10:36
9/2/2016

Jeden z naszych czytelników przesłał nam ostrzeżenie jakie firma NCR, producent bankomatów, rozesłała do swoich klientów. Przestępcy znaleźli nowy sposób na wykradanie danych naszych kart płatniczych — z tyłu bankomatu montują dodatkowe urządzenia przechwytujące szczegóły transakcji. Ataki wykryto póki co tylko na terenie USA, ale bankomaty obu “atakowanych” producentów są wykorzystywane także w Polsce.

Atak MITM na bankomat przy pomocy zewnętrznego skimmera

Jak informuje komunikat NCR, złodzieje podpinają 2 urządzenia do kabla sieciowego, do którego podłączony jest bankomat, wchodząc w “środek” komunikacji sieciowej bankomatu z centralą (klasyczny atak MITM).

Zewnętrzny skimmer sieciowy

Zewnętrzny skimmer sieciowy

Pierwszym urządzeniem, od strony dostawcy internetu jest router, zapewne w celu dopięcia modułu łączności bezprzewodowej, ułatwiającej zdalne (bezprzewodowe) wykradanie danych z urządzenia.

Drugim urządzeniem jest “skimmer”. Tu komunikat NCR nie udziela dodatkowych informacji na temat zasady działania tego modułu. Wiadomo tylko, że jego celem jest przechwytywanie zawartości paska magnetycznego, który po odczytaniu przez bankomat ma być transportowany przez internet. Tak, niektóre bankomaty nawet po włożeniu karty z chipem korzystają z jej paska magnetycznego…

PIN zdobywany jest klasycznie – za pomocą nakładek na klawiaturę bankomatu lub kamerek umieszczanych w listwie.

To co w powyższym ataku budzi najwięcej pytań, to sposób w jaki bankomat przesyła dane z karty użytkownika do centrali? Skoro połączenie pozwala na podpięcie skimmera i podsłuchanie transmisji, to albo nie jest w ogóle szyfrowane, albo nie stosuje uwierzytelnienia na warstwie drugiej modelu ISO/OSI, albo nie korzysta z mechanizmu certificate pining (albo wszystko jednoczesnie).

Z rekomendacji NCR można odnieść wrażenie, że bankomaty wspierają szyfrowane połączenia, ale nie są one domyślnie wymuszane (lub można je wyłaczyć).

ncr

Może któryś z pracowników polskich firm obsługujących bankomaty wyjaśni tę zagadkę w komentarzach?

Tak okradziono krakowskie bankomaty?

Kilka tygodni temu publikowaliśmy film krakowskiej policji, który przedstawiał “nowy sposób ataku na bankomaty” przy pomocy “tajemniczego elektronicznego urządzenia”. Niestety, filmik policji wprowadził więcej pytań niż odpowiedzi. Czy do okradania bankomatów w Krakowie przestępcy wykorzystywali właśnie tego typu urządzenie?

Nie wydaje nam się. Raport firmy NCR dotyczy ataków odnotowanych na terenie Stanów Zjednoczonych, a w dodatku z nieoficjalnych informacji jakie uzyskaliśmy, montowane w krakowskich bankomatach urządzenie było inne. Warto też odnotować, że część z “rodzimych” bankomatów korzysta z transmisji bezprzewodowej (a więc przynajmniej kable ethernetowe nie są eksponowane poza obudową bankomatu). No i krakowski atak polegał na zmuszeniu bankomatu do wypłaty środków, a nie zczytywaniu danych kart…


Przeczytaj także:



56 komentarzy

Dodaj komentarz
  1. Czyli najlepszym sposobem będzie zaklejenie paska magnetycznego na karcie lub jego zdrapanie ?? ☺

    • Na ten atak pewnie nie pomoże.
      Przez rok korzystałem z karty z rozmagnesowanym paskiem (karta pomiędzy dwa słuszne magnesy neodymowe i szorujemy).
      Zalety: większość skimmerów jest bezradna
      Wady: zdarzyły mi się 2 sklepy, które chciały skorzystać z paska, musiałem zapłacić gotówką (karty używam rzadko, pewnie było to ok 5% transakcji);
      wpłatomaty inne niż euronet nie czytały karty

    • możesz powiedzieć coś więcej na ten temat? dokładniej to czy nie uszkodzi się w ten sposób chipa na karcie do płatności zbliżeniowych, będzie się dało wypłacać z bankomatu itp?

    • Najlepszy sposób to wybierać hajs w placówce, osobiście ;)

    • >karta pomiędzy dwa słuszne magnesy neodymowe i szorujemy

      Inżynier użyłby cewki i prądu zmiennego. Może być w postaci lutownicy transformatorowej. Pasek zdezaktywowany w kilka sekund.

    • Dokładnie, zdrapałem połowę paska magnetycznego, przez co jest bezużyteczny. W sklepach rzadko mają stare terminale na pasek, a z doświadczenia wiem że karta działa w większości bankomatów wolnostojących, pewnie mają nowszy soft i zaczynają sprawdzanie od chipa.

  2. Możliwe że “skimmer” to CHIP albo RaspPi Zero z Wiresharkiem na pokładzie. Oba komputerki to taniocha, więc dla przestępców to nie będzie wielka strata jak je skonfiskują.

    Co do krakowskich bankomatów, może to jest jakieś urządzenie serwisowe a bankomaty miały włączony tryb testowy?

    • Bardzo w to wątpie… Pakiety są zaszyfrowane, potrzeba 100 lat by złamać. Działa to troszkę w inny sposób, ale więcej znajdziesz na stronie NCR.

    • Urządzenie serwisowe zapewne wysyła logi do centarli, także to też chybiony pomysł.

    • Wystarczy “zhackować” firmware urządzenia serwisowego. Skoro da się zhackować konsole, żeby piraty przyjmowały, to nie da się shackować urządzenia serwisowego żeby albo nie wysyłał (trudniejsze) albo wysyłał pod nieistniejący adres (w najgorszym razie hexedit i jedziesz, bo prawdopodobnie operują domenami, nie adresami IP, więc wystarczy wstawić lewą domenę).

      Co do pierwszego, to nadal upieram się że skimmer to rasppi0/chip z wiresharkiem na pokładzie. Raczej niczego drogiego by nie użyli, bo łatwo skonfiskować.

      Po za tym nie wiadomo czy (i jeśli tak, kiedy) pakiety są szyfrowane. Może wszystko lecieć niezaszyfrowane na zasadzie “Franek, to i tak będzie po kablu lecieć to nie ma co szyfrować bo nikt nie przechwyci” (hłehłe) albo szyfrowane w osobnym urządzeniu (wtedy wystarczy podpiąć skimmer między bankomatem a tym urządzeniem). Nie zdziwiłbym się gdyby to pierwsze było właściwą opcją. Januszowe firmy działają też w USA.

  3. “albo nie stosuje uwierzytelnienia na warstwie drugiej modelu ISO/OSI” – jakiego?

    • Model ISO-OSI opisuje jak komunikują się urządzenia od->do przechodząc warstwami czyli od kikania myszką po interfejsie do sygnału w kablu

      https://pl.wikipedia.org/wiki/Model_OSI

    • Otóż to. I o ile pamiętam z czasów realizacji usług dla sieci bankomatowych w jednym z większych telekomów w PL, to ani razu nie realizowaliśmy podłaczenia bankomatu po Ethernecie – zawsze w L2 z VPN na L3 (a i tak bankomaty miały swoje szyfrowanie transmisji – już choćby dla zabezpieczenia się przed nami).

  4. Jak sie bronić przed inwigilacją….
    Naglący problem w świecie w którym ludzie chwal się zdradami i przestępstwami na portalach społecznościowych…
    Kiedyś służby musiały kombinować teraz wchodzą na FB znajomych osoby inwigilowanej.

  5. Czy ja wiem?

    Jak za każdym razem robiliśmy łącza dla bankomatów, to szedł bezpośredni kabel z VPN’em na modemie. Co prawda niskie przepustowości (64/64 Kbit, czasem 256/256) ale jednak stały VPN.

    • pozostaje pytanie co się działo jak w kablu nie było tego stałego VPN, a jak po drugiej stronie kable odezwało się zwykłe DHCP?

      Albo i VPN tyle że z niepodpisanym certyfikatem itp.

    • a to wyjaśnia czego to tak szybko działa, pewnie większość bankomatów tak jak pudło stare stoi to i sieć jest równie nowoczesna…

    • DHCP to nie w tej warstwie :)
      A skoro klient (czy to bank, czy operator bankomatów) zamawia łącza rzędu 256k, to cóż może operator, choćby miał do dyspozycji najnowocześniejszą sieć? Czasem wręcz trudno było sprostać wymaganiom na łącze 256k bo prościej (i bez dodatkowych urządzeń) było dać nieszczelinowane E1 – ale nie, klient wyraźnie życzy sobie 4 ts (256k) i musisz wymyślić modem/konwerter, który zmieści się w ciasnej obudowie bankomatu).

  6. Takie proste ataki MITM działają w bankomatach? Przecież to czysta paranoja – ktoś wychodzi z założenia, że transmisja jest bezpieczna bo dalej jest “dedykowany” kanał do komunikacji z bankiem? Ręce mi opadają.

    • To się przecież w AMERYCE dzieje. :-)

  7. Większość bankomatów w Polsce chodzi na XP, teraz powoli są przesiadki na 7 ale pewnie nie jest on na bieżąco aktualizowany. Możliwe, że nawet jeśli jest po VPN to przez jakąś dziurę w takim XPku (lub 7) jest podsłuchiwana łączność, tylko, że wtedy nie były by potrzebne żadne dodatkowe nakładki.

    • Poprawka nie łączność tylko, działanie aplikacji :)

    • I w ten sposób Micro$oft zyskał dostęp do danych klientów większości banków…

  8. No niestety, ale jak w każdych problemach z bezpieczeństwem – najczęściej problemem jest ignorancja.
    Zazwyczaj użytkowników, ale często też twórców urządzeń.

    Skoro da się podpiąć coś na zewnątrz bankomatu, to albo bankomat wszystko przerzuca plain textem, albo właśnie pozwala łatwo przechwycić transmisję – bo np. dla podniesienia “niezawodności” programista wprowadził ignorowanie komunikatów o niepodpisanym SSL.

    Ten poziom ignorancji niestety spotykany jest wszędzie – w każdym blackboxie.

  9. Wpisz do wiki to się dowiesz :)

  10. 1) zczytać -> sczytać

    2) “PIN zdobywany jest klasycznie – za pomocą nakładek na klawiaturę bankomatu lub kamerek umieszczanych w listwie” – spoko, normalka, klasyka :) każdy przecie tak robi ;)

  11. Wygląda na to że jednak będzie trzeba wrócić do wypłat w okienku ;)

  12. Właśnie, czy nie nadszedł już czas kiedy można uszkodzić pasek magnetyczny?

  13. u nas raczej większość bankomatów które widziałem to działają po GSM, a skoro można posłuchać po ethernecie to i u nas do tego wystarczy jakiś OpenBTS, nawet nie potrzeba dotykać i zbliżać się do bankomatu, a może da się też “wyłapać” jakieś serwisowe komendy i przełączyć bankomat tak jak w Krakowie ….

  14. Kryptografia asymetryczna jest podatna na atak MITM – wystarczy, że pośrednik podmieni przesyłane klucze publiczne na swoje. W jakiejś aplikacji mobilnej do szyfrowanych rozmów telefonicznych (wydaje mi się, że Telegram) po nawiązaniu połączenia trzeba odczytać na głos wyświetlane słowa – jeśli druga osoba ma takie same, to znaczy, że połączenie jest bezpieczne. Ta metoda oczywiście nie nadaje się do zastosowania w bankomatach, ale są też inne.

    • Tak, np wymieniony w artykule certificate pining :)

  15. Najlepiej od razu rozbij samochód, to nie będziesz stwarzał zagrożenia dla innych.

  16. Byle g zeby odpalic do testow trzeba szyfrowanie ustawiac i bawic sie, pomimo ze to tylko w domu do testow a oni nie wlaczaja tego dla bankomatow…..

  17. No ja pracuję u jednego Acquirera i zajmuję się bankomatami. Jak dla mnie to tych urządzeń jest trochę za dużo napakowane: skimmer, nakładka na klawiaturę ok, ale podsłuchiwanie dodatkowo TCP do hosta autoryzacyjnego już nic dodatkowo nie daje. Zakładając, że transmisja szła z SSL/TLS to niewiele zobaczą. Jeśli nie, to dodatkową wartością dodaną są odkryte dane takie jak pełen pasek magnetyczny, TAGi chipowe (jest tam pasek “chipowy”), itp. To, czy SSL/TLS jest “zapięty” od aplikacji bankomatowej, czy od routera GPRS podpiętego pod bankomat to już indywidualna konfiguracja danego Acquirera. Urządzenie do przechwytywania PINu, czyli nakładka na klawiaturę jest potrzebna bo szyfrowanie PINBlocku następuje w klawiaturze EPP i nie ma zbyt dużego pola do jego przechwycenia poza “chamskim”, czyli np. kamerą nad klawiaturą, nakładką, itp.
    Zabezpieczenia transmisji widywałem na różnym poziomie, łącznie z kompletnym ich brakiem.

  18. Zawsze mnie zastanawia, skąd oni wiedzą tyle o bankomatach? czy:

    1. mają podobne urządzenie lub dostęp do urządzenia (np praca w fabryce bankomatów?)
    2. może to są osoby które w jakiś sposób są mocno powiązani z wytwarzaniem takich urządzeń (programiści?)
    3. a może chodzi nie tyle o same bankomaty co wiedza teoretyczna + praktyczna – podpinanie, reverse engineering?

    Skubańcy. Mam nadzieje, że nigdy nie trafie na taki bankomat…

    • Bankomat bez problemu kupisz na aukcji :) nawet w tv słynny program z aukcjami kupowali bankomaty ;) to nie problem by mu się przyjrzeć jak działa itp

    • Jak to skąd wiedzą? Z Wikipedii! Oczywiście angielskiej: https://en.wikipedia.org/wiki/Automated_teller_machine ;-)

  19. Przecież urządzenia są wpięte do sieci po VPN (dla laików cały ruch jest szyfrowany) , więc pakiety które tam latają można sobie czesać do woli bez żadnych efektów.

  20. W tym wypadku nie pomoże, ale coraz bardziej jestem zwolennikiem płatności elektronicznych – telefonem z NFC. PKO BP ok. 2 tygodnie temu wprowadził rozszerzenie płatności BLIKiem (iPKO) za pomocą NFC. Co ciekawe, działa to także dla płatności większych niż 50 zł a PIN wbijamy w telefonie a nie w terminalu co uważam za dodatkowe zabezpieczenie.
    Płatności te działają także za granicą (sprawdziłem w Londynie – działało bez problemu!).
    Biorąc pod uwagę, ze w przypadku kradzieży telefonu złodzieje najczęściej wyrzucają od razu SIM lub resetują do ustawień fabrycznych bezpieczeństwo jest większe niż noszenie karty (czy kasy) w portfelu. Dodatkowo NFC jest aktywne tylko w momencie odblokowania fona, co dodatkowo wpływa na bezpieczeństwo (brak możliwości skammingu w np. autobusie).

    • To nie jest “BLIK przez NFC” i proszę nie wprowadzać ludzi w błąd – bo coś takiego jak na razie jest na etapie “może tak, a może inaczej, a może w ogóle zupełnie inaczej” (tak to wynika z informacji wyciekających do sieci, może to celowa dezinformacja :P ).

      PKO wdrożyło HCE od Visy, dlatego też płacić tym można w UK (i wszędzie tam gdzie są akceptowane płatności zbliżeniowe). Do tego – w telefonie tak na prawdę nie wbijasz PINu, bo telefon nie jest urządzeniem które spełnia techniczne wymagania dla “PIN Entry Device”. Wbijasz “mobile PIN” vel “passcode”.

    • Ile razy zapytam w sklepach o płatność BLIKiem, to oczy jak talerze, albo “nie wiemy jeszcze jak tego używać”.
      Tylko w kwiaciarni mi się raz udało.

  21. Skoro są routery w których można uruchomić logi gdzie poznaje się adresy odwiedzanych stron www, to można też zobaczyć w logu np. takie coś “https://www.google.pl/?gws_rd=ssl#q=niebezpiecznik.pl”. Sama strona google jest szyfrowana ale to co pisze użytkownik w komputerze i przechodzi przez router już nie. A kod PIN można poznać przez nakładkę na klawiaturze.

  22. Co do zmuszania bankomatow bylo robione to tak ze przestepcy zbijali ekran i przez port usb lub ehernet laczyli sie z kompem w bankomacie.

  23. Tyle kombinowania… A tydzień temu w Warszawie na całej linii metra kroili bankomaty śrubokrętem i aluminiowym płaskownikiem… ;)

  24. wat? masz na mysli jakieś telezakupy?

    • Hahahhaa, “Już teraz, rewelacyjny i niepowtarzalny bankomat. Teraz i gdy Tobie zabraknie gotówki we własnym domu możesz ją szybko uzupełnić. Zadzwoń teraz a za jedyny pierdyliard cebulionów dostaniesz niepowtarzalny bankomat. Jeśli zdecydujesz się na zakup teraz, dorzucimy specjalny prezent! Tylko teraz! Kup swój bankomat i nie martw się o brak gotówki!”

      Koledze chodziło o “Wojny Magazynowe”, które lecą czasem na Discovery. W jednym odcinku znaleźli tam bankomat, nawet sprawny.

  25. trochę to naciągane… transmisja z bankomatu idzie szyfrowanym tunelem. wszelkie kable ethernetowe sa poupakowywane w konstrukcji bankomatu a na zewnatrz jedynie dostepny moze byc kabel telefoniczny ewentualnie antenka od routera GSM…

  26. To jest jakaś lipa.
    Bankomaty od 20 lat stosują szyfrowanie transmisji, więc żaden router tutaj nic nie pomoże. I przynajmniej kiedyś nie było tam nic w rodzaju SSL handshake.
    Poza tym – co to za kabel wychodzi z bankomatu? Skrętka z sygnałem ethernetu? Nie, typowym wyjściem jest skrętka telefoniczna, więc to co widzimy na obrazku to jakby podłączyć router do suszarki.

  27. Gotówkę to sie Blikiem wypłaca z bankomatu :) hiehie

  28. Może po prostu zamiast siedzieć przy bankomacie z laptopem i łączyć się ze skimmerem po BT lub WIFI (albo ryzykować złapanie wymieniając kartę pamięci z zapisem) po prostu podpięli się pod łącze internetowe bankomatu i odczytywali dane via internet z bezpiecznej odległości….

  29. Nawiązując do jednego z komentarzy… odnośnie płacenia telefonem z NFC… PEKAO było pierwsze;p http://www.pekao.com.pl/o_banku/info_prasowe/?r,main,newsId=50839
    Osobiście korzystam i jestem zadowolony… Jako że pracuje w jednym ze sklepów okazało się ze chyba banki między sobą się nie dogadały… bo puki co tylko w jednej sieci sklepów mam problem z płatnościami…a raczej sklep ma… ja płace… po jakimś tygodniu pieniądze do mnie wracają… a jak sklep się zorientuje(sklep musi faksem gdzieś chyba do warszawy przesyłać paski z terminala bo z banku pieniędzy nie dostają) to wtedy mi ściągają z konta;)

  30. Ja obstawiam że ten skaner w ogóle się nie tyka transmisji sieciowej, tylko pewnie skaner karty sieje danymi które daje się przechwycić.

  31. Tyle komentarzy specjalistów a tylko jeden zgadł, że po prostu skorzystali z sieci by przesłać sobie online zeskimowane dane…i to nie ma nic wspólnego z podsluchiwaniem bankomatu. Tak, są takie miejsca, gdzie można znaleźć “kabelek”, który daje z DHCP wszystkim.

  32. Odnosząc się do tekstu redakcji:
    “Wiadomo tylko, że jego celem jest przechwytywanie zawartości paska magnetycznego, który po odczytaniu przez bankomat ma być transportowany przez internet. Tak, niektóre bankomaty nawet po włożeniu karty z chipem korzystają z jej paska magnetycznego…”

    Nie chodzi o to, że bankomat nie obsługuje EMV. Nawet jeśli obsługuje – to przecież kartę wciąga i to jest ten właśnie moment, gdy można “dobrać” się do najmniej bezpiecznej jej części – czyli paska magnetycznego. Niektóre bankomaty mają pewne zabezpieczenie przed zgraniem “paska” – tzw. jitter (nierównomierny przesuw karty przy jej wciąganiu), są też takie, w których “zapomniano” go włączyć…

    • Ahh, to ten jitter mnie właśnie denerwuje w wielu bankomatach PKO, które zachowują się jakby karty mi nie chciały oddać, wysuwając ją z prędkością 1cm na godzinę i to jeszcze takimi dziwnymi skokami jakby silnik krokowy od wysuwania karty mnóstwo kroków gubił…

  33. Mam właściwie 3 typy do tego, co mogło robić to magiczne puzderko za bankomatem:

    1. po prostu wpięli się w sieć operatora bankomatu, żeby przesłać sobie w internet zebrane przez skimmer dane.
    2. Być może faktycznie jest to atak MITM, a połączenie jest szyfrowane, ale… odkryli np, że przy podmianie klucza na swój własny bankomat da się w jakiś sposób zmusić do zaakceptowania tego klucza, np na głównym wyświetlaczu wyskakuje okno proszące o potwierdzenie ;)
    3. Czytnik paska magnetycznego przy odczytywaniu karty prawdopodobnie generuje zakłócenia, które “wyciekają” na zewnątrz bankomatu przez ten kabelek… A z tych zakłóceń można już się dowiedzieć co czytnik odczytał :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: