Перейти к публикации
Polar

Банкомат. Атаки Изнутри (2017)

Рекомендованные сообщения

И снова рад теплыми словами приветствовать всех мемберов Коровки!

Это не вещевой кардинг

Нашел наконец время для продолжения цикла статей про АТМ.

Ранее мы рассмотрели возможные варианты получения доступа в сервисную зону банкомата, сегодня-же остановимся на вопросе-"ну вот получили мы доступ, что с этим можно сделать?"

Есть несколько основных векторов атаки на АТМ изнутри (имея доступ к системе или к сервисной зоне), постараюсь вкратце описать каждый из них

Итак, начнем пожалуй...

~~~~~~~~~~~~~~~~~~~~

BlackBox/Robbery - атака которой подвержены все банкоматы NCR/Wincor использующие шины SDC/USB и RS232 интерфейс

Суть атаки-прямое подключение диспенсера АТМ к нашему устройству (микрокомпьютер / телефон / ноутбук), с целью передачи команд на выдачу денежных средств, минуя системный блок банкомата, процессинговый центр банка, и прочие неинтересные и скучные инстанции (соответственно, ни журнальный принтер АТМ, ни мониторинговое ПО банка, не будут понимать, что диспенсер опустошен-как минимум до тех пор, пока не осмотрят банкомат лично)

Документация с описанием интерфейсов банкоматов, равно как и краткий обзор этих самых интерфейсов, был рассмотрен в одной из моих прошлых статей, так что не будем останавливаться на вопросе "а какие команды надо передать диспенсеру?", и пойдем далее.

С учетом того, что опустошение диспенсера по своей сути является единовременной акцией для каждого АТМ (возвращаться к ранее опустошенному АТМ с целью повторения своего подвига-мягко говоря сомнительное мероприятие), при использовании данного вектора атаки не столь важно, будет-ли поврежден корпус АТМ при работе, поэтому чаще всего этот метод напрямую связан со сверлением / плавлением / отгибанием / и прочими манипуляциями с крышкой сервисной зоны или ее лицевой частью (хоть бывают и исключения)

В качестве оборудования для работы чаще всего используется ноутбук или телефон, значительно реже-одноплатные компьютеры типа Raspberry Pi

Как правило, оборудование, подключаемое к диспенсеру, забирается после работы-оставлять вещдоки на месте преступления-плохой тон))


~~~~~~~~~~~~~~~~~~~~


Man in the middle (MITM) - вид атаки, при которой перехватываются и подменяются сообщения, которыми обмениваются переферийное устройство (диспенсер / кардридер / пинпад / итп) и системный блок банкомата.
Опасность такой атаки заключается в том, что ни само устройство, ни системный блок банкомата не догадываются о присутствии MITM в канале.


С помощью данной атаки можно аккуратно "доить" банкомат очень продолжительное время.
По сути, можно превратить АТМ в аппаратный скимер, который невозможно обнаружить и обезвредить без доступа в сервисную зону и внимательного ее изучения.
При этом, перехватить мы можем практически все-от данных магнитки до вводимого ПИН-кода и информации с чипа карты, и при этом реализовать дистанционную выгрузку всего этого добра нам посредством Wi-Fi или GSM/3G/4G-канала

В качестве этого MITM-устройства можно успешно использовать миниатюрный контроллер Raspberry Pi.
Устройство легко прячется внутри корпуса и не привлекает внимания технического персонала, который, к примеру, меняет бумагу во встроенных принтерах и потому имеет ключи от сервисной зоны.

home_products_cta_image.png

Учитывая все вышеописанное, напрашивается закономерный вывод: в случае использования данного вектора атаки, главный приоритет-неприметность, чтобы оборудование исполняла свои функции как можно дольше.
Таким образом, единственный способ эксплуатации данного метода-доступ к сервисной зоне с помощью ключей, чтобы визуально банкомат никак не выдал факта своего несанкционированного вскрытия

Оборудование в таком случае чаще всего так и остается внутри АТМ, вплоть до самого момента своего обнаружения (практического смысла доставать его обратно после установки особо нет-профит приносится стабильно и в пассивном режиме)

~~~~~~~~~~~~~~~~~~~~


ATM Malware/Touchless Jackpotting - вирусная атака на банковскую сеть, с помощью которой вредоносное ПО распространяется через централизованную сеть обновления ПО банкоматов или устанавливается непосредственно на банкомат

Помимо прямого подключения каких-либо устройств к железу АТМ, не стоит забывать также об уязвимостях самой ОСи банкомата, а с учетом того, что подовляющее большинство современных банкоматов все-еще использует Windows XP, проблем с получение контроля над системой нет практически никаких (уязвимость MS08-067 и ей подобные в помощь)

Получив контроль над ОС, мы можем модифицировать установленный в АТМ софт под свои нужды (установить сниффер или malware для работы с диспенсером-например, ATMitch)

~~~~~~~~~~~~~~~~~~~~

Немного видео по теме - как всегда, для наглядной демонстрации обсуждаемого вопроса

https://youtu.be/3HYA0MvizpM

https://youtu.be/XokG7HNVt20

~~~~~~~~~~~~~~~~~~~~

Если какой-то из перечисленных векторов атаки вызвал особый интерес-я открыт для предложений тем следующих публикаций.
Отписывайтесь в топике, и я посвящу этому отдельную статью


~~~~~~~~~~~~~~~~~~~~

Всем добра и ясного неба над головой!

(C) Polar, special for korovka.top

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×