Стоящие на улицах города железные коробки с деньгами не могут не привлекать внимание любителей быстрой наживы. И если раньше для опустошения банкоматов применяли чисто физические методы, то теперь в ход идут все более искусные трюки, связанные с компьютерами. Сейчас наиболее актуальный из них — это «черный ящик» с одноплатным микрокомпьютером внутри. О том, как он работает, мы и поговорим в этой статье.
Начальник международной ассоциации производителей банкоматов (ATMIA) выделил «чёрные ящики» как наиболее опасную угрозу для банкоматов.
Типичный банкомат – это набор уже готовых электромеханических компонентов, размещённых в одном корпусе. Производители банкоматов строят свои железные творения из устройства выдачи банкнот, считывателя карт и других компонентов, – уже разработанных сторонними поставщиками. Этакий конструктор LEGO для взрослых. Готовые компоненты размещаются в корпусе банкомата, который обычно состоит из двух отсеков: верхний отсек («кабинет» или «зона обслуживания»), и нижний отсек (сейф). Все электромеханические компоненты подключены через порты USB и COM к системному блоку, который в данном случае выполняет роль хоста. На старых моделях банкоматов также можно встретить соединения через SDC-шину.
Эволюция банкоматного кардинга.
Банкоматы с огромными суммами внутри, неизменно манят кардеров к себе. Сначала кардеры эксплуатировали только грубые физические недостатки защиты банкоматов – использовали скиммеры и шиммеры для кражи данных с магнитных полос; поддельные пин-пады и камеры для просмотра пинкодов; и даже поддельные банкоматы.
Затем, когда банкоматы начали оснащаться унифицированным софтом, работающим по единым стандартам, таким как XFS (eXtensions for Financial Services), – кардеры начали атаковать банкоматы компьютерными вирусами.
Среди них Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii и другие многочисленные именованные и безымянные зловреды, которых кардеры подсаживают на хост банкомата либо через загрузочную флешку, либо через TCP-порт удалённого управления.
Процесс заражения банкомата.
Захватив XFS-подсистему, малварь может отдавать команды устройству выдачи банкнот, без авторизации. Или отдавать команды картридеру: читать/писать магнитную полосу банковской карты и даже извлекать историю транзакций, хранящуюся на чипе EMV-карты. Особого внимания заслуживает EPP (Encrypting PIN Pad; шифрованный пинпад). Принято считать, что вводимый на нём пинкод, не может быть перехвачен. Однако XFS позволяет использовать EPP-пинпад в двух режимах: 1) открытый режим (для ввода различных числовых параметров, таких как сумма подлежащая обналичиванию); 2) безопасный режим (в него EPP переключается, когда надо ввести пинкод или ключ шифрования). Данная особенность XFS позволяет кардеру осуществлять MiTM-атаку: перехватить команду активации безопасного режима, которая отправляется с хоста на EPP, и затем сообщить EPP-пинпаду, что работу следует продолжить в открытом режиме. В ответ на это сообщение, EPP отправляет нажатия клавиш, открытым текстом.
Принцип действия «чёрного ящика».
В последние годы, по данным Европола, вредоносы для банкоматов заметно эволюционировали. Кардерам теперь не обязательно иметь физический доступ к банкомату, чтобы заразить его. Они могут заражать банкоматы посредством удалённых сетевых атак, используя для этого корпоративную сеть банка. По данным Group IB, в 2016 году в более чем 10 странах Европы, банкоматы были подвержены дистанционному нападению.
Атака на банкомат через удалённый доступ.
Антивирусы, блокировка обновления прошивки, блокировка USB-портов и шифрование жёсткого диска – до некоторой степени защищают банкомат от вирусных атак кардеров. Но что если кардер не хост атакует, а напрямую к периферии подключается (через RS232 или USB) – к считывателю карт, пин-паду или устройству выдачи наличных?
Первое знакомство с «чёрным ящиком»
Сегодня технически подкованные кардеры поступают именно так, используя для кражи наличных из банкомата т.н. «чёрные ящики», – специфически запрограммированные одноплатные микрокомпьютеры, наподобие Raspberry Pi. «Чёрные ящики» опустошают банкоматы подчистую, совершенно волшебным (с точки зрения банкиров) образом. Кардеры подключают своё волшебное устройство напрямую к устройству выдачи банкнот; для извлечения из него всех имеющихся денег. Такая атака действует в обход всех программных средств защиты, развёрнутых на хосте банкомата (антивирусы, контроль целостности, полное шифрование диска и т.п.).
«Чёрный ящик» на базе Raspberry Pi.
Крупнейшие производители банкоматов и правительственные спецслужбы, столкнувшись с несколькими реализациями «чёрного ящика», предупреждают, что эти хитроумные компьютеры побуждают банкоматы выплёвывать все доступные наличные; по 40 банкнот каждые 20 секунд. Также спецслужбы предупреждают, что кардеры чаще всего нацеливаются на банкоматы в аптеках, торговых центрах; и также на банкоматы, которые обслуживают автомобилистов «на ходу».
При этом, чтобы не светиться перед камерами, наиболее осторожные кардеры берут на помощь какого-нибудь не слишком ценного партнёра, мула. А чтобы тот не смог присвоить «чёрный ящик» себе, используют следующую схему. Убирают из «чёрного ящика» ключевую функциональность и подключают к нему смартфон, который используют в качестве канала для дистанционной передачи команд урезанному «чёрному ящику», по IP-протоколу.
Модификация «чёрного ящика», с активацией через удалённый доступ.
Как это выглядит с точки зрения банкиров? На записях с видеокамер-фиксаторов происходит примерно следующее: некая личность вскрывает верхний отсек (зону обслуживания), подключает к банкомату «волшебный ящик», закрывает верхний отсек и уходит. Немного погодя несколько человек, на вид обычные клиенты, подходят к банкомату, и снимают огромные суммы денег. Затем кардер возвращается и извлекает из банкомата своё маленькое волшебное устройство. Обычно факт атаки банкомата «чёрным ящиком» обнаруживается только через несколько дней: когда пустой сейф и журнал снятия наличных – не совпадают. В результате сотрудникам банка остаётся только чесать затылки.
Откуда берутся «чёрные ящики»?
Поставщики банкоматов и субподрядчики разрабатывают отладочные утилиты для диагностики аппаратной части банкомата, – в том числе электромеханики, отвечающей за снятие наличных. Среди таких утилит: ATMDesk, RapidFire ATM XFS. На рисунке ниже представлены ещё несколько таких диагностических утилит.
Панель управления ATMDesk.
Панель управления RapidFire ATM XFS.
Таким атакам потенциально подвержены тысячи банкоматов. На пути к подлинному процессинговому центру – кардрер вставляет свой, поддельный. Этот поддельный процессинговый центр даёт банкомату команды на выдачу банкнот. При этом кардер настраивает свой процессинговый центр таким образом, чтобы выдача наличных происходила вне зависимости от того, какая карта вставляется в банкомат – даже если срок её действия истёк, или на ней нулевой баланс. Главное, чтобы поддельный процессинговый центр «узнал» её. В качестве поддельного процессингового центра может быть либо кустарная поделка, либо симулятор процессингового центра, изначально разработанный для отладки сетевых настроек (ещё один подарок «производителя» – кардерам).
На следующем рисунке приведён дамп команд на выдачу 40 банкнот из четвёртой кассеты, – отправленных из поддельного процессингового центра и хранящихся в журналах ATM-софта. Они выглядят почти как настоящие.
Дамп команд поддельного процессингового центра
Удачных вбивов, да и просто удачи, друг!
Cтатья написана только для образовательных целей. Автор не публиковал эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор не несёт ответственность за любой причиненный вред или ущерб.
Начальник международной ассоциации производителей банкоматов (ATMIA) выделил «чёрные ящики» как наиболее опасную угрозу для банкоматов.
Типичный банкомат – это набор уже готовых электромеханических компонентов, размещённых в одном корпусе. Производители банкоматов строят свои железные творения из устройства выдачи банкнот, считывателя карт и других компонентов, – уже разработанных сторонними поставщиками. Этакий конструктор LEGO для взрослых. Готовые компоненты размещаются в корпусе банкомата, который обычно состоит из двух отсеков: верхний отсек («кабинет» или «зона обслуживания»), и нижний отсек (сейф). Все электромеханические компоненты подключены через порты USB и COM к системному блоку, который в данном случае выполняет роль хоста. На старых моделях банкоматов также можно встретить соединения через SDC-шину.
Эволюция банкоматного кардинга.
Банкоматы с огромными суммами внутри, неизменно манят кардеров к себе. Сначала кардеры эксплуатировали только грубые физические недостатки защиты банкоматов – использовали скиммеры и шиммеры для кражи данных с магнитных полос; поддельные пин-пады и камеры для просмотра пинкодов; и даже поддельные банкоматы.
Затем, когда банкоматы начали оснащаться унифицированным софтом, работающим по единым стандартам, таким как XFS (eXtensions for Financial Services), – кардеры начали атаковать банкоматы компьютерными вирусами.
Среди них Trojan.Skimmer, Backdoor.Win32.Skimer, Ploutus, ATMii и другие многочисленные именованные и безымянные зловреды, которых кардеры подсаживают на хост банкомата либо через загрузочную флешку, либо через TCP-порт удалённого управления.
Процесс заражения банкомата.
Захватив XFS-подсистему, малварь может отдавать команды устройству выдачи банкнот, без авторизации. Или отдавать команды картридеру: читать/писать магнитную полосу банковской карты и даже извлекать историю транзакций, хранящуюся на чипе EMV-карты. Особого внимания заслуживает EPP (Encrypting PIN Pad; шифрованный пинпад). Принято считать, что вводимый на нём пинкод, не может быть перехвачен. Однако XFS позволяет использовать EPP-пинпад в двух режимах: 1) открытый режим (для ввода различных числовых параметров, таких как сумма подлежащая обналичиванию); 2) безопасный режим (в него EPP переключается, когда надо ввести пинкод или ключ шифрования). Данная особенность XFS позволяет кардеру осуществлять MiTM-атаку: перехватить команду активации безопасного режима, которая отправляется с хоста на EPP, и затем сообщить EPP-пинпаду, что работу следует продолжить в открытом режиме. В ответ на это сообщение, EPP отправляет нажатия клавиш, открытым текстом.
Принцип действия «чёрного ящика».
В последние годы, по данным Европола, вредоносы для банкоматов заметно эволюционировали. Кардерам теперь не обязательно иметь физический доступ к банкомату, чтобы заразить его. Они могут заражать банкоматы посредством удалённых сетевых атак, используя для этого корпоративную сеть банка. По данным Group IB, в 2016 году в более чем 10 странах Европы, банкоматы были подвержены дистанционному нападению.
Атака на банкомат через удалённый доступ.
Антивирусы, блокировка обновления прошивки, блокировка USB-портов и шифрование жёсткого диска – до некоторой степени защищают банкомат от вирусных атак кардеров. Но что если кардер не хост атакует, а напрямую к периферии подключается (через RS232 или USB) – к считывателю карт, пин-паду или устройству выдачи наличных?
Первое знакомство с «чёрным ящиком»
Сегодня технически подкованные кардеры поступают именно так, используя для кражи наличных из банкомата т.н. «чёрные ящики», – специфически запрограммированные одноплатные микрокомпьютеры, наподобие Raspberry Pi. «Чёрные ящики» опустошают банкоматы подчистую, совершенно волшебным (с точки зрения банкиров) образом. Кардеры подключают своё волшебное устройство напрямую к устройству выдачи банкнот; для извлечения из него всех имеющихся денег. Такая атака действует в обход всех программных средств защиты, развёрнутых на хосте банкомата (антивирусы, контроль целостности, полное шифрование диска и т.п.).
«Чёрный ящик» на базе Raspberry Pi.
Крупнейшие производители банкоматов и правительственные спецслужбы, столкнувшись с несколькими реализациями «чёрного ящика», предупреждают, что эти хитроумные компьютеры побуждают банкоматы выплёвывать все доступные наличные; по 40 банкнот каждые 20 секунд. Также спецслужбы предупреждают, что кардеры чаще всего нацеливаются на банкоматы в аптеках, торговых центрах; и также на банкоматы, которые обслуживают автомобилистов «на ходу».
При этом, чтобы не светиться перед камерами, наиболее осторожные кардеры берут на помощь какого-нибудь не слишком ценного партнёра, мула. А чтобы тот не смог присвоить «чёрный ящик» себе, используют следующую схему. Убирают из «чёрного ящика» ключевую функциональность и подключают к нему смартфон, который используют в качестве канала для дистанционной передачи команд урезанному «чёрному ящику», по IP-протоколу.
Модификация «чёрного ящика», с активацией через удалённый доступ.
Как это выглядит с точки зрения банкиров? На записях с видеокамер-фиксаторов происходит примерно следующее: некая личность вскрывает верхний отсек (зону обслуживания), подключает к банкомату «волшебный ящик», закрывает верхний отсек и уходит. Немного погодя несколько человек, на вид обычные клиенты, подходят к банкомату, и снимают огромные суммы денег. Затем кардер возвращается и извлекает из банкомата своё маленькое волшебное устройство. Обычно факт атаки банкомата «чёрным ящиком» обнаруживается только через несколько дней: когда пустой сейф и журнал снятия наличных – не совпадают. В результате сотрудникам банка остаётся только чесать затылки.
Откуда берутся «чёрные ящики»?
Поставщики банкоматов и субподрядчики разрабатывают отладочные утилиты для диагностики аппаратной части банкомата, – в том числе электромеханики, отвечающей за снятие наличных. Среди таких утилит: ATMDesk, RapidFire ATM XFS. На рисунке ниже представлены ещё несколько таких диагностических утилит.
Панель управления ATMDesk.
Панель управления RapidFire ATM XFS.
Таким атакам потенциально подвержены тысячи банкоматов. На пути к подлинному процессинговому центру – кардрер вставляет свой, поддельный. Этот поддельный процессинговый центр даёт банкомату команды на выдачу банкнот. При этом кардер настраивает свой процессинговый центр таким образом, чтобы выдача наличных происходила вне зависимости от того, какая карта вставляется в банкомат – даже если срок её действия истёк, или на ней нулевой баланс. Главное, чтобы поддельный процессинговый центр «узнал» её. В качестве поддельного процессингового центра может быть либо кустарная поделка, либо симулятор процессингового центра, изначально разработанный для отладки сетевых настроек (ещё один подарок «производителя» – кардерам).
На следующем рисунке приведён дамп команд на выдачу 40 банкнот из четвёртой кассеты, – отправленных из поддельного процессингового центра и хранящихся в журналах ATM-софта. Они выглядят почти как настоящие.
Дамп команд поддельного процессингового центра
Удачных вбивов, да и просто удачи, друг!
Cтатья написана только для образовательных целей. Автор не публиковал эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор не несёт ответственность за любой причиненный вред или ущерб.
