Як зламати банкомат (ATM): способи атак і наслідки

  1. Вступ
  2. Джекпоттінг (Jackpotting)
  3. Скіммінг (Skimming)
  4. Шиммінг (Shimming)
  5. Мережеві атаки на ATM
  6. висновки

Пам'ятайте, наскільки приємно чути звук відлічуваних банкоматом купюр? Ще приємніше забирати їх з банкомату. Ці відчуття переслідують багато зловмисників, які вчиняють цілеспрямовані атаки на банкомати. Останнім часом дослідники все частіше фіксують великі атаки на ATM, а злочинці продовжують удосконалювати свої методи в гонитві за готівкою, саме тому необхідно бути в курсі основних схем атак на банкомати.

  1. Вступ
  2. Джекпоттінг (Jackpotting)
  3. Скіммінг (Skimming)
  4. Шиммінг (Shimming)
  5. Мережеві атаки на ATM
  6. висновки

Вступ

Проблема злому банкоматів набула такого масштабу, що Секретна служба США в цьому році розіслала фінансовим установам відповідні попередження. Свого часу Бернаби Джек вразив учасників конференції Black Hat, продемонструвавши атаку, яка змусила банкомат буквально випльовувати гроші. Такий метод отримав ім'я джекпоттінг (jackpotting), до недавнього часу експерти вважали джекпоттінг лише гіпотетичним способом злому ATM.

Тепер же, коли з'явилися такі шкідливий, як Ploutus.D, джекпоттінг можна сміливо додати до зростаючого списку типів атак на банкомати. Крім джекпоттінга, відомі також скімінг (skimming) , Шиммінг (shimming) і мережеві атаки на ATM. Спробуємо розглянути популярні схеми атак на банкомати, а також методи захисту від них.

Джекпоттінг (Jackpotting)

Цей тип атак має на увазі використання зловмисниками зовнішніх електронних пристроїв, або ж шкідливих програм, за допомогою яких вони зможуть отримати контроль над апаратної складової банкомату. По-іншому ці атаки називаються атаками «переведення в готівку» (cash-out attacks).

У деяких випадках злочинці замінювали весь жорсткий диск банкомату і запускали шкідливі програми, які змушують банкомат «випльовувати» гроші. В ході інших інцидентів зловмисники підключали USB-кабель, що з'єднує комп'ютер банкомату з належним злочинцям пристроєм, який за схожим принципом змушувало ATM перевести в готівку всі наявні засоби.

Використовуючи порт USB, шахраї також могли підключити банкомат до містить шкідливий USB-накопичувача. Таким чином, ATM заражався, а потім видавав зловмисникам гроші.

Одна з таких атак була зафіксована в далекому 2015 року в Німеччині. Зловмисники підключили комп'ютер банкомату до власного пристрою, що дозволило несанкціоновано отримати кошти готівкою.

також відзначився кіберзлочинець з Новосибірська , Якому вдалося викрасти з банкомату 360 тисяч рублів. Він скористався «флешкою» і записаної на неї шкідливою програмою.

Ця шкідлива технологія отримала назву BlackBox. Уже в квітні цього року фахівці відзначили різке зростання попиту злочинців на BlackBox . BlackBox заснована на підключенні стороннього пристрою до диспенсеру. Такий пристрій підключають або через просвердлений отвір в банкоматі, або використовують ключі інженерів для відкриття сервісної частини банкомату, де знаходиться комп'ютер.

Кращий спосіб звести до мінімуму ризик атак джекпоттінг - наскрізне шифрування. В основному, шифруванням слід забезпечити взаємодію між комп'ютером банкомату і диспенсером. Слід використовувати надійні засоби контролю безпеки мережі - це також зменшить поверхню для атаки.

Найбільш популярна кіберзлочинністю група, яка використовує джекпоттінг, - Cobalt, атакувала банки по всьому світу, що дозволило їй викрасти понад 1 мільярд євро. Лідер Cobalt, що діяла з 2013 року, був спійманий правоохоронними органами в Іспанії .

Скіммінг (Skimming)

Скіммінг (від англійського «skim» - ковзати, ледь торкатися) - один з видів шахрайства, пов'язаний з платіжними банківськими картами. Злочинні дії полягають в тому, що в банкоматах, найчастіше розташованих на вулиці, встановлюються приховані пристрої, що дозволяють зчитувати інформацію з платіжних карт в процесі транзакції.

Маючи на руках закриті дані по платіжним документом, зловмисники створюють дублікат із записаним на магнітній стрічці пін-кодом, що дозволяє використовувати цей платіжний документ в корисливих цілях, для розрахунку грошовими коштами в магазинах, торгових точках і інтернет-магазинах.

Неприємна ситуація полягає в тому, що власникові платіжного документа, що став жертвою скіммінгу, дуже складно довести банку факт шахрайства. Найкращий і надійний спосіб захиститися від цього виду шахрайства - використовувати платіжні картки з чіпом і чітко дотримуватися всіх запобіжних заходів користування карткою.

Для такого типу атак потрібно скіммер. Скіммер являє собою пристрій для зчитування карт, яке легко можна вставити в слот для карт, який є у всіх банкоматах. Таким чином, коли користувач вставляє свою картку в банкомат, вона мимоволі проходить через скіммер, який сканує і зберігає інформацію, а потім передає її злочинцеві.

В цьому випадку атакуючим також потрібен буде ПІН-код жертви, вони можуть отримати його за допомогою камер спостереження, або шляхом накладення додаткового шару поверх клавіатури. Безумовно, скімінг залишається найпоширенішим методом атак на ATM, це пов'язано з тим, що уразливість криється в магнітній смузі, розташованій на самих картах.

Таким чином, поки магнітна смуга присутня на картах, і вони змушені проходити через зчитувальні її пристрій, поверхню для атаки у зловмисників завжди буде. З скіммінгу можна боротися шляхом установки комплексних антіскіммінгових рішень, а також рішень для моніторингу.

Наприклад, виробники банкоматів використовують технології, що створюють перешкоди для скиммера, що не дозволяють йому зібрати інформацію про картки користувачів. Більш того, ці рішення також дозволяють миттєво сповіщати операторів ATM, які відразу ж відключають банкомат в разі атаки на нього.

З резонансних інцидентів, в яких злочинці використовували скімінг, можна згадати трьох жителів республіки Дагестан , Які скоїли серію крадіжок з банкоматів. У США подібну схему застосовував безробітний, якого засудили за компрометацію 13 тис. банківських карт . В результаті Федеральний суд Сан-Дієго засудив до семи років і трьох місяців ув'язнення чоловіка, який організував масову скіммінгових схему.

Шиммінг (Shimming)

Так званий шіммер встановлюється в пристрій для читання карт, причому зловмисник може виконати цю операцію за лічені хвилини, роблячи вигляд, наприклад, що виробляє легітимне вилучення грошових коштів. Шіммери виготовляють з тонкої гнучкої друкованої плати і мікропроцесора.

Після установки мікропроцесор на Шіммери буде працювати за принципом «Чіп посередині» (chip-in-the-middle), оскільки він запрограмований передавати команди, що надходять від банкомату на карту жертви і назад, записуючи в процесі всю необхідну атакуючому інформацію. Пізніше ця інформація витягується зловмисником і використовується для створення підробленої копії карти.

Шіммери важче виявити, ніж скімери, оскільки вони повністю інтегровані в пристрій, що зчитує, що робить їх практично невидимими.

Малюнок 1. Шіммери, що вставляються в пристрій, що зчитує банкомату

Шіммери, що вставляються в пристрій, що зчитує банкомату

Незважаючи на те, що шиммінг досить популярний, він спрацює тільки в тому випадку, якщо атакується банк некоректно організовує транзакції. Зловмисник не зможе використовувати клон карти, якщо для транзакції потрібен CVV, якщо ж цей код не потрібно (наприклад, при будь-яких онлайн-транзакцій), то злочинець зможе вкрасти гроші.

Мережеві атаки на ATM

В цьому випадку кіберзлочинці заражають банкомати через мережу. Як тільки зловмисники отримають доступ до мережі банку, вони зможуть віддалено встановити шкідливу програму в банкомат. Слід зазначити, що багато приватних банкомати, які обслуговуються ритейлерами, використовують незашифровані повідомлення, що піддає ризику дані карт користувачів.

На одному з онлайн-ринків навіть був виявлений набір шкідливих програм для банкоматів, за який автори просили $ 5 000. Набір активно рекламувався кіберзлочинцями, що дали йому назву Cutlet Maker . Cutlet Maker був розроблений для атак на різні моделі банкоматів Wincor Nixdorf, шкідливий код використовував API виробника, що дозволяло здійснювати протиправні дії без взаємодії з користувачами банкомату і їх даними.

Такі атаки на мережі банків нічим не відрізняються від кібератак на інші типи інфраструктур, відповідно, захищатися про них слід так само. А саме:

  • Захищати облікові дані - безпечне зберігання облікових даних, обмеження доступу до них для мінімізації ризику несанкціонованого використання.
  • Захищати сеанси - необхідно чітко розділяти кінцеву точку-адміністратора і інфраструктуру ATM, щоб шкідлива програма не змогла проникнути з мережі в активи.
  • Забезпечувати привілеїв низького рівня і захист кінцевих точок - зменшення поверхні атаки, застосування принципів білих і чорних списків.
  • Вести безперервний моніторинг - ретельно переглядати мережу, грунтуючись на шаблонах подій. У разі, якщо зловмисник отримав доступ до даних, відповідальні особи повинні негайно виявляти й усувати шкідливе поведінка.

висновки

Атаки на банкомати старі як світ, однак деякі методи, які беруть на озброєння зловмисники, є відносно новими. Деякі шкідливі схеми змушують банки поламати голову над тим, як забезпечити надійний захист своїх банкоматів. При базовому розумінні найбільш популярних методів атак банкам буде простіше орієнтуватися в методах захисту, що дозволить краще захистити клієнтські кошти.