bằng 0. Cái chính là trung tâm xử lý giả mạo “nhận ra” nó. Trung tâm xử lý giả có thể là sản phẩm tự chế hoặc mô phỏng trung tâm xử lý, ban đầu được thiết kế để gỡ lỗi cài đặt mạng (một món quà khác từ “nhà sản xuất” dành cho chủ thẻ).
Trong hình ảnh sau đây kết xuất lệnh phát hành 40 tờ tiền từ băng cassette thứ tư - được gửi từ một trung tâm xử lý giả và được lưu trong nhật ký phần mềm ATM. Chúng trông gần như thật.
Lệnh kết xuất của một trung tâm xử lý giả mạo
Nguồn: www.habr.com