Как взломать банковскую карту
Обновлено: 19.04.2024
Что, устали детишки,
считать себя use'верями? И правильно - это в
нашем "ключе". Свою qualify надо поднимать.
Как? Вершина - взлом пентагона. Но его
столько раз ломали - что уже не интересно. Да
и кому он нужен? Когда Аль Капоне спросили,
почему он грабит банки, он сказал:
"Потому что там лежат
деньги!".
Умный был мужик, только
пил много:))) Ну так вот - если если есть
желание следовать заветам Великого Вождя (не
пить, а деньги переводить:), то могу помочь. ).
Попутно придется и книжек почитать, и по
сетке полазить, и проклинать дебилов,
которые не хотят ставить на банковские
серваки MustDie! Приступим. Ставить будем W2K (для
предварительной разведки) и Red Hat Linux (или
FreeBSD- система заточена под сетку) - для всей
остальной деятельности. Перво-наперво надо
юзануть по полной ПМ (Partition Magic, а не Пистолет
Макарова:) и создать основной раздельчик
под Linux (до 2Gb) и в расширенном - раздел
подкачки (swap= RAMх2). А как же любимый MustDie'98se? А
никак - поверх ставим W2k Pro - и на вопрос: "Преобразовать
в NTFS?", ответим :"Yes, of course". Кто
работал с W2k, знает, что система устойчивая и
дядька Билли постарался на славу :). Кстати, а ты
знал, что W2k могет без проблем выполнять
некоторые проги под OS/2 и POSIX? То-то. Когда с
Win'oм будет покончено, будем ставить Красную
Шапку - Red Hat Linux (по-ихнему), или FreeBSD (несколько
лежат на Ftp-серваке Cityline). Ну а если Шапка - то
главное чтоб версия была 6-7. Если регулярно
читаешь " Домашнюю энциклопедию будущих
хакеров" , то значит,
соединение с inet'ом настроить сможешь.
Правда, в Шапке есть прога Kppp -
она сможет сделать все тоже самое только
быстрей.
Ну как? Уже сбегал за
макулатурой к метро? Зачем она тебe? У тя
есть Inet. Запускаешь до боли знакомый, но
приятный, Netscape - и на русский сайт по своему
*Nix'у!
Да, и чуть не забыл! Смени
все Nick'и и открой еще один ящик (e-mail) и
подпишись на рассылки, посвященные
безопасности, "дыркам" в системах,
хакерах и всему подобному в этом ключе. И
нечего всем вокруг рассказывать, что
собираешься банк ломануть - а то далекая
перспектива попасть в места "не столь
отдаленные" может стать
не такой уж "далекой" . 🙁
Прошли годы. (у кул
хацкеров это неделя!) Пора подумать и о
безопасности. А то ребята на "козлике"
тебя навестят:) Так вот, разведку будем
делать сначала из-под W2k . Ставим AtGuard,
заблокировав все, что только возможно:),
шизофренически- маниакальный NetArmor (если
вытерпишь:) и A4Proxy (каскадинг прокси). В A4Proxy
есть раздельчик "Anonimity Rank" - сделай его
15 из 15, пощелкав по check box'ам. Для пущей
секьюрити PGP 6.0.2 (эта версия еще
поддерживает кодирование дисков), качаем
свежих троянов (потрясная штука: SpyTech Shadow Net,
ни 1 антивирус ничего не нашел - не троян все-таки,
а прога удаленного администрирования,
после того как я на себя поставил и клиента
и сервера - www.spytech-web.com)
и заводим сетевой диск на www.xdrive.com ,
куда будем скидывать закодированные
результаты "разведки". Может потом и
приедут ребята на "козле", а ты косишь
под "тупого ламера" - ничего и не знаешь:
"Квейк по сетке - это круто!". Настала
пора выбрать цель, что проще пареной репы -
куда Бог(АltaVista) пошлет. Желательно
англоязычная страна и банк-эмитент
карточек. "Vassisualyi Pupakov Bankos", например.
> Все проги перечисленные в данной статье Вы можете скачать с нашего сайта
Проблема с хищениями денег с банковских карт актуальна уже достаточно давно: мошенники научились выманивать из жертв полные реквизиты карт и коды подтверждения операций.
Раньше эти деньги переводились на другие карты и затем обналичивались, но банки и правоохранители могли найти как минимум номинального держателя карты.
Затем были фактически запрещены любые анонимные операции – нужно или пополнять кошелек с банковского счета, или пройти процедуру авторизации, что, в теории, должно было минимизировать масштабы мошенничества.
Но технологии не стоят на месте – мошенники, как всегда, оказываются на шаг впереди. Теперь они «изобрели» очередную схему: деньги с карт жертв перечисляются через сервисы card2card на реквизиты виртуальных карт анонимных кошельков, говорит представитель Сбербанка. Так они могут обойти ограничение по анонимным кошелькам (ведь карта априори считается именной), и беспрепятственно выводить украденное.
Как развиваются схемы воровства денег и что делать обычным клиентам банков, нам рассказал юрист компании Прифинанс Артур Ибрагимов: Несмотря на то, что законодательно предусмотрены меры уголовной ответственности за подобного рода деяния, к сожалению, граждане не всегда защищены.
Далеко не всегда заведённое уголовное дело доходит до логического завершения, чем и пользуются мошенники. Они работают организованными группами, создают серьезные схемы и структуры для того, чтобы пресечь деятельность такой организации необходимо выявить и отследить всю цепочку. Такая кропотливая работа занимает у оперативников много времени. Даже после выявления схемы и задержании мошенников, найти и вернуть украденные деньги, к сожалению, фактически невозможно: похищенные средства мгновенно исчезают через цепочки сомнительных счетов.
Довольно частое явление-мошенники «орудуют» с территории соседних государств, таких как Украина, что дает им дополнительные преимущества для сокрытия своей преступной деятельности. Так, законодательство РФ не распространяется на территорию Украины, а значит, для наложения блокировки или ареста на счет, а также проведения оперативных мероприятий в пределах территории другого государства необходимо применять нормы международного законодательства. И чтобы реализовать подобные действия, проходит слишком много времени, и даже когда удается выйти на владельца счета, выясняется, что этот украинский счет транзитный, и средства уже давно перечислены в станы Европы, Прибалтики и пр. Шанс вернуть украденные деньги есть всегда, не важно речь идет о небольших средствах или о крупных.
Практический совет. Как только обнаруживается пропажа или несанкционированное списание с карты действовать следует быстро, следует обратиться в банк и заблокировать счет. Далее написать претензию/заявление в банк о том, что произошло и выразит свое несогласие с действиями. Параллельно рекомендуется обратиться в полицию. Как правило, служба безопасности в течение 30 дней расследует данные инциденты, и при выявлении незаконных манипуляций, возвращает средства владельцу.
Здоровеньки булым, гарнiй
хлопец. Если ты часто себя спрашиваешь :" Ну че
за хрень, да где же эти кардеры берут номера
кредиток. %=( Значит, эта статья для тебя!
/orders
/Order
/Orders
/order
/config
/Admin_files
/mall_log_files
/PDG_Cart
PDG_Cart/order.log
PDG_Cart/shopper.conf
/pw
/store/customers
/store/temp_customers
/WebShop
/webshop
/WebShop/templates
/WebShop/logs
В директориях подобного рода содержатся файлы
типа:
orders.txt
order.txt
import.txt
checks.txt
order_log
order.log
orders.log
orders_log
log_order
log_orders
temp_order
temp_orders
order_temp
orders_temp
quikstore.cfg
quikstore.cgi
order_log_v12.dat
also order_log.dat
web_store.cgi
storemgr.pw
admin.pw
cc.txt
ck.log
shopper.conf
Так же нужно смотреть *.cfg, *.pw и *.olf файлы
Хех. вроде бы и всё, что нужно знать =). Ложишь
пальцы на клаву и нервно стучишь в поисковую
строку нечто на подобие "Index of /orders.log" и жмёшь
ENTER. Что дальше?! А дальше вам стоит просто
терпение и перебор нужных ссылок. а потом
проверка полученых кредиток =). Вот так вот плохие
люди (ака редиски =) имеют ваши креды.
Способ 3. С помощью 2
способа ты получишь минимум кред. Порносайт плох
тем, что вряд ли вам удастся создать что-то такое,
на что народ бы валом попёр, т.к. то, что можно было
придумать новаторское в этой области, давно
придумано, да и народу, который на порносайты за
деньги валит, сравнительно немного. и ламерков
(юзеров, программеров, хакеров, системных
администраторов - подчеркнуть нужное), которые
пытаются денег нагрести, полно, а после
публикации в "Хакере" количество оных, я
думаю, увеличится ещё раз в 5-10 раз =)))).
Чтобы выделиться на общем фоне, надо прибегать
к-чёрт-знает-каким-напрягам, да и вообще подумай:
надо ли тебе это.
Есть идея получше: открыть свой
е-магазин =))))))))), без всяких шуток!=).
Итак, фишка заключается в том, что можно
предложить народу любые продукты (только не
варенье и не тампаксы =)))), по ценам ниже рыночных
=). Как это сделать? Да очень просто: мы только
предлагаем, но ничего не продаём. Чувствую, что
окончательно тебя запутал =). Давайте приведу
пример: создаём сайт по продаже
супер-пупер-мега-дрюпер-компов по цене в 400
вечнозеленых =)(ну, ест-но, покупка по кредам, и
тэдэ, и тэпэ), после некой рекламы про
супер-низкие цены к нам приходит человек, и, видя
данную картину, естественно желает прикупить
парочку данных компов. Далее, он покупает их по
креде, которая и приходит к нам на е-маил, а через
дня два ему посылается письмецо с содержанием:
Компания супермега компы Inc. крупно извиняется,
но не может выполнить данную услугу в данный
момент, или что-то в этом духе. И вот у вас креда в
руках, творите что хотите, но особенно не
зарывайтесь=).
Так же можно продавать буржуям продукты питания,
так как там, где солнце светит наглой мордой,
покупки через интернет делают в основном
домохозяйки.
Способ 5. В больших супермаркетах
принимают к оплате кредитные карты. После того,
как покупатель прошел через кассу у него на руках
остается чек и "Слип". Так вот многие люди
просто выкидывают его в урну. Стоит поошиваться
около мусорки и у тебя на руках остается почти
настоящая кредитка. Кстати подходят только
карточки Visa, MasterCard и AmericanExpress(aka Amex). (это обычно
пишется на слипе.)
Способ 6. Попросить у друга-официанта
незаметно переписать номер кредитки и
дать/продать тебе.
Способ 7. Взломать какой-нибудь web-shop и
скоприовать файл или лог с кредиками. Способ
имеет большой недостаток. Необходимо быть крутым
хакером, а этим наделены немногие.
Способ 8. Купить кредитку в банке (как
сам понимаешь, отпадает в связи с тематикой
данной статьи 🙁 )
Ну все, если ты знаешь еще какие-нибудь способы,
пиши мне на мэйлбокс.
Примечание: только не надо меня бомбить письмами
с просьбой дать реальных номеров кредитных карт,
все равно не дам, да и не знаю я что такое кредитки
и вообще я боюсь компьютеров:))
Виды в окрестностях Payment Village на Positive Hack Days
На прошедшем 20 и 21 мая 2021 г. Positive Hack Days в зоне Payment Village был конкурс, участники которого могли посоревноваться в хакерском мастерстве, в частности во взломе банкоматов. Организаторы подготовили три виртуальных машины банкоматов с разным уровнем сложности заданий. На протяжении двух дней участники пытались взломать банкоматы, но всего несколько человек смогли приблизиться к заложенным нами сценариям.
Виртуальные машины банкоматов можно и сейчас скачать по ссылкам ниже:
Мы решили сделать разбор кейсов в этой статье, с помощью которой вы пошагово сможете прокачать свои скилы.
Bankomat1.ova (сложность medium)
Задача: запустить .vbs-скрипт в обход существующих ограничений AppLocker и каким-то образом повысить привилегии в системе до администратора.
Сразу после загрузки виртуальной машины перед участником появлялась надпись-призыв «Я банкомат и жду, пока меня кто-то сломает». Кроме того, в этом задании было много различных отвлекающих внимание секретов.
Лицензия скоро иссякнет, попробуйте перейти в настройки 😉
Например, внезапно могло появиться окно «Доступны обновления», в котором не нажималась кнопка, что давало ложные надежды найти выход из режима киоска. Или такое: комбинация клавиш Ctrl+Alt+Del работала, но открыть диспетчер задач не получалось из-за ограничений в реестре.
Комбинации клавиш и обход АppLocker
Для взлома банкомата участникам необходимо было каким-то образом подключить к нему клавиатуру, чтобы попытаться выйти из режима киоска с помощью комбинаций клавиш. Так как для запуска виртуальной машины используется VMware, у участников был доступ к клавиатуре, следовательно провести такую атаку они могли. Пробегаясь по кнопкам, участники могли заметить, что многие из них не работают: не нажимается аппаратная кнопка калькулятора (у вас есть такая на клавиатуре?), не работает клавиша Win, не работают комбинации Alt+Tab и даже Alt+F4.
Но вдруг после многочасовых попыток поиска нужной комбинации клавиш участникам удалось заметить, что после нажатия Alt+F4 несколько раз киоск все-таки закрывается. На эту идею их должен был натолкнуть запуск блокнота при старте виртуальной машины. Буквально на секунду блокнот проскакивает, и его даже видно, а потом поверх запускается киоск. Секрет заключается в том, что параллельно запускаются два киоска, которые нужно закрыть поочередно. Чтобы сделать это, нужно нажать Alt+F4 и левую клавишу мыши. После загрузки виртуальной машины сначала запускается notepad.exe, потом kiosk.exe, потом еще раз kiosk.exe, но закрываются они в случайном порядке, если не использовать левую клавишу мыши. Итого: мы научились закрывать киоск.
Вызов cmd.exe из блокнота
Далее по сценарию участникам необходимо было через блокнот открыть консоль. Следует отметить, консоль нужна для того, чтобы поэксплуатировать известную уязвимость в Windows, которая позволяет запускать .vbs-скрипты в обход AppLocker.
Ограничения запуска vbs скриптов
Невозможно запустить скрипт напрямую, но при использовании следующей команды можно выполнить первую часть задания: mshta "vbscript:window.close(msgbox("test"))
Демонстрация выполнения VBS в обход AppLocker
Повышение привилегий
Для повышения привилегий необходимо было найти в файле C:\\Windows\Panther\unattend.xml пароль администратора, зашифрованный в Base64.
Закодированный пароль
С этой задачей участники благополучно справились.
Bankomat2.ova (сложность hard)
Задача: обойти режим киоска и каким-то образом повысить привилегии в системе до администратора.
Этот банкомат работает по следующему принципу: каждый раз при запуске стартует приложение client.exe, которое обращается к удаленному серверу, проверяет сертификат сервера и, если он валидный, шлет команду getcommand, и на нее сервер в свою очередь отвечает командой, которую должен выполнить клиент.
Client.py
Server.py
Итого: участникам необходимо было поднять свой сервер, каким-то образом редиректнуть на него трафик с банкомата и подстроить ответ, чтобы выполнить свою команду. Кроме этого, нужно было понять, как генерировать сертификат для проверки.
Итак, для взлома этого банкомата можно использовать ARP spoofing.
Далее участники могли скачать Kali Linux, ввести команду sudo apt install dsniff и установить пакет, содержащий инструмент arpspoof, который позволяет провести эту атаку.
С помощью следующей команды участники могли редиректнуть трафик с порта 7776 на порт 8080:
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7776 -j REDIRECT --to-port 8080
Сервер принимает команды
Далее черед генерации сертификата и запуска сервера на порте 8080. Можно использовать код, который я привел выше, запускать на банкомате будем explorer.exe. Сертификат генерируется с помощью следующей команды:
openssl req -new -x509 -days 365 -nodes -out cert.pem -keyout cert.pem
Демонстрация атаки
После генерации сертификат cert.pem следует поместить в папку рядом со скриптом server.py.
Итак, наконец участники увидели долгожданный проводник, через который им надо открыть Internet Explorer, чудом не запрещенный.
Запуск проводника на банкомате
Это задание оказалось для участников сложным, никто не смог его решить.
Bankomat3.ova (сложность low)
Задача: обойти режим киоска и каким-то образом повысить привилегии в системе до администратора.
В этом банкомате большинство клавиш просто запрещены, следовательно, для выполнения задания нужно использовать другие методы. Для взлома этой виртуальной машины необходимо выйти в безопасный режим (клавиша 4 на следующем скриншоте).
Варианты загрузки системы
Перезагрузка банкомата во время перезагрузки для выхода в безопасный режим.
Перезагрузка в параметры загрузки.
В виртуальной машине есть несколько аккаунтов: bankomat и администратор. При входе в аккаунт администратора атакующий не сможет ничего выполнить, так как перед ним будет черный экран.
Далее следует повышение привилегий. Повысить привилегии можно несколькими способами. Самый легкий из них: администратор не указал пароль для своего аккаунта, и UAC можно обойти, просто оставив пустым поле для пароля.
С этой задачей участники почти справились, им не хватило чуть-чуть: у них получилось удалить приложение киоска с помощью безопасного режима, но не удалось повысить привилегии в системе.
Выводы
Победителями конкурса по взлому банкоматов стали truebar и Soapboiler. Свои призы они уже получили. Еще раз спасибо участникам и победителям!
В статье были продемонстрированы крутые кейсы и техники, с помощью которых можно прокачать себя в пентесте банкоматов. Рабочих и наглядных сценариев для ARP spoofing сейчас действительно мало, поэтому мы и решили написать эту статью.
И конечно, завершим этот материал конструктивом для defensive: если вы защищаете банкомат, не забывайте про комбинации клавиш, прячьте свой пароль и обдумывайте логику проверки сертификатов. И еще обновляйте свой софт, чтобы старые CVE не работали.
Исследователь безопасности обнаружил ряд ошибок, позволяющих взламывать банкоматы и широкий спектр терминалов продаж по-новому — взмахом телефона над устройством для чтения бесконтактных банковских карт. К старту курса Этичный хакер делимся переводом статьи о возможностях, которые открываются при эксплуатации обнаруженных уязвимостей, о том, что делал автор, чтобы обнаружить их и о том, как отреагировали производители банкоматов.
Иосип Родригес, Исследователь и консультант по безопасности охранной фирмы IOActive провёл последний год в поисках уязвимости в так называемых чипах коммуникации ближнего поля (NFC), работающих в миллионах банкоматов и терминалов продаж по всему миру. С NFC для проведения платежа или вывода денег из банкомата не нужно вставлять карту — достаточно провести её над считывателем. Технология работает в бесчисленных розничных магазинах и ресторанах, торговых автоматах, паркоматах и такси по всему миру.
Родригес утверждает, что он даже может заставить банкоматы, по крайней мере одной марки, выдавать наличные, хотя такой «джекпоттинг» работает только в сочетании с другими ошибками, которые, по его словам, он нашёл в программном обеспечении банкоматов. Из-за соглашений о неразглашении с поставщиками банкоматов Родригес отказался уточнять или раскрывать эти ошибки.
«Можно модифицировать прошивку и изменить цену, например на один доллар, пока на экране отображается другая цена, вывести устройство из строя или установить своего рода программу-вымогатель — вариантов много», — рассказывает Родригес об обнаруженных им уязвимостях.
«Выстроив цепочку атак, а также отправив специальную полезную нагрузку на компьютер банкомата, вы сможете снять деньги с банкомата, как джекпот, просто проведя телефоном над NFC-считывателем».
Исследователь рассказывает, что с июня по декабрь 2020 года он предупреждал о своих находках пострадавших поставщиков, включая ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo, а также неназванного поставщика банкоматов.
Тем не менее исследователь также предупреждает о том, что затронуто огромное количество систем, а также о факте, что многие терминалы и банкоматы обновляют ПО нерегулярно, во многих случаях требуя физического доступа для обновления. Это означает, что многие устройства, вероятно, останутся уязвимыми. «Физическое исправление стольких сотен тысяч банкоматов потребует много времени», — говорит Родригес.
Он также не предоставил видеодемонстрацию атаки джекпоттинга, поскольку, по его словам, мог легально протестировать только устройства, полученные в рамках консультаций IOActive по вопросам безопасности для пострадавшего поставщика банкоматов, с которым IOActive подписала соглашение о неразглашении.
«Полученные результаты — отличное исследование уязвимости работающего на встраиваемых устройствах программного обеспечения», — говорит Карстен Нол, основатель фирмы по безопасности SRLabs и известный взломщик прошивок, который проанализировал работу Родригеса.
Однако Нол указывает на несколько недостатков, которые делают метод непрактичным в реальных кражах. Взломанный считыватель NFC может украсть только данные карты с магнитной полосой, но не PIN-код жертвы или данные с чипов EMV. И тот факт, что трюк с обналичиванием денег из банкомата потребует дополнительной уязвимости в коде конкретного банкомата, — немаловажная оговорка, утверждает Нол.
Вместе с тем исследователи в области безопасности, такие как покойный хакер IOActive Барнаби Джек и команда Red Balloon Security, уже много лет вскрывают уязвимости банкоматов и даже показали, что хакеры могут удалённо запускать джекпоттинг ATM. Генеральный директор и главный научный сотрудник Red Balloon Анг Куи рассказывает, что впечатлён выводами Родригеса и, несмотря на то что IOActive утаила некоторые детали своей атаки, не сомневается, что взлом считывателя NFC может привести к выдаче наличных во многих современных банкоматах.
«Я думаю, очень правдоподобно, что как только вы получите возможность выполнения кода на любом из этих устройств, то сможете добраться до главного контроллера: он полон уязвимостей, которые остаются в системе более десяти лет», — говорит Куи. «Оттуда, — добавляет он, — абсолютно точно возможно контролировать кассетный диспенсер, который хранит и выдаёт наличные деньги пользователям».
Родригес, который провёл годы, тестируя безопасность банкоматов в качестве консультанта, рассказывает, что год назад начал изучать вопрос о том, могут ли бесконтактные считыватели карт банкоматов, чаще всего продаваемые компанией ID Tech, специализирующейся на платёжных технологиях, — служить средством их взлома. Он начал покупать считыватели NFC и терминалы продаж на eBay и вскоре обнаружил, что многие из них страдают от одного и того же недостатка безопасности: они не проверяют размер пакета данных, отправляемого через NFC с банковской карты на считыватель, этот пакет называют пакетом данных протокола приложения или APDU.
Когда WIRED связались с пострадавшими компаниями, ID Tech, BBPOS и Nexgo не ответили на просьбы о комментариях, также отказалась от комментариев Ассоциация индустрии банкоматов. Компания Ingenico в своём заявлении сообщила, что благодаря принятым мерам безопасности способ переполнения буфера Родригеса мог только вывести из строя её устройства, но не позволял выполнить код на них. Однако, «учитывая неудобства и последствия для наших клиентов», компания всё равно выпустила исправление.
Родригес сомневается, что меры Ingenico действительно предотвратят выполнение кода, но он не написал доказательство концепции для демонстрации.
Компания Verifone, в свою очередь, заявила, что нашла и устранила уязвимости терминалов, на которые Родригес обратил внимание в 2018 году, задолго до того, как он сообщил о них. Но Родригес утверждает, что это лишь демонстрирует непоследовательность исправления в устройствах компании; он говорит, что протестировал свои методы взлома с помощью NFC на устройстве Verifone в ресторане в прошлом году и обнаружил, что оно по-прежнему уязвимо.
Многие находки исследователя оставались в тайне целый год, в ближайшие недели Родригес планирует поделиться техническими деталями уязвимостей на вебинаре, отчасти, чтобы подтолкнуть клиентов пострадавших производителей внедрить выпущенные исправления.
Кроме того, Родригес хочет привлечь внимание к плачевному состоянию безопасности встраиваемых устройств в целом. Он был потрясён, обнаружив, что такие простые уязвимости, как переполнение буфера, сохранились во многих широко используемых устройствах — тех, которые работают с наличными и конфиденциальной финансовой информацией.
«Многие годы эти уязвимости присутствуют в прошивке устройств, с которыми мы каждый день сталкиваемся при работе с банковским картами, с нашими деньгами, — говорит он. — Они должны быть защищены».
Из этого материала становится ясно, что даже системы, которые непосвящённому человеку кажутся самыми надёжными, могут подводить из-за недостатков, известных уже десятки лет. Если вам хочется самому находить такие уязвимости, то научиться всему можно на нашем курс для пентестеров со специальной скидкой по промокоду HABR.
Узнайте, как прокачаться и в других специальностях или освоить их с нуля:
Автор статьи
Читайте также: