Стоящие на улицах города железные коробки с деньгами не могут не привлекать внимание любителей быстрой наживы. И если раньше для опустошения банкоматов применяли чисто физические методы, то теперь в ход идут все более искусные трюки, связанные с компьютерами. Сейчас наиболее актуальный из них — это «черный ящик» с одноплатным микрокомпьютером внутри. О том, как он работает, мы и поговорим в этой статье.
Начальник международной ассоциации производителей банкоматов (ATMIA)
Типичный банкомат – это набор уже готовых электромеханических компонентов, размещённых в одном корпусе. Производители банкоматов строят свои железные творения из устройства выдачи банкнот, считывателя карт и других компонентов, – уже разработанных сторонними поставщиками. Этакий конструктор LEGO для взрослых. Готовые компоненты размещаются в корпусе банкомата, который обычно состоит из двух отсеков: верхний отсек («кабинет» или «зона обслуживания»), и нижний отсек (сейф). Все электромеханические компоненты подключены через порты USB и COM к системному блоку, который в данном случае выполняет роль хоста. На старых моделях банкоматов также можно встретить соединения через SDC-шину.
Эволюция банкоматного кардинга
Банкоматы с огромными суммами внутри, неизменно манят кардеров к себе. Сначала кардеры эксплуатировали только грубые физические недостатки защиты банкоматов – использовали скиммеры и шиммеры для кражи данных с магнитных полос; поддельные пин-пады и камеры для просмотра пинкодов; и даже поддельные банкоматы.
Затем, когда банкоматы начали оснащаться унифицированным софтом, работающим по единым стандартам, таким как XFS (eXtensions for Financial Services), – кардеры начали атаковать банкоматы компьютерными вирусами.
Среди них Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii и другие многочисленные именованные и безымянные зловреды, которых кардеры подсаживают на хост банкомата либо через загрузочную флешку, либо через TCP-порт удалённого управления.
Процесс заражения банкомата
Захватив XFS-подсистему, малварь может отдавать команды устройству выдачи банкнот, без авторизации. Или отдавать команды картридеру: читать/писать магнитную полосу банковской карты и даже извлекать историю транзакций, хранящуюся на чипе EMV-карты. Особого внимания заслуживает EPP (Encrypting PIN Pad; шифрованный пинпад). Принято считать, что вводимый на нём пинкод, не может быть перехвачен. Однако XFS позволяет использовать EPP-пинпад в двух режимах: 1) открытый режим (для ввода различных числовых параметров, таких как сумма подлежащая обналичиванию); 2) безопасный режим (в него EPP переключается, когда надо ввести пинкод или ключ шифрования). Данная особенность XFS позволяет кардеру осуществлять MiTM-атаку: перехватить команду активации безопасного режима, которая отправляется с хоста на EPP, и затем сообщить EPP-пинпаду, что работу следует продолжить в открытом режиме. В ответ на это сообщение, EPP отправляет нажатия клавиш, открытым текстом.
Принцип действия «чёрного ящика»
Trong những năm gần đây,
Атака на банкомат через удалённый доступ
Антивирусы, блокировка обновления прошивки, блокировка USB-портов и шифрование жёсткого диска – до некоторой степени защищают банкомат от вирусных атак кардеров. Но что если кардер не хост атакует, а напрямую к периферии подключается (через RS232 или USB) – к считывателю карт, пин-паду или устройству выдачи наличных?
Первое знакомство с «чёрным ящиком»
Сегодня технически подкованные кардеры
«Чёрный ящик» на базе Raspberry Pi
Крупнейшие производители банкоматов и правительственные спецслужбы, столкнувшись с несколькими реализациями «чёрного ящика»,
При этом, чтобы не светиться перед камерами, наиболее осторожные кардеры берут на помощь какого-нибудь не слишком ценного партнёра, мула. А чтобы тот не смог присвоить «чёрный ящик» себе, используют
Модификация «чёрного ящика», с активацией через удалённый доступ
Как это выглядит с точки зрения банкиров? На записях с видеокамер-фиксаторов происходит примерно следующее: некая личность вскрывает верхний отсек (зону обслуживания), подключает к банкомату «волшебный ящик», закрывает верхний отсек и уходит. Немного погодя несколько человек, на вид обычные клиенты, подходят к банкомату, и снимают огромные суммы денег. Затем кардер возвращается и извлекает из банкомата своё маленькое волшебное устройство. Обычно факт атаки банкомата «чёрным ящиком» обнаруживается только через несколько дней: когда пустой сейф и журнал снятия наличных – не совпадают. В результате сотрудникам банка остаётся только
Анализ банкоматных коммуникаций
Как уже отмечалось выше, взаимодействие между системным блоком и периферийными устройствами осуществляется посредством USB, RS232 или SDC. Кардер подключается непосредственно к порту периферийного устройства и отправляет ему команды – в обход хоста. Это довольно просто, потому что стандартные интерфейсы не требуют каких-то специфических драйверов. А проприетарные протоколы, по которым периферия и хост взаимодействуют, не требуют авторизации (ведь устройство же внутри доверенной зоны находится); и поэтому эти незащищённые протоколы, по которым периферия и хост взаимодействуют – легко прослушиваются и легко поддаются атаке воспроизведения.
Т.о. кардеры могут использовать программный или аппаратный анализатор трафика, подключая его напрямую к порту конкретного периферийного устройства (например, к считывателю карт) – для сбора передаваемых данных. Пользуясь анализатором трафика, кардер узнаёт все технические подробности работы банкомата, в том числе недокументированные функции его периферии (например, функция изменения прошивки периферийного устройства). В результате кардер получает полный контроль над банкоматом. При этом, обнаружить наличие анализатора трафика довольно-таки трудно.
Прямой контроль над устройством выдачи банкнот означает, что кассеты банкомата – могут быть опустошены без какой-либо фиксации в логах, которые в штатном режиме вносит софт, развёрнутый на хосте. Для тех, кто не знаком с программно-аппаратной архитектурой банкомата, это действительно как магия может выглядеть.
Откуда берутся «чёрные ящики»?
Поставщики банкоматов и субподрядчики разрабатывают отладочные утилиты для диагностики аппаратной части банкомата, – в том числе электромеханики, отвечающей за снятие наличных. Среди таких утилит:
Панель управления ATMDesk
Панель управления RapidFire ATM XFS
Сравнительные характеристики нескольких диагностических утилит
Доступ к подобным утилитам в норме ограничен персонализированными токенами; и работают они только при открытой дверце банкоматного сейфа. Однако просто заменив в бинарном коде утилиты несколько байт, кардеры
«Последняя миля» и поддельный процессинговый центр
Прямое взаимодействие с периферией, без общения с хостом – это только один из эффективных приёмов кардинга. Другие приёмы полагаются на тот факт, что у нас есть широкое разнообразие сетевых интерфейсов, через которые банкомат связывается с внешним миром. От X.25 до Ethernet и сотовой связи. Многие банкоматы могут быть идентифицированы и локализованы посредством сервиса Shodan (наиболее лаконичная инструкция по его использованию представлена
«Последняя миля» связи между банкоматом и процессинговым центром, богата самыми разнообразными технологиями, которые могут служить точкой входа для кардера. Взаимодействие может осуществляться посредством проводного (телефонная линия или Ethernet) или беспроводного (Wi-Fi, сотовая связь: CDMA, GSM, UMTS, LTE) способа связи. Механизмы безопасности могут включать в себя: 1) аппаратные или программные средства для поддержки VPN (как стандартные, встроенные в ОС, так и от сторонних производителей); 2) SSL/TLS (как специфичные для конкретной модели банкомата, так и от сторонних производителей); 3) шифрование; 4) аутентификация сообщений.
Nhưng
Одно из основных требований PCI DSS: все конфиденциальные данные, когда они передаются через общедоступную сеть, должны быть зашифрованы. И ведь у нас действительно есть сети, которые изначально были спроектированы так, что в них данные полностью зашифрованы! Поэтому есть соблазн сказать: «У нас данные зашифрованы, потому что мы используем Wi-Fi и GSM». Однако многие из этих сетей не обеспечивают достаточной защиты. Сотовые сети всех поколений уже давно взломаны. Окончательно и бесповоротно. И даже есть поставщики, которые предлагают устройства для перехвата передаваемых по ним данных.
Поэтому либо в небезопасной коммуникации, либо в «приватной» сети, где каждый банкомат широковещает о себе другим банкоматам, может быть инициирована MiTM-атака «поддельный процессинговый центр», – которая приведёт к тому, что кардер захватит контроль над потоками данных, передаваемыми между банкоматом и процессинговым центром.
На следующем рисунке
Дамп команд поддельного процессингового центра
Nguồn: www.habr.com