城市街头矗立着装有钱的铁箱,不禁吸引了爱赚快钱的人的注意。 如果以前纯粹使用物理方法来清空ATM机,那么现在越来越多熟练的计算机相关技巧正在被使用。 现在最相关的是一个里面有单板微机的“黑匣子”。 我们将在本文中讨论它是如何工作的。
国际ATM制造商协会(ATMIA)负责人 “黑匣子”是 ATM 机面临的最危险的威胁。
典型的 ATM 是安装在一个外壳中的一组现成的机电组件。 ATM 制造商利用提款机、读卡器和第三方供应商已经开发的其他组件来构建自己的硬件产品。 一种适合成人的乐高构造器。 成品部件放置在 ATM 机体内,ATM 机体通常由两个隔室组成:上隔室(“柜子”或“服务区”)和下隔室(保险柜)。 所有机电组件均通过 USB 和 COM 端口连接到系统单元,在本例中系统单元充当主机。 在较旧的 ATM 型号上,您还可以通过 SDC 总线找到连接。
ATM 刷卡的演变
自动柜员机里存有巨额金额,总是吸引着刷卡者。 起初,刷卡者只利用了 ATM 保护的严重物理缺陷——他们使用窃取器和闪光器从磁条中窃取数据; 用于查看密码的假密码键盘和摄像头; 甚至还有假 ATM 机。
然后,当ATM机开始配备按照通用标准运行的统一软件,例如XFS(金融服务扩展)时,刷卡者开始用计算机病毒攻击ATM机。
其中包括Trojan.Skimmer、Backdoor.Win32.Skimer、Ploutus、ATMii以及其他众多已命名和未命名的恶意软件,这些恶意软件通过可启动的USB闪存驱动器或通过TCP远程控制端口植入ATM主机。
ATM机感染过程
捕获 XFS 子系统后,恶意软件可以在未经授权的情况下向钞票机发出命令。 或者向读卡器发出命令:读/写银行卡的磁条,甚至检索存储在 EMV 卡芯片上的交易历史记录。 EPP(加密密码键盘)值得特别关注。 人们普遍认为,在其上输入的 PIN 码无法被拦截。 然而,XFS允许您以两种模式使用EPP密码键盘:1)开放模式(用于输入各种数字参数,例如要兑现的金额); 2) 安全模式(当需要输入 PIN 码或加密密钥时,EPP 会切换到该模式)。 XFS 的这一功能允许卡者进行 MiTM 攻击:拦截从主机发送到 EPP 的安全模式激活命令,然后通知 EPP pinpad 它应该继续在开放模式下工作。 为了响应此消息,EPP 以明文形式发送击键。
“黑匣子”的工作原理
近年来, 欧洲刑警组织 ATM 恶意软件已发生显着演变。 持卡人不再需要亲自接触 ATM 机即可感染病毒。 他们可以利用银行的企业网络通过远程网络攻击来感染 ATM。 IB组称,2016年欧洲10多个国家的ATM机遭受远程攻击。
通过远程访问攻击 ATM
防病毒、阻止固件更新、阻止 USB 端口以及加密硬盘——在一定程度上保护 ATM 免受刷卡者的病毒攻击。 但是,如果发卡机不攻击主机,而是直接连接到外围设备(通过 RS232 或 USB)——读卡器、密码键盘或自动提款机,会怎样呢?
第一次认识“黑匣子”
当今精通技术的卡片机 ,利用所谓的ATM机盗取现金。 “黑匣子”是专门编程的单板微型计算机,例如 Raspberry Pi。 “黑匣子”以一种完全神奇(从银行家的角度来看)的方式完全清空了 ATM 机。 刷卡者将他们的魔法装置直接连接到钞票分配器; 从中提取所有可用的资金。 这种攻击绕过了 ATM 主机上部署的所有安全软件(防病毒、完整性监控、全盘加密等)。
基于Raspberry Pi的“黑匣子”
最大的ATM制造商和政府情报机构,面临着多次实施的“黑匣子”, 这些聪明的计算机诱导自动柜员机吐出所有可用的现金; 每40秒20张钞票。 安全部门还警告说,刷卡者最常瞄准的是药店和购物中心的 ATM 机; 以及为旅途中的驾车者提供服务的 ATM 机。
与此同时,为了不出现在镜头前,最谨慎的梳理者需要一些不太有价值的伙伴——骡子的帮助。 为了让他无法将“黑匣子”据为己有,他们使用 。 他们从“黑匣子”中删除了关键功能,并将智能手机连接到其上,该智能手机用作通过 IP 协议向精简的“黑匣子”远程传输命令的通道。
修改“黑匣子”,通过远程访问激活
从银行家的角度来看,这是什么样的? 在摄像机的记录中,会发生这样的事情:某个人打开上层隔间(服务区),将“魔盒”连接到 ATM,关闭上层隔间并离开。 过了一会儿,几个看似普通顾客的人走近ATM机,提取了巨额资金。 然后卡片员返回并从自动提款机取回他的小魔法装置。 通常情况下,“黑匣子”对 ATM 机进行攻击的事实只有在几天后才会被发现:当空的保险箱与现金提取日志不匹配时。 因此,银行员工只能 .
ATM 通信分析
如上所述,系统单元和外围设备之间的交互是通过USB、RS232或SDC进行的。 发卡器直接连接到外围设备的端口并向其发送命令 - 绕过主机。 这非常简单,因为标准接口不需要任何特定的驱动程序。 并且外设和主机交互的专有协议不需要授权(毕竟设备位于受信任区域内); 因此,外设和主机通过这些不安全的协议进行通信,很容易被窃听,并且很容易受到重放攻击。
那。 发卡者可以使用软件或硬件流量分析器,将其直接连接到特定外围设备(例如读卡器)的端口来收集传输的数据。 使用流量分析器,卡片员可以了解 ATM 操作的所有技术细节,包括其外围设备未记录的功能(例如,更改外围设备固件的功能)。 结果,卡片持有者获得了对 ATM 的完全控制。 同时,检测流量分析器的存在是相当困难的。
对钞票分配器的直接控制意味着可以清空 ATM 钞箱,而无需在日志中进行任何记录,日志通常由主机上部署的软件输入。 对于那些不熟悉 ATM 硬件和软件架构的人来说,它确实看起来很神奇。
黑匣子从哪里来?
ATM 供应商和分包商正在开发调试实用程序来诊断 ATM 硬件,包括负责现金提取的电气机械师。 这些实用程序包括: , 。 下图显示了更多此类诊断实用程序。
ATMDesk 控制面板
RapidFire ATM XFS 控制面板
几种诊断工具的比较特征
对此类实用程序的访问通常仅限于个性化代币; 它们仅在 ATM 保险箱门打开时起作用。 然而,只需替换该实用程序的二进制代码中的几个字节,carders “测试”现金提取 - 绕过公用事业制造商提供的支票。 发卡者在笔记本电脑或单板微型计算机上安装此类修改后的实用程序,然后将其直接连接到钞票出钞机以进行未经授权的现金提取。
“最后一公里”与假冒加工中心
与外围设备直接交互,而不与主机通信,只是有效的梳理技术之一。 其他技术依赖于这样一个事实:ATM 通过多种网络接口与外界进行通信。 从 X.25 到以太网和蜂窝。 许多 ATM 可以使用 Shodan 服务进行识别和本地化(提供了最简洁的使用说明) ), – 随后的攻击利用了脆弱的安全配置、管理员的懒惰以及银行各部门之间脆弱的通信。
ATM 和处理中心之间的“最后一英里”通信富含多种技术,可以作为卡片机的切入点。 交互可以通过有线(电话线或以太网)或无线(Wi-Fi、蜂窝:CDMA、GSM、UMTS、LTE)通信方法进行。 安全机制可能包括: 1) 支持 VPN 的硬件或软件(都是标准的、内置于操作系统中的以及来自第三方的); 2) SSL/TLS(均特定于特定 ATM 型号且来自第三方制造商); 3)加密; 4)消息认证。
然而 对于银行来说,列出的技术似乎非常复杂,因此他们不会为特殊的网络保护而烦恼; 或者他们实施时出错。 在最好的情况下,ATM 与 VPN 服务器通信,并且已经在专用网络内连接到处理中心。 此外,即使银行设法实施上述保护机制,发卡者也已经对其进行了有效的攻击。 那。 即使安全性符合 PCI DSS 标准,ATM 仍然容易受到攻击。
PCI DSS 的核心要求之一是所有敏感数据在公共网络上传输时必须加密。 事实上,我们的网络最初的设计方式就是其中的数据完全加密! 因此,人们很容易会说:“我们的数据是加密的,因为我们使用 Wi-Fi 和 GSM。” 然而,其中许多网络没有提供足够的安全性。 各代蜂窝网络长期以来都遭到黑客攻击。 最终且不可挽回。 甚至有供应商提供拦截通过其传输的数据的设备。
因此,无论是在不安全的通信中,还是在“专用”网络中,每台 ATM 都向其他 ATM 广播自己,都可以发起 MiTM“假处理中心”攻击,这将导致发卡者夺取对 ATM 之间传输的数据流的控制权。 ATM 和处理中心。
数以千计的 ATM 机可能会受到影响。 在前往正品加工中心的路上,卡德尔插入了他自己的假货。 这个假处理中心向 ATM 发出指令来分发钞票。 在这种情况下,发卡机构将其处理中心配置为无论将哪张卡插入 ATM,即使该卡已过期或余额为零,都会发放现金。 最主要的是假冒加工中心“认”它了。 假冒的处理中心可以是自制产品,也可以是处理中心模拟器,最初是为了调试网络设置而设计的(“制造商”给卡片者的另一份礼物)。
在下图中 从第四个钞箱发行 40 张钞票的命令转储 - 从假处理中心发送并存储在 ATM 软件日志中。 它们看起来几乎是真的。
假处理中心的命令转储
来源: habr.com