مرکز امنیت و‌ رخدادهای‌ سایبری | APK

نفوذپذیری دستگاه‌های خودپرداز بانکی

پژوهش‌های اخیر نشان داده‌اند که اکثر دستگاه‌های خودپرداز در سرتاسر جهان آسیب‌پذیر هستند و مهاجم می‌تواند در عرض 30 دقیقه دستگاه را هک نموده و به پول‌های نقد آن‌ها دسترسی پیدا کند. مجرمان سایبری از روش‌های پیچیده‌ی متفاوتی از جمله دسترسی فیزیکی و دسترسی Remote از طریق شبکه‌ی بانک استفاده می‌کنند، تا پول‌ها را از دستگاه‌های خودپرداز سرقت نمایند.

اخیرا حملاتی بر روی دستگاه‌های خودپرداز توسط هکرها انجام شد که با استفاده از حمله‌ی SMS Phishing از دستگاه‌های خودپرداز بدون کارت پول می‌دزدند. این حمله کاربر را مجبور می‌کرد که اطلاعات اعتباری حساب بانکی خود را در وبسایت تقلبی وارد کند.

سرویس مخفی ایالات متحده در مورد حمله‌ی جدید ATM Skimming به نام «Wiretapping» هشدار داد که با ایجاد یک سوراخ کوچک در دستگاه‌ خودپرداز و دزدیدن اطلاعات مشتری، به طور مستقیم از کارت‌خوان داخل دستگاه، مراکز مالی را هدف قرار می‌دهد. همچنین مهاجمین سایبری تلاش می‌کنند که دستگاه‌های خودپرداز را به انواع بدافزار مانند Alice، Ripper، Radpin و Ploutus که معمولا در Dark Web Marketها قابل دسترس هستند، آلوده کنند.

پژوهشگری از PT Security حدود 26 مدل از دستگاه‌های خودپرداز را امتحان کرده و تجزیه‌و‌تحلیل امنیتی کاملی را انجام داد که نشان می‌دهد، دستگاه‌های خودپرداز از چهار جنبه‌ی زیر آسیب‌پذیر هستند.

  • امنیت ضعیف شبکه‌
  • امنیت ضعیف تجهیزات داخلی
  • پیکربندی نامناسب سیستم‌ها یا دستگاه‌ها
  • آسیب‌پذیری‌ها یا پیکربندی نامناسب Application Control

مهاجمان برای نفوذ به شبکه‌ی دستگاه‌ خودپرداز، با قطع ترافیک و یا ایجاد ترافیک غیرواقعی در شبکه، حملات خود را به تجهیزات بانک انجام می‌دهند.

راه‌های نفوذ به دستگاه‌های خودپرداز

به طور کلی دو روش وجود دارد که مهاجمان با استفاده از آن‌ها به دستگاه‌ خودپرداز نفوذ کرده و پول‌های آن را به سرقت می‌برند. اولین روش دریافت پول از دستگاه‌ خودپرداز است و دومین روش دزدیدن اطلاعات کارت کاربر است که این کار با کپی کردن این اطلاعات در زمانی که کاربر می‌خواهد از دستگاه پول دریافت نماید، انجام می‌شود.

بطور کلی حملات در سطح شبکه، حملاتی هستند که بیش از همه، مورد استفاده قرار می‌گیرند. در این حملات شبکه‌ی بانک که به دستگاه‌ خودپرداز متصل است به صورت Remote هک می‌شود؛ این حملات ممکن است از طرف یکی از کارمندان بانک و یا از طرف ارائه‌دهنده‌ی خدمات اینترنتی باشد.

در این سناریو، با دسترسی به شبکه‌ی دستگاه‌ خودپرداز به صورت فیزیکی و هم Remote، نفوذ به دستگاه خودپرداز تنها 15 دقیقه زمان می‌برد و 85 درصد دستگاه‌های خودپرداز نسبت به این نوع حملات آسیب‌پذیرند.

نفوذپذیری اکثر دستگاه‌های خودپرداز بانکی

جعل کردن مرکز پردازش

این سناریوی حمله در صورتی رخ می‌دهد که انتقال داده بین دستگاه‌ خودپرداز و مرکز پردازش ایمن نباشد و در حمله، فرایند تایید تراکنش را دستکاری نمایند، این فرایند زمانی رخ می‌دهد که مرکز پردازش جعلی (شبیه سازی شده) درخواستی را از دستگاه‌ خودپرداز دریافت کرده و دستور پرداخت به کاربر را صادر کند.

نفوذپذیری اکثر دستگاه‌های خودپرداز بانکی

این حمله را زمانی می‌توان با موفقیت انجام داد که داده‌های بین دستگاه‌ خودپرداز و مرکز پردازش رمزگذاری نشده باشد، امنیت VPN به طور ضعیف پیاده‌سازی شده باشد و کدهای احراز هویت پیام در درخواست‌ها و پاسخ‌های تراکنشی مورد استفاده قرار نگیرند. 27 درصد از دستگاه‌های خودپرداز را می‌توان با استفاده از این حمله هک نمود.

Exploit کردن آسیب‌پذیری‌های سرویس شبکه

مهاجمان آسیب‌پذیری‌های سرویس‌های شبکه را با اجرای کد بصورت Remote در شبکه‌ی آسیب‌پذیر، Exploit می‌کنند. این امر منجر به خاموش شدن سیستم امنیتی که توسط بانک پیاده‌سازی شده است، می‌گردد و پول توسط دستگاه‌ خودپرداز عرضه می‌گردد.

این نوع از حملات معمولا بانک‌هایی را هدف قرار می‌دهند که موفق نشده‌اند فایروال مناسبی را پیاده‌سازی نمایند، نرم‌افزارشان به روز نیست و یا سیستم‌های امنیتی‌شان به درستی پیکربندی نشده است؛ 58 درصد از دستگاه‌های خودپرداز نسبت به این حمله آسیب‌پذیرند.

نفوذ به تجهیزات شبکه

نفوذ به تجهیزات شبکه‌ که به دستگاه‌ خودپرداز متصل‌اند، باعث دستیابی به کنترل کامل دستگاه‌ خودپرداز و دستور ارائه‌ی پول به صورت Remote می‌شود. این سناریو به نفوذ در تمام دستگاه‌های خودپردازی که به شبکه‌ی مورد حمله متصل‌اند منجر می‌شود و 23 درصد از دستگاه‌های خودپرداز نسبت به چنین حملاتی آسیب‌پذیر هستند.

نفوذپذیری اکثر دستگاه‌های خودپرداز بانکی

دسترسی فیزیکی به دستگاه‌ خودپرداز

در این نوع از حملات، مهاجمین سایبری مستقیما دستگاه‌ خودپرداز را سوراخ می‌کنند تا به کابل مربوط به عرضه‌ی پول دسترسی پیدا کنند. برخلافِ این کابل که در درون دستگاه‌ خودپرداز محافظت می‌شود، اتصال ارائه‌کننده‌ی پول نقد به کامپیوتر دستگاه‌ خودپرداز در بیرون قرار دارد که به هیچ عنوان ایمن نیست. در این صورت وقتی که دسترسی به کابل برقرار شد، مهاجمان آن را به دستگاه خودشان متصل کرده و با استفاده از دستورات مربوطه، مبلغ مورد نظر خود را جابجا میکنند. جای تعجب دارد که 63 درصد از دستگاه‌های خودپرداز نسبت به این حمله آسیب‌پذیر هستند.

اتصال به Hard Drive

مهاجمان سعی می‌کنند با گذشتن از سیستم امنیتی، به ATM Hard Drive متصل گردند تا کنترل ارائه‌دهنده‌ی پول را به طور کامل بدست گیرند، همچنین اگر Hard Drive رمزگذاری نشده باشد، مهاجم بدافزاری را که دستور توزیع پول را صادر می‌نماید، در Hard Drive بارگذاری می‌نماید.

همچنین مهاجمان فایل‌های حساس را از Hard Drive کپی کرده و در حمله‌های آینده از آن‌ها استفاده می‌نمایند. 92 درصد دستگاه‌های خودپردازِ بررسی شده، نسبت به این حمله آسیب‌پذیر بودند. سناریوهای دیگری نیز توسط تیم PT Security گزارش شده است و بانک‌ها باید بیشتر بر روی امنیت کامل دستگاه‌های خودپرداز تمرکز نمایند تا در آینده از حملات مرتبط به خودپردازها جلوگیری شود.

مراحل شناسایی حملات سایبری در محیط بانکی 

  • فعالیت تراکنشی مشکوک هدف‌دار باشد برای مثال با بررسی Transaction Discrepancy Analytic به صورت Frontend و Backend می‌توان برای شناسایی فعالیت بدافزارهایی که برای نفوذ از سوئیچ‌های دستگاه‌های خودپرداز مورداستفاده قرار می‌گیرند، بهره برد، یا زمانی که TR، سوئیچ پرداخت را وارد می‌کند اما هرگز به سراغ احراز هویت نمی‌رود.
  • فعالیت SWIFT Endpoint مشکوک: فرایند SAA نادر و یا MD5 Analytic باشد.
  • فعالیت SWIFT مشکوک: از طریق بررسی مقدار برای مثال 103 عددی غیرعادی برای ارسال از مبدا می‌باشد.
  • فعالیت ATM مشکوک: به نقطه اوج رسیدن فعالیت‌ها مانند تراکنش‌های غیر EMV ترتیبی برای تجزیه‌و‌تحلیل مبدا دستگاه‌ خودپرداز.
  • فعالیت شبکه‌ی مشکوک: از طریق بررسی مقدار و با تجزیه‌و‌تحلیل تغییرات غیرعادی PCCR می‌توان برای کمک کردن به شناسایی تغییرات، در رفتار سوییچ‌های دستگاه‌ خودپرداز از جنبه ساختاریِ ترافیک شبکه استفاده نمود.
  • فعالیت ATM مشکوک: با توجه به نقطه اوج رسیدن Fallbackهای EMV به کارشناس تجزیه‌و‌تحلیل، می‌توان فعالیت مشکوک را آشکار ساخت.
  • فعالیت شبکه‌ی مشکوک: اتصال شبکه‌ی خارجی غیرعادی که با تجزیه‌و‌تحلیل Host می‌توان برای شناسایی فعالیت‌های تهاجمی مرتبط با سوییچ دستگاه‌ خودپرداز در معرض خطر استفاده نمود.
  • فعالیت ATM مشکوک: با توجه به نقطه‌ی اوج حجم تراکنش On-Us برای تجزیه‌و‌تحلیل PAN فعالیت‌های غیرعادی قابل شناسایی هستند.
  • فعالیت ATM مشکوک: با توجه به حجم پول و تجزیه‌و‌تحلیل حجم تحویل پول نقد خارجی غیرعادی نفوذ به دستگاه خودپرداز آشکار می‌گردد.
  • فعالیت تراکنشی مشکوک: با توجه به تغییرات هدف‌دار و مشاهده حذف محدوده‌ی برداشت پول نقد عاملال خطرآفرینی که به صورت دستی محدوده‌ی برداشت پول نقد را تغییر می‌دهند شناسایی می‌گردند.
  • فعالیت فرایند مشکوک: به صورت زمانبندی و برنامه‌ریزی‌شده‌ Host را تغییر می‌دهند که می‌توان برای شناسایی یکی از تکنیک‌های متداول مورد استفاده‌ی Lazarus Group که مهاجمان با آن مرتبط بودند از آن بهره برد.
  • فعالیت فرایند مشکوک: با هدف اجرای یک فایل قابل اجرا تغییرات انجام شده باشند.
اشتراک امنیت

آخرین پست ها

دسته ها