Эволюция скимминга: от взлома до перехвата «на лету»

- kbrbank

Эволюция скимминга: от взлома до перехвата «на лету»

Хакеры всегда совершенствуют навыки и свои умения и в далеком прошлом осознали, что эти банковской карты передаются в открытом виде не только при считывании кардридером (в то время, когда требуется физическое вмешательство), но и при передаче по сети, а также в самой ОС банкомата.

Такая механика разрешает преступникам обойти каждые физические средства защиты и незаметно снимать карточные эти из целой сети банкоматов, передавая тысячи и сотни устройств, как, к примеру, случилось случилось в Тайланде в прошедшем сезоне.

Скимминг — один из самых популярных на западе способов кражи денег: лишь с 2014 по 2015 год количество аппаратного и программного скимминга увеличился в 5,5 раза (согласно данным FICO Card Alert Service). Но в Российской Федерации его популярность не так громадна. Во-первых, в силу меньшего количества банкоматов у нас в целом (в 2015-м в Российской Федерации было зафиксировано 200 тысяч устройств против 425 тысяч в Соединенных Штатах), а во-вторых, из-за малого числа платежных терминалов, принимающих карты лишь с магнитной полосой.

Как правило в Российской Федерации употребляются универсальные терминалы, каковые принимают карты с магнитной полосой и карты с чипом. Одна из возможных обстоятельств этого в том, что чиповая карта была признана ЦБ более защищенной, и с 1 июля 2015 года ЦБ обязал банки производить расчетные и кредитные карты, оснащенные процессором. Накладки уходят в прошлое

Механика кражи максимально несложна: на кардридер банкомата накладывается скиммер, благодаря которому преступник считывает все сведенья с магнитной полосы

Продолжительное время для совершения краж из банкоматов преступники удачно пользовались физическими накладками. Их эволюцию возможно проследить от узких накладок в банкомата, до огромных неестественных панелей, всецело эмулирующих фронтальную панель банкомата. Механика кражи максимально несложна: на кардридер банкомата накладывается скиммер, благодаря которому преступник считывает все сведенья с магнитной полосы.

Наряду с этим одни скиммеры трудятся по принципу накопления считанной информации о пользователях, другие же сходу передают данные о картах мошенникам по радиоканалу (на миниатюрное принимающее устройство либо конкретно на собственную принимающую аппаратуру). Также, к банкомату крепится фальшивая клавиатура, нажимая на которую обладатель кредитной карты передает в руки мошенников PIN-код. Еще одно средство получения информации, которым пользуются преступники,- скрытые камеры, установленные рядом от банкомата.

 

Преступникам далеко не всегда необходимо выяснять сам PIN-код карты, поскольку главной дорожки магнитной банковской карты (Track2) достаточно для создания копии карты, которую довольно часто возможно применять для оплаты в магазинах, POS-терминалах либо при онлайн-платежах. Track2 содержит все данные о карте: PAN — номер карты, expiration date — срок ее действия, и зашифрованный PIN-код.

 

Распространенность таких способов хищений стала причиной тому, что производители банкоматов и сторонние вендоры стали устанавливать активные либо пассивные средства антискимминга, что разрешает действенно бороться с воровством для того чтобы типа. Не смотря на то, что кое-что антискимминговое оборудование все же пока не обучилось определять: к примеру, одну из самых незаметных накладок — ту, что стоит в шине между компьютером банкомата и считывателем карт и сохраняет у себя эти считаных карт.

В случае если сетевое соединение между процессингом и банкоматом не защищено шифрованием, то похитить номер карты не воображает громадной трудности

Еще одной преградой для любителей физического скимминга стало введение уголовной ответственности за кражу данных карт в банкоматах. За незаконные действия преступникам сейчас угрожают наказания разного типа в зависимости от степени тяжести правонарушения (от штрафов до лишения свободы). Как раз исходя из этого самые активные хакеры неспешно переходят на новый уровень.

Операции с картами в банкоматах обычно предполагают передачу данных магнитной полосы Track2 в открытом виде. К примеру, в случае если сетевое соединение между процессингом и банкоматом не защищено шифрованием, то похитить номер карты не воображает громадной трудности: накладки, каковые прослушивают трафик, передающийся от банкомата в процессинговый центр, организовать значительно несложнее, чем вскрывать и модифицировать сам банкомат.

До трети сотрудников открывают письма с вложениями, талантливыми заразить их компьютеры, для успешности атаки достаточно открыть одно-единственное письмо

В этом случае, например, не сработают совокупности видеонаблюдения в банкомате, контроля открытия сервисной другие средства и зоны физической защиты.

Хакеры изобрели вредоносное ПО, талантливое незаметно снимать эти карточек в течении месяцев. И это ненамного сложнее, чем атаки с применением другого вредоносного ПО, которое, к примеру, «заставляет» банкомат выдать все содержащиеся в нем купюры по особой команде.

 

В целом имеется определенная зависимость: чем сложнее грабить банкоматы, тем больше преступники склоняются к «продолжительной игре» (которая на данный момент характерна для APT-атак). Преступник ставит перед собой задачу максимально продолжительно оставаться незамеченным и все это время снимать карточные данные в банкоматах, каковые в будущем будут употребляться для мошеннических операций. К слову, согласно данным статистики в Российской Федерации на один банкомат в течение квартала приходится более 6000 операций.

В случае если принять каждую операцию за потенциальную возможность «съема» карточных данных, то нехитрые математические действия (умножение на число охваченных банкоматов и время присутствия в сети преступника) разрешат спрогнозировать очень значительный количество скомпрометированных данных.

 

Применяя методики социальной инженерии либо другие атаки на периметр банка, хакеры свободно попадают в банковскую сеть: по отечественной статистике, в среднем до трети сотрудников открывают письма с вложениями, талантливыми заразить их компьютеры, и это при том, что для успешности атаки достаточно открыть одно-единственное письмо. В  47% случаев периметр организации возможно преодолеть, применяя уязвимости веб-приложений.

По окончании проникновения во внутреннюю сеть банка преступникам остается получить доступ к определенной подсети банковского процессинга, где находятся эти всей сети банкоматов. В том месте же возможно определить, какие конкретно из банкоматов смогут быть не защищены от критических уязвимостей либо трудятся без межсетевого экрана. Это разрешит заразить любой банкомат и извлечь деньги из каждого из них в любую секунду. По схожему сценарию случилось ограбление госбанка GSB в Тайланде.

Кстати, дабы остановить попытки незаконного снятия денег со случайного банкомата, в этом конкретном случае было нужно отключить половину всей банкоматной сети (более 3000 устройств).

Зри в корень

Реализация логической атаки на банкоматы практически в любое время требует от преступника или доступа к сервисной территории банкомата, или организации сотрудничества по сети (подключения к кабелю либо роутеру). В случае если, само собой разумеется, речь заходит не о blackbox-атаках (атаки на кардридер, диспенсер либо криптоклавиатуру), каковые подразумевают сотрудничество лишь с аппаратной начинкой банкомата, не затрагивая ОС.

Может вестись как прицельная работа с предварительной идентификацией устройств, так и просто попытки обкатать одну и ту же методику получения денег на различных автомобилях

Потом преступники преодолевают последовательность защитных мер банкомата: к примеру, обходят режим киоска, ограничения и различные средства защиты для его ОС, настроенные самим производителем. Жертвой хакеров на протяжении таких атак становятся незащищенные банкоматы с устаревшими предположениями железа либо необновленным ПО. Причем может вестись как прицельная работа с предварительной идентификацией устройств, так и просто попытки обкатать одну и ту же методику получения денег на различных автомобилях.

В большинстве случаев, доступ к банкоматам пробуждает в хакерах жажду наживы, и они стараются снять максимум вероятных денег из максимума вероятных банкоматов. Именно на этом этапе значительно чаще они и оказываются на радарах работ безопасности банка.

Что делать?

Компания NCR, один из наибольших производителей банкоматов, в собственных оповещениях безопасности в далеком прошлом даёт предупреждение об атаках, которые связаны с заражением банкоматов, бороться с которыми возможно только внедряя соответствующие средства защиты и проводя анализ конфигураций и глубокий аудит устройств.

Самый первый ход к действенной защите — верно созданная модель нарушителя и модель угроз

Причем на сегодня существует множество мер защиты. Среди них, к примеру, применение VPN для надёжной коммуникации банкомата, программ Application Control для запрета запуска стороннего недоверенного ПО и Device Control для запрета подключения мышек, клавиатуры и USB-носителей без соответствующих прав.

Средства мониторинга безопасности (ответа класса SIEM / Security Information and Event Management) разрешает с легкостью отслеживать атаки с применением USB-устройств, сотрудничеством с оборудованием банкомата и др. Но с позиций банка самый первый ход к действенной защите — верно созданная модель нарушителя и модель угроз, каковые возможно выстроить лишь по итогам практического аудита безопасности парка банкоматов.

Но, самим держателям банковских карт не следует всецело надеяться на работу работ информационной безопасности банков. Для увеличения защищенности собственных сбережений не рекомендуется пренебрегать подключением SMS-оповещений по банковским платежам и совокупностей 3-D Secure: с их помощью возможно отследить и оперативно ответить на действия мошенников. А в целях увеличения неспециализированной защищенности стоит не забывать о самых несложных правилах: не снимать деньги в странных банкоматах, закрывать рукой клавиатуру при вводе PIN-кода и ограничивать ограничения на банковские операции.

Крутой хакер покажет нам, как это делается | Паблос Холман TEDxMidwests

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: