Contactez-nous dans Messengers ou par téléphone.

whatsapp telegram viber phone phone
+79214188555

How to rob ATMs

DronVR

Niveau d'accès privé
Inscrit
1 Juin 2014
messages
284
Score de réaction
263
Points
63
How to rob ATMs

Remember how nice it is to hear the sound of banknotes counted by an ATM? It’s even nicer to pick them up from an ATM. These feelings are haunted by many attackers who commit targeted attacks on ATMs. Recently, researchers have increasingly recorded large-scale attacks on ATMs, and criminals continue to improve their methods in the pursuit of cash, which is why it is necessary to be aware of the basic schemes of attacks on ATMs.

Introduction
The problem of hacking ATMs has become so widespread that the US Secret Service sent warning messages to financial institutions this year. At one time, Burnaby Jack hit the Black Hat conference participants, demonstrating the attack that caused the ATM to literally spit out money. This method was named jackpotting, until recently, experts considered jackpotting only a hypothetical way to crack ATM.

Now, when such malware as Ploutus.D appeared, jackpotting can be safely added to the growing list of types of attacks on ATMs. In addition to jackpotting, skimming, shimming, and network attacks on ATMs are also known. Let's try to consider the popular attack schemes for ATMs, as well as methods of protection against them.

Jackpotting
This type of attack involves the use by attackers of external electronic devices, or of malicious programs, with the help of which they manage to gain control over the hardware component of the ATM. Otherwise, these attacks are called cash-out attacks.

In some cases, criminals replaced the entire hard drive of an ATM and launched malicious programs that caused the ATM to “spit out” money. In other incidents, cybercriminals connected a USB cable connecting the ATM computer to a device belonging to criminals, which, by a similar principle, forced ATM to cash out all available funds.

Using a USB port, fraudsters could also connect the ATM to a malicious USB drive. Thus, ATM was infected, and then gave money to the attackers.

One of these attacks was recorded back in 2015 in Germany. Attackers connected the computer of the ATM to their own device, which allowed unauthorized cash out of funds.

Also distinguished cybercriminal from Novosibirsk, who managed to steal 360 thousand rubles from an ATM. He used the "flash drive" and the malware recorded on it.

This malicious technology is called BlackBox. Already in April this year, experts noted a sharp increase in the demand of criminals for the BlackBox. BlackBox is based on connecting a third-party device to the dispenser. Such a device is connected either through a drilled hole in the ATM, or they use the keys of engineers to open the service part of the ATM where the computer is located.

The best way to minimize the risk of jackpot attacks is through encryption. Basically, encryption should ensure the interaction between the computer of the ATM and the dispenser. Reliable network security controls should be used - this will also reduce the attack surface.

The most popular jackpotting cybercriminal group, Cobalt, has attacked banks around the world, allowing it to steal more than 1 billion euros. The Cobalt leader, acting since 2013, was caught by law enforcement in Spain.

Skimming
Skimming (from the English “skim” - to slide, barely touch) is one of the types of fraud associated with payment bank cards. Criminal actions consist in the fact that in ATMs, most often located on the street, hidden devices are installed that allow you to read information from payment cards during the transaction

. Having in their hands closed data on the payment document, the attackers create a duplicate with the PIN code recorded on the magnetic tape, which allows using this payment document for personal gain, for calculating money in stores, retail outlets and online stores.

The unpleasant situation is that it is very difficult for the holder of a payment document that has become a victim of skimming to prove to the bank the fact of fraud. The best and most reliable way to protect yourself from this type of fraud is to use payment cards with a chip and clearly observe all precautions for using the card.

This type of attack requires a skimmer. The skimmer is a card reader that can easily be inserted into the card slot, which is available in all ATMs. Thus, when a user inserts his card into an ATM, it involuntarily passes through a skimmer that scans and stores information, and then transfers it to the criminal.

In this case, the attackers will also need the victim’s PIN code, they can get it using surveillance cameras, or by applying an additional layer on top of the keyboard. Of course, skimming remains the most common method of attacks on ATM, this is due to the fact that the vulnerability lies in the magnetic strip located on the cards themselves.

Thus, as long as the magnetic stripe is present on the cards, and they are forced to pass through the device reading it, the attackers will always have a surface for attack. You can deal with skimming by installing comprehensive anti-skimming solutions, as well as monitoring solutions.

For example, ATM manufacturers use technologies that interfere with the skimmer and prevent it from collecting information about user cards. Moreover, these solutions also allow you to instantly alert ATM operators who immediately turn off the ATM in case of an attack on it.

Of the resonant incidents in which criminals used skimming, we can recall three residents of the Republic of Dagestan who committed a series of thefts from ATMs. In the USA, the unemployed applied a similar scheme, who was convicted of compromising 13 thousand bank cards. As a result, the San Diego Federal Court sentenced a man who organized a massive skimming scheme to seven years and three months in prison.

Shimming
The so-called shimmer is installed in a card reader, and an attacker can do this operation in a matter of minutes, pretending, for example, to make a legitimate withdrawal of funds. Shimmers are made of thin flexible printed circuit board and microprocessor.

After installation, the microprocessor on the shimmer will work on the principle of "chip in the middle" (chip-in-the-middle), since it is programmed to transmit commands from the ATM to the victim's card and vice versa, recording in the process all the information the attacker needs. This information is later extracted by an attacker and used to create a fake copy of the card.

Shimmers are harder to detect than skimmers, as they are fully integrated into the reader, making them virtually invisible.

zzzzz.jpg

Despite the fact that shimming is quite popular, it will work only if the attacked bank incorrectly organizes transactions. An attacker will not be able to use a card clone, if a transaction requires CVV, if this code is not required (for example, with any online transactions), then the offender will be able to steal money.

ATM network attacks

In this case, cybercriminals infect ATMs through the network. Once the attackers gain access to the bank’s network, they will be able to remotely install the malware into the ATM. It should be noted that many private ATMs served by retailers use unencrypted messages, which jeopardizes user card data.

One of the online markets even found a set of malware for ATMs, for which the authors requested $ 5,000. The set was actively advertised by cybercriminals, who gave it the name Cutlet Maker. Cutlet Maker was designed to attack various models of Wincor Nixdorf ATMs, the malicious code used the manufacturer’s API, which allowed for illegal actions without interacting with ATM users and their data.

Such attacks on bank networks are no different from cyberattacks on other types of infrastructures; accordingly, they should be defended in the same way. Namely:

  • Protect Credentials - safe storage of credentials, limiting access to them to minimize the risk of unauthorized use.
  • Protect sessions - It is necessary to clearly separate the administrator endpoint and the ATM infrastructure so that the malware cannot penetrate the network into the assets.
  • Provide low-level privileges and endpoint protection - reduction of the attack surface, the application of the principles of white and black lists.
  • Conduct continuous monitoring - carefully scan the network based on event patterns. In the event that an attacker gains access to data, responsible persons must immediately detect and eliminate malicious behavior.
conclusions
Attacks on ATMs are as old as the world, but some of the methods that attackers use are relatively new. Some malicious schemes cause banks to puzzle over how to provide reliable protection for their ATMs. With a basic understanding of the most popular attack methods, it will be easier for banks to navigate the methods of protection, which will better protect client funds.

Source @odeepweb
 
Original message
Как грабят банкоматы

Помните, насколько приятно слышать звук отсчитываемых банкоматом купюр? Еще приятнее забирать их из банкомата. Эти ощущения преследуют многие злоумышленники, совершающие целенаправленные атаки на банкоматы. В последнее время исследователи все чаще фиксируют крупные атаки на ATM, а преступники продолжают совершенствовать свои методы в погоне за наличными, именно поэтому необходимо быть в курсе основных схем атак на банкоматы.

Введение
Проблема взлома банкоматов приобрела такой масштаб, что Секретная служба США в этом году разослала финансовым учреждениям соответствующие предупреждения. В свое время Бернаби Джек поразил участников конференции Black Hat, продемонстрировав атаку, которая заставила банкомат буквально выплевывать деньги. Такой метод получил имя джекпоттинг (jackpotting), до недавнего времени эксперты считали джекпоттинг лишь гипотетическим способом взлома ATM.

Теперь же, когда появились такие вредоносы, как Ploutus.D, джекпоттинг можно смело добавить к растущему списку типов атак на банкоматы. Помимо джекпоттинга, известны также скимминг (skimming), шимминг (shimming) и сетевые атаки на ATM. Попробуем рассмотреть популярные схемы атак на банкоматы, а также методы защиты от них.

Джекпоттинг (Jackpotting)
Этот тип атак подразумевает использование злоумышленниками внешних электронных устройств, либо же вредоносных программ, с помощью которых им удается получить контроль над аппаратной составляющей банкомата. По-другому эти атаки называются атаками «обналичивания» (cash-out attacks).

В некоторых случаях преступники заменяли весь жесткий диск банкомата и запускали вредоносные программы, заставляющие банкомат «выплевывать» деньги. В ходе других инцидентов злоумышленники подключали USB-кабель, соединяющий компьютер банкомата с принадлежащим преступникам устройством, которое по похожему принципу заставляло ATM обналичить все имеющиеся средства.

Используя порт USB, мошенники также могли подключить банкомат к содержащему вредонос USB-накопителю. Таким образом, ATM заражался, а затем выдавал злоумышленникам деньги.

Одна из таких атак была зафиксирована в далеком 2015 году в Германии. Злоумышленники подключили компьютер банкомата к собственному устройству, что позволило несанкционированно обналичить денежные средства.

Также отличился киберпреступник из Новосибирска, которому удалось похитить из банкомата 360 тысяч рублей. Он воспользовался «флешкой» и записанной на нее вредоносной программой.

Эта вредоносная технология получила название BlackBox. Уже в апреле этого года специалисты отметили резкий рост спроса преступников на BlackBox. BlackBox основана на подключении стороннего устройства к диспенсеру. Такое устройство подключают либо через просверленное отверстие в банкомате, либо используют ключи инженеров для открытия сервисной части банкомата, где находится компьютер.

Лучший способ свести к минимуму риск атак джекпоттинг — сквозное шифрование. В основном, шифрованием следует обеспечить взаимодействие между компьютером банкомата и диспенсером. Следует использовать надежные средства контроля безопасности сети — это также уменьшит поверхность для атаки.

Наиболее популярная киберпреступная группа, использующая джекпоттинг, — Cobalt, атаковала банки по всему миру, что позволило ей похитить более 1 миллиарда евро. Лидер Cobalt, действовавшей с 2013 года, был пойман правоохранительными органами в Испании.

Скимминг (Skimming)
Скимминг (от английского «skim» – скользить, едва касаться) - один из видов мошенничества, связанный с платежными банковскими картами. Преступные действия заключаются в том, что в банкоматах, чаще всего расположенных на улице, устанавливаются скрытые устройства, позволяющие считывать информацию с платежных карт в процессе транзакции

. Имея на руках закрытые данные по платежному документу, злоумышленники создают дубликат с записанным на магнитной ленте пин-кодом, что позволяет использовать этот платежный документ в корыстных целях, для расчета денежными средствами в магазинах, торговых точках и интернет-магазинах.

Неприятная ситуация заключается в том, что держателю платежного документа, ставшего жертвой скимминга, очень сложно доказать банку факт мошенничества. Самый лучший и надежный способ защититься от этого вида мошенничества – использовать платежные карты с чипом и четко соблюдать все меры предосторожности пользования картой.

Для такого типа атак требуется скиммер. Скиммер представляет собой устройство для считывания карт, которое легко можно вставить в слот для карт, который имеется во всех банкоматах. Таким образом, когда пользователь вставляет свою карту в банкомат, она невольно проходит через скиммер, который сканирует и сохраняет информацию, а затем передает её преступнику.

В этом случае атакующим также нужен будет ПИН-код жертвы, они могут получить его с помощью камер наблюдения, либо методом наложения дополнительного слоя поверх клавиатуры. Безусловно, скимминг остается самым распространённым методом атак на ATM, это связано с тем, что уязвимость кроется в магнитной полосе, расположенной на самих картах.

Таким образом, покуда магнитная полоса присутствует на картах, и они вынуждены проходить через считывающие её устройство, поверхность для атаки у злоумышленников всегда будет. Со скиммингом можно бороться путем установки комплексных антискимминговых решений, а также решений для мониторинга.

Например, производители банкоматов используют технологии, создающие помехи для скиммера, не позволяющие ему собрать информацию о картах пользователей. Более того, эти решения также позволяют мгновенно оповещать операторов ATM, которые сразу же отключают банкомат в случае атаки на него.

Из резонансных инцидентов, в которых преступники использовали скимминг, можно вспомнить трех жителей республики Дагестан, которые совершили серию краж из банкоматов. В США подобную схему применял безработный, которого осудили за компрометацию 13 тыс. банковских карт. В итоге Федеральный суд Сан-Диего приговорил к семи годам и трем месяцам заключения мужчину, который организовал массовую скимминговую схему.

Шимминг (Shimming)
Так называемый шиммер устанавливается в устройство для чтения карт, причем злоумышленник может проделать эту операцию за считанные минуты, делая вид, например, что производит легитимное изъятие денежных средств. Шиммеры изготавливают из тонкой гибкой печатной платы и микропроцессора.

После установки микропроцессор на шиммере будет работать по принципу «Чип посередине» (chip-in-the-middle), поскольку он запрограммирован передавать команды, поступающие от банкомата на карту жертвы и обратно, записывая в процессе всю необходимую атакующему информацию. Позже эта информация извлекается злоумышленником и используется для создания поддельной копии карты.

Шиммеры труднее обнаружить, чем скиммеры, поскольку они полностью интегрированы в считывающее устройство, что делает их практически невидимыми.

zzzzz.jpg

Несмотря на то, что шимминг довольно популярен, он сработает только в том случае, если атакуемый банк некорректно организует транзакции. Злоумышленник не сможет использовать клон карты, если для транзакции требуется CVV, если же этот код не требуется (например, при каких-либо онлайн-транзакциях), то преступник сможет украсть деньги.

Сетевые атаки на ATM

В этом случае киберпреступники заражают банкоматы через сеть. Как только злоумышленники получат доступ к сети банка, они смогут удаленно установить вредоносную программу в банкомат. Следует отметить, что многие частные банкоматы, обслуживаемые ритейлерами, используют незашифрованные сообщения, что подвергает риску данные карт пользователей.

На одном из онлайн-рынков даже был обнаружен набор вредоносных программ для банкоматов, за который авторы просили $5 000. Набор активно рекламировался киберпреступниками, давшими ему название Cutlet Maker. Cutlet Maker был разработан для атак на различные модели банкоматов Wincor Nixdorf, вредоносный код использовал API производителя, что позволяло осуществлять противоправные действия без взаимодействия с пользователями банкомата и их данными.

Такие атаки на сети банков ничем не отличаются от кибератак на другие типы инфраструктур, соответственно, защищаться о них следует так же. А именно:

  • Защищать учетные данные — безопасное хранение учетных данных, ограничение доступа к ним для минимизации риска несанкционированного использования.
  • Защищать сеансы — необходимо четко разделять конечную точку-администратора и инфраструктуру ATM, чтобы вредоносная программа не смогла проникнуть из сети в активы.
  • Обеспечивать привилегий низкого уровня и защита конечных точек — уменьшение поверхности атаки, применение принципов белых и черных списков.
  • Вести непрерывный мониторинг — тщательно сканировать сеть, основываясь на шаблонах событий. В случае, если злоумышленник получил доступ к данным, ответственные лица должны незамедлительно обнаруживать и устранять вредоносное поведение.
Выводы
Атаки на банкоматы стары как мир, однако некоторые методы, которые берут на вооружение злоумышленники, являются относительно новыми. Некоторые вредоносные схемы заставляют банки поломать голову над тем, как обеспечить надежную защиту своих банкоматов. При базовом понимании наиболее популярных методов атак банкам будет проще ориентироваться в методах защиты, что позволит лучше защитить клиентские средства.

Источник @odeepweb

До нового года осталось