20:32
31/5/2010

Ktoś oszukał Brytyjczyków na miliony funtów, podstawiając do sklepów fałszywe terminale do obsługi transakcji kartami kredytowymi. Organizacja Mastercard podejrzewa, że modyfikacje w terminalach wprowadzono podczas procesu ich produkcji w fabryce w Chinach lub zaraz po tym jak zeszły one z linii produkcyjnej.

Terminal pułapka :)

POS Hacking, czyli trojan w terminalu

Zanim terminale trafiły do sklepów w Wielkiej Brytanii, Irlandii, Holandii, Danii i Belgii, ktoś obszedł ich zabezpieczenia i doskonale zatarł po sobie ślady. Fałszywki obsługiwały płatności w sieciach hipermarketów Asda i Sainsbury’s. Oprócz normalnego przetwarzania transakcji, w tle kopiowały dane karty oraz PIN-y.

Ktokolwiek ingerował w terminale zrobił to perfekcyjnie — na urządzeniach nie ma żadnych śladów wskazujących na modyfikacje — terminale są idealnie zamknięte.

Mastercard twierdzi, że fałszywki pracowały w sklepach przez 9 miesięcy i udało im się skopiować tysiące numerów kart kredytowych i debetowych. Wykradzione dane wysyłane były do …Pakistanu. Przekręt wypłynął na początku roku, kiedy sporo osób zaczęło zgłaszać Mastercardowi obecność podejrzanych transakcji na swoich wyciągach z karty kredytowej. Niestety, ciężko było znaleźć jakiś “punkt wspólny” — udało się dopiero w momencie, kiedy pojawiła się reklamacja dotycząca karty używanej w tylko jednym sklepie i zdecydowano się zbadać wykorzystywany tam terminal…

Jak sprawdzić, czy terminal jest fałszywy?

Trzeba go zważyć. Ze względu na dodatkową elektronikę dołożoną do urządzenia, jest ono cięższe od oryginału. Najszybszą (i co ważne niewymagającą technicznej wiedzy) metodą identyfikacji zmodyfikowanego terminala jest więc jego zważenie.

ciach ciach ciach!

Przypominam, że istnieje praktyczny atak, który pozwala nam płacić kartą płatniczą (z chipem), nawet jeśli nie znamy jej PIN-u. Tego typu wiedza może się przydać, jeśli po kradzieży/zgubieniu karty bank niesłusznie odmówi ci zwrotu pieniędzy, tłumacząc, że transakcja była autoryzowana PIN-em, więc musiałeś go podać złodziejowi…


Przeczytaj także:



34 komentarzy

Dodaj komentarz
  1. “Ktokolwiek ingerował w terminale zrobił to perfekcyjnie — na urządzeniach nie ma żadnych śladów wskazujących na modyfikacje — terminale są idealnie zamknięte.” – i niech mi ktoś powie, że teoria mówiąca o modyfikacji tych urządzeń jeszcze w fabryce jest kiepska…
    Jeśli nie ma żadnych śladów otwierania terminali, mają wszystkie plomby itd. to jedyne sensowne wyjaśnienie.

    “Mastercard twierdzi, że fałszywki pracowały w sklepach przez 9 miesięcy i udało im się skopiować tysiące numerów kart kredytowych i debetowych” – tysiące ? Kilka milionów to też ‘tysiące’… Nikt mi nie powie, że przez 9 miesięcy w 5 krajach tylko kilka tysięcy osób zapłaciło kartą za zakupy… No chyba, że POS’y nie skanowały każdej karty (może od jakiej określonej kwoty, żeby na biednych nie trafiło…).

    Swoją drogą, to co oni za elektronikę tam mogli wsadzić ? Przecież POS i tak skanuje kartę przy płaceniu, PIN sprawdza a transakcję autoryzuje online.

    Jeszcze jedno: przez 9 miesięcy żaden terminal się nie zepsuł ? :D W serwisie powinni się kapnąć, że jakaś dodatkowa elektronika tam jest…

  2. @Torwald Jak się zepsuje terminal to pewnie wywalają go, albo wysyłają do fabryki ;)

  3. Prawdopodobnie popsute terminale nie są nawet otwierane tylko wymieniane na nowe…

  4. No to Brytyjski obywatel w imię świętego prawa własności i nawyków konsumpcyjnych dopłaci jeszcze 10 milionów funtów na dochodzenie MasterCardowi i kształcenie się o tego typu defraudacjach przez organizację Apacs – bo “We have no evidence, data or intelligence pointing to a Chinese link to chip and pin fraud.”, Amerykański dopłaci swojemu Joelowi Brennerowi z kontrwywiadu (czy to nie buta press releasy wydawać, że dokładnie trzymamy łapę na europejskim systemie płatności i “Previously only a nation state’s intelligence service would have been capable of pulling off this type of operation.”) i muzyczka rżnie. Stracić pieniądze na Pakistańczyka, czy własnych agentów – co za różnica!

  5. Ponadto – co do rozwiązania z ważeniem urządzenia – podkreślić należy, że zadziała, to tym razem. Następnym razem, jak Pakistańczycy się przyłożą, rozwiązaniem będzie stracić zaufanie do systemu kart płatniczych, zacząć wymieniać się towarami i usługami w inny sposób, a może od razu zamieszkać na pustelni.

  6. @exothre
    @lxr
    Jeśli padnięte terminale wysyłali faktycznie do producenta, to jego udział w całym przekręcie jest nie do podważenia. Jeśli do serwisu, to serwis powinien beknąć za swoją nieudolność.

  7. No pomysł iście szatański :) Z jednej strony podziwiam za pomysł, z drugiej mocno współczuje wszystkim płacącym kartami w takich terminalach – bo pewnie jakby to było w PL to też każdy z nas nie zauważyłby różnicy (bo kto waży terminal?).

  8. @Mariusz Kędziora – o tym, że różnią się wagą wiadomo dopiero teraz i ważenie ma pomóc w znalezieniu lewych terminali.
    Nikt normalny przecież nie waży terminali (bo i po co ? :D), a nawet jeśli, to wątpię żeby pytał producenta czy to normalne, że jego model jest cięższy ~100g niż podaje instrukcja…

    Czekam na wiarygodne dane o liczbie wykradzionych PIN’ów…

  9. Ciekawe, bo weryfikacja transakcji odbywa się online między bankiem a danym obiektem handlowy więc dane o nr kart i pinach musiała wypływać bokiem przez “jakieś” łącze a to powinien widzieć administrator systemu pod którym pracuje POS, bo zawsze musi/powinna być możliwość sprawdzenia co się dzieje/działo z transakcją, a tu 9 miesięcy i nikt się nie zorientował, nie zdziwił bym się jak by okazało się że wszystkie POSy były serwisowane przez tą samą firmę.

    • @ludmar: terminale z reguły mają karte SIM, i przesyłają dane via GSM. Nic nie stoi na przeszkodzie, żeby terminal w nocy, “po cichu” zadzwonił do atakującego i wrzucił mu zebrane przez cały dzień PINy i numery kart

  10. Zajmowałem się przez pewien czas administracją w jednej z sieci hipermarketów. Tam nie było, że terminal łączył się linią telefoniczną, a komunikacja szła przez zabezpieczone serwery i łącza po firmowym VPN Frame Relay – to byłoby piekielnie trudno podsłuchać, a pakiety nie były w stanie być przesłane na zewnątrz, ale kiedy autoryzacja jest po zwykłej linii telefonicznej, np Tesco w niektórych halach tak obecnie ma, to możliwość wyprowadzenia tego typu danych jest jak najbardziej realna, wystarczy, że dodatkowa elektronika przedzwoni najpierw do serwera odbierającego zeskanowane dane, a później już normalnie do centrum autoryzacji. Nikt nie zauważy, bo często proces wdzwaniania sam w sobie trwa długo i czasem jest wielokrotnie powtarzany. Pozostają billingi, ale sprawdza się je rzadko, albo w ogóle pomija linie terminali. Ot pomysłowość atakujących, i zwykła rutyna ze strony komórek bezpieczeństwa IT banku i sieci marketów.

  11. Po pierwsze – żeby zdobyć PIN musieliby podmienić/podpiąć się pod wewnętrznego pinpada – dane z niego wychodzą już w postaci zaszyfrowanej, a klucze ładowane są na późniejszym etapie. Po drugie – moglibyście zaznaczyć, że całość miała miejsce ponad półtora roku temu (sądząc po dacie artykułu źródłowego)…

  12. mialem bardzo dziwna sytuacje kiedys w mcdonaldzie. placilem karta z chipem z mbanku. kasjerka wlozyla ja do terminalu, po chwili podala mi klawiature z numerkami abym wprowadzil pin. na wyswietlaczu tej klawiatury bylo cos w stulu fffffffffffx0 czy cos takiego. po czym odebrala mi go (nie wprowadzailem pinu) wyjela karte a terminal wydrukowal oba potwierdzenia zaplaty. oddala mi karte i miejsce z chipem bylo BARDZO gorace. sprawdzialem pozniej wyciag i mialem normalnie ta transakcje.

  13. a skad wiadomo, ze zmodyfikowali hardware? skoro mogli dodac swoja elektronika bez pozostawienia sladow, to pewnie mogli tez wgrac soft?

  14. We wrześniu ubiegłego roku już się na to na natchnałem, slyszalem o tym od pewnego anglika. Starałem sie uzyskać odpowiedź na nurtujace mnie pytanie “jak się przed tym uchronic” http://bartosznawrot.wordpress.com/2009/09/22/skimming-w-terminalach-przed-tym-juz-sie-nie-obronimy/
    Wówczas słyszałem a anti-skimmerach montowanych w bankomacie… znacie jakies sposoby ochrony indywidualnego posiadacza karty?

  15. @stretch: to co opisujesz jest nawet bardziej niepokojące od samego artykułu. Może warto byłoby, żebyś o tym napisał gdzieś?

  16. Tak jak wspomniał jurek ogórek, ja bym bardziej podejrzewał soft niż zmiany hardware. Taką podmiankę mógł zrobić każdy kto ma dostęp do systemu zarządzania terminalami i wie jak je programować. Wystarczy nową paczkę wyposażyć w nowe funkcjonalności nie pozbawiając starych i jeśli sieć do której są włączone terminale nie jest zabezpieczona przed połączeniami innymi niż z centrum rozliczeniowym to terminal może numery kart wysłać gdzie tylko programista sobie zażyczy, a potem tylko podstawienie z powrotem poprawnej paczki i nikt się nie zorientuje, że coś było nie tak z terminalem.

  17. @Piotr Konieczny: nie powinno byc tak latwo, bo SIMy wkladane do terminali sa u operatorow specjalnie markowane i wrzucane na white listy – dzieki temu moga one dzwonic wylacznie na wskazane numery.

  18. Czas pomyśleć o antywirusach w terminalach i innych urządzeniach. Warto zwrócić uwagę na inicjatywe Norton Everywhere http://www.symantec.com/about/news/release/article.jsp?prid=20100527_01. Jednym z jej założeń jest kontrola ściagania firmware, tak by pochodziło ono z bezpiecznego źródła. To samo dotyczy zresztą innych sprzętów w tym. ruterów, modemów USB i nie tylko, komórek i PDA, dekoderów telewizyjnych, telewizorów itp. Co do POSów za bezpieczeństwo softu powinien odpowiadać producent POSu i producent softu (o ile soft robi ktoś zewnetrzny na zamówienie). Gdyby producent poniósł koszty zawinionych przez siebie fraudów z pewnością dokładnie kontrolowałby swoje fabryki. Pamietajmy, ze mamy do czynienia ze sprzętem gromadzącym i przetwarzającym szczególne dane.

  19. “@ludmar: terminale z reguły mają karte SIM, i przesyłają dane via GSM. Nic nie stoi na przeszkodzie, żeby terminal w nocy, “po cichu” zadzwonił do atakującego i wrzucił mu zebrane przez cały dzień PINy i numery kart”
    @Piotr Konieczny: Te kart nie mogą sobie dzwonić gdzie chcą, są one podpinane do wydzielonego APN’a, a dalej u operatora są przesyłane do konkretnych urządzeń klienta(np. banku) via VPN. Jedyną opcją na zebranie tego typu informacji byłaby praca u dewelopera oprogramowania na POSy, lub w banku , lub u telco dającego usługę APN dla POSów. Ale tak czy tak była tam wymagana ingerencja w software. Chyba że ktoś podpiął pod pinpad oddzielny moduł który robił man-in-the-middle pomiędzy pinpadem a resztą POSa, dodatkowo musiałby mieć swoją własną kartę sim do wysyłania danych.

    • Pavulon: no niestety nie wiem, co dokładnie zostało zmodyfikowane w tych terminalach, ale złodzieje musieli dorzucić coś, co pozwalało przesyłać dane na zewnątrz. Jeśli oryginalna karta SIM ma whitelistowane numery, to znaczy, że musieli podpiąć drugą kartę. W końcu ta różnica w wadze musi z czegoś wynikać ;)

  20. Raczej wczepili drugiego POS’a który przechwytywał analogowe sygnały z pinpadu oraz z czytnika kart, a nastepnie wysyłał tak zebrane dane poprzez drugą kartę sim zainstalowaną w tym “peryferyjnym” urządzeniu via gprs.

  21. Zakładając że skimmerzy nie wykorzystywali od razu kart, by nie wzbudzić podejrzeń można się pokusić o proste rozwiązanie – zmiana pinu do karty co określony czas. Co prawda jest to utrudnienie dla banków/użytkowników, ale w imię bezpieczeństwa chyba warto.

  22. O ile wiem kazdy POS ma pod baterią kilka gniazd na karty formatu SIM. Nie muszą one jednak służyć do łączności ze światem (mogą na nich być np. klucze szyfrujące). Czytnik karty do celów telekomunikacyjnych, czyli karty SIM jest raczej tylko jeden. Podejzewam, ze te terminale mogły łączyc sie via dial up, czyli przez telefon, nie wiem czy wtedy dane są szyfrowane, choć moim zdaniem w terminalu dane nigdzie nie powinny byc jawne (niezaszyfrowane). Podejżewam jeszcze jedną opcję ataku: mianowicie podżucenia bacdoora w sofcie podczas aktualizacji (automatycznej lub ręcznej). Atakujacy musiałby jednak pracować w centrum autoryzacyjnym, które zarzadza posami i co pewien czas wysyła do nich nowy soft, a najlepiej również w firmie produkującej firmware do terminali, czyli producencie terminali lub acquierze. Jednak nawet mimo hipotetycznego wirusa w sofcie jest jeszcze zabezpieczenie w postaci szyfrowania danych w klawiaturze, tak więc do terminala wędruje zaszyfrowany PIN. Ciekawe, czy algorytm szyfrujący w klawiaturze jest stały, czy też można go co pewien czas zmieniać przy okazji uaktualnienia softu w terminalu.

    PS
    Pamiętajmy, że w Chinach jest ogromna korupcja mimo grożącego za to wyroku śmierci (w skrajnie przeludnionym kraju, w którym urzędnicy i znakomita część pracowników mało zarabia perspektywa kary śmierci robi niewielkie wrażenie). To może wyjaśniać ew. modyfikacje w fabryce (terminale też są made in China). Pozostaje kontrola produkcji ze strony przedstawicieli producenta (dobrze opłacanych, zeby nie opłacało sie sprzedanie informacji lub dopuszczenie kogoś obcego do instalacji softu w fabryce).

  23. To wszytko jest śmiechu warte bo wystarczyło by troszkę tylko ruszyć móżdżkiem i w pakistanie mogliby sobie najwyzej pieniądze narysować kredkami na papierze toaletowym a nie wybierać z bankomatu. Sposób jest taki:

    Wszystkie karty powinny mieć domyślną blokadę pobierania pieniędzy z bankomatów poza krajem pochodzenia. Wtedy nawet jeśli tak jak w historyjce powyżej, ktoś z chin skopiowałby kartę i poznał PIN przez keyloggera to i tak nic by nie mógł wybrać w pakistaniskich bankomatach bo by była blokada na karcie ograniczająca wypłaty tylko do krajowych bankomatów. A jeśli ktoś jechałby w podróż do innego kraju to powinien mieć opcję w banku online lub na telefon wyłączenia blokady na wybieranie pieniedzy za granicą. I tyle. Proste? hehe widać ludzie odpowiedzialni za bezpieczenstwo płatnicze nie myślą za wiele.
    A tak pakistańce sobie kopiują karty i czyszczą konta bankowe bez problemów.
    Taka blokada o której napisałem oczywiście uniemożliwiałaby wybieranie pieniedzy z bankomatów ale jednocześnie i zakupów internetowych ponieważ do zakupienia czegoś w sklepach internetowych trzeba podać jeszcze CCV, datę ważności karty i dane posiadacza karty a tego żaden chiński terminal nie skopiuje w sposób opisany w tym artykule.

  24. Eeee… ja tylko tak sobie chcialem zaznaczyc, ze artykul zrodlowy jest z 10.2008 roku…
    Od tego czasu BYC MOZE MasterCard poczynil pewne kroki, ale Chinczycy NA PEWNO.

  25. @TT a nie pomyślałeś, że ten Pakistan to tylko dla zmyłki?
    Przecież potem taki Pakistańczyk może zadzwonić do kolegi w UK i mu podać wszystkie PINy które ma :) Może mu wysłać mailem, sms-em… “szyfurując” to jakimś algorytmem, który tylko oni dwaj znają. I Twój pomysł – choć generalnie sensowny – wtedy całkowicie jest nie przydatny.

  26. Ustawiłem sobie w kalendarzu przypomnienie o zmianie PIN wyskakujące co 3 miesiące :D Lepiej nie ryzykować… PIN to jest ten typ “autoryzacji prostytutki”, podajesz wszędzie można powiedzieć, tyle że nie ludziom. I tutaj akcja zabezpieczenia naszych kart jest częściowo w naszych rękach; userów.

  27. […] temu opisywaliśmy w szczegółach ataki na terminale do obsługi kart płatniczych. Dziś przedstawiamy kolejny sposób modyfikacji czytników wykorzystywany przez skimmerów do […]

  28. Jakiś czas temu byłem w serwisie terminali jedej z firm akceptujących płatności i widziałem jak odbywa się serwis terminali. Terminale i pinpady v******n mają switcha który po otwarciu obudowy kasuje certyfikaty (ram podtrzymany baterią). Po naprawie terminale trafiają do świstaka siedzącego w specjalnym bezpiecznym pomieszczeniu gdzie jedyna osoba posiadająca certyfikację producenta podgrywa certyfikaty do urządzeń. Z tego co mi powiedziano to komunikacja między pinpadem a terminalem też jest szyfrowana i w formie już zaszyfrowanej doklejana do paczki. W terminalach tej sieci jest też opcja tzw pinpada softwerowego który siedzi w samym posie. Widziałem też zdalne aktualizacje softu terminala co ciekawe paczki tgz :) podpisane certyfikatami. Jeżeli chodzi o przekierowania połaczenia terminala to można było ustawić dodolny numer więc teoretycznie można by zbudować relaya i atak mitm ale co z tego jak paczki szyfrowane.

    Sprawa nie jest taka prosta.

    • Witam Mialem za somsiada czlowieka ktory to trudnil sie dzialalnoscia chandlowa, pewnego razu zdarzylo sie ze porzadkowal jeden ze swoich sklepow, wsrud rzeczy przeznaczonych do utylizacji ;) znajdowaly sie takie ktorymi sieem bardzo zainteresowalem z racji zawodu a takze zainteresowan. Wiec zostalem obdarowany spora liczba kas fiskalnych zasialczy 5 cioma upesami itp, Wsrod tych skarbow znajdowaly sie dwie sztuki urzadzenia POS marki V….E. Jestem elektronikiem, zajmuje sie systemami uP. Bardzo mnie interesowal sposb funkcionowania urzadzenia. Otrzymane urzadzenia posiadaly wymienne moduly komunikacyine, w moim przypadku pzreznaczone do wspolpracy z analogowa siecia telefoniczna. jednak w/g producenta mozna dolaczyc w zastepstwie moduly pzreznaczone w lini isdn, a takze LAN. Prawda jest ze po otwarciu urzadzenia i ponownym zamknieciu, uruchamia sie bezustanny sygnal dzwiekowy, blokuje sie roznierz mozliwosc wpisania pinu. Ma sie rozumiec zabezpieczenia te mozna usunac. Terminal a raczej jego glowny procesor stanowi uklad ASIC specialnie zaprojektowany dla producenta urzadzenia. Urzadzenie jest zaprojektowane w taki sposb, zeby urtudnic ingerecie w jego wnetrze. Z oczywistych wzgledow nie bede tu opisywal struktory ukladowej urzadzenia ani tez zabezpieczen, Moge tylko napisac iz transmisia jest szyfrowana juz w samym sercu urzaddzenaia nie w module telefonicznym ktory nawaisem mowiac pelni jedynie funkcie modemu. zarowno czytnik kart procesorowych jak tez magnetycznych nie sa kompletnie w zaden spob mechanicznie zabezpieczone, identycznie rzecz sie ma z klawiatora numeryczna. Z latwoscia mozna dolaczyc do ww podzespolow malutki uklad procesorowy wraz z nadajnikiem rf ktory na biezaco transmitowal by wprowadzane dane. Ktorys z kolegow pisal o 100 gramach. Hmm, podziwiam kolegow informatykow (ja jestem elektronikiem) za naprawde spora wiedze z zakresu IT SEC. jednakze waga ukladziku wraz nadajnikiem nie przekraczaal by wiecej niz 30 gram. Odnosnie strony softw. to oprogramowanie skalda sie z modulow ladowanych po koleji do pamieci, ASIC zbudowany jest na rdzeniu Cortex, korzystajac z odpowiednich narzedzi morzna zaimplemetowac swoj wlasny modul. Wiecej nie moge napisac. Po testach urzadzenia przerobilem na zamki szyfrowe :)

  29. […] jak złodziej może zmusić swój terminal do generowania dowolnego UN — poczytajcie nasze poprzednie artykuły o hackowaniu terminali […]

  30. […] Nie musieli fizycznie modyfikować terminali, podmieniać terminali na lewe (to już było, por. uwaga na podmienione terminale do obsługi kart) — po prostu wgrali na obsługujące je systemy złośliwe oprogramowanie. Nie wiemy jednak […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: