Yazılar

Çok sayıda markayı hedefleyen ilk ATM zararlısı

cok-sayida-markayi-hedefleyen-ilk-atm-zararlisiDiebolt, NCR gibi üreticilere ait ATM para çekme makinelerini hedef alan zararlı yazılım gelişmiş özellikleriyle dikkat çekiyor.

ATM cihazlarından para sızdırmaya yarayan zararlı yazılımlar 2013 yılından beridir kullanılıyor. Fakat geçtiğimiz hafta ilk kez birden fazla üreticiye ait ATM cihazlarını hedef alan zararlı yazılım tespit edildi. Adı “Suceful” olan zararlı yazılım ilk kez 25 Ağustos tarihinde VirusTotal sitesine Rusya’dan yüklendi. O zaman henüz geliştirme aşamasındaydı.

Suceful, Diebolt veya NCR ATM cihazlarında kullanılan tüm kredi kartı, debit kartların track verilerini okuyabiliyor. Ayrıca kartların çiplerini okuyarak ATM’in sensörlerini de atlatabiliyor. Yine ATM’in PIN kodu girilen panelini de kontrol ederek şifreyi elde etmek mümkün. Belki de Suceful’un en ilginç özelliği istediği zaman kredi kartını fiziksel olarakta çalmaya imkan vermesi. Örneğin işlem sonrası kullanıcıya kartı çıkartılıp verilmiyor. Kullanıcı da yardım istemek için ATM’in başından ayrıldığında uzaktan tetiklenerek kart dışarı çıkartılıp fiziksel olarak da çalınabiliyor.

cok-sayida-markayi-hedefleyen-ilk-atm-zararlisi-2

Ploutus, Padpin gibi önceki ATM zararlılarını yüklemek için ATM cihazının içerisine ulaştıktan sonra CD, USB gibi yollarla zararlı yazılımı yüklemek veya çalışanlardan birine yaptırmak gerekiyordu. Burada işlemlerin çoğu işletim sistemi üzerinden yürütülüyordu. Suceful ise ATM üreticilerinin ATM cihazıyla haberleşmesini sağlayan XFS Manager ile birlikte çalışarak bu zorunluluğu ortadan kaldırabiliyor. XFS Manager üretici bağımsız ve Java ile kodlanmış bir yazılım. Özellikle NCR marka ATM cihazları ülkemizde de bankalar tarafından sıkça kullanılıyor.

Android telefon ile ATM cihazı hacklemek

android-telefon-ile-atm-cihazi-hacklemek-2Siber suçlular ATM cihazlarını hackleyerek akıllı telefon yardımıyla para çekmek için yeni yöntemler keşfediyor. ATM cihazlarına fiziksel olarak bağlanan telefon, uzaktan verilen komutlarla ATM cihazını yöneterek istenilen anda, istenilen şartlarda kartuşlarda bulunan paranın çekilebilmesine olanak sağlıyor.

Bu iş için gerekli olanlar boyutça ufak bir Android çalıştıran cep telefonu, USB kablosu ve USB devre kartı. Bu saldırı tekniği şu an için sadece NCR marka ATM cihazlarında başarıyla çalışıyor. Şu ana kadar NCR’ın haberdar olduğu kadarıyla bu saldırı türü kullanılarak 2 ATM soygunu gerçekleştirildi.

Firma bu gelişmeler üzerine bir firmware güncellemesi yayınlayarak cihazlardaki para kartuşları ile sistem arasındaki iletişimin şifrelemesini iyileştirdi. Güncellemenin diğer bir yaptığı ise bir kere bu versiyona geçildikten sonra geriye dönülememesi. Geriye dönülmesi halinde tekrar güvenlik riski meydana geliyor.
android-telefon-ile-atm-cihazi-hacklemek
NCR’ın konu ile yaptığı yorum saldırının oldukça ucuz, basit ve etkili olduğu yönünde. Eğer hangi komutları vereceğinizi biliyorsanız ATM’leri hacklemek oldukça basit. ATM cihazlarının halen gelişime ihtiyacı olduğu açık.

 

Visa kartınız cebinizdeyken habersiz binlerce lira çekilebilir

visa-kartiniz-cebinizdeyken-habersiz-binlerce-lira-cekilebilirVisa kredi kartlarında keşfedilen güvenlik açığı sayesinde suçlular kredi kartınızı çalmadan ciddi miktarlarda para çekebilirler.

Firma kredi kartıyla ödeme işlemlerini hızlandırmak için 35 TL ve altı işlemler için PIN kullanmadan ödeme imkanı sağlayan bir kolaylık getirmişti. Bu süreçte ciddi bir güvenlik açığı bulundu. Bulunan açık sayesinde 20 USD (35 TL) olan işlem limiti 999.999 USD gibi ciddi rakamlara kadar yükseltilebiliyor.

Bu transfer kredi kartı kişinin çantasında, cüzdanında veya cebinde de olsa gerçekleştirilebiliyor. Tahsilat çevrimdışı gerçekleştiği, kredi kartı kendi kendine doğruladığı için ek doğrulama ve güvenlik önlemlerinin tümü atlatılabiliyor. Buradaki en büyük tehditlerden biri de işlemin sadece bir cep telefonu yardımıyla gerçekleştirilebilmesi.

Çipli EMV sisteminde Europay, MasterCard ve Visa temassız alışverişleri 20 USD ve dengi para birimlerine sabitlemiş durumdalar. Sadece bu rakamın üzerindeki alışverişler için kullanıcıdan PIN isteniyor. Temassız olarak para çeken bu cep telefonlarının ise ATM’ler dahil olmak üzere kredi kartının ve insanın dolaşımda olduğu çok sayıda yere yerleştirilebilmesi mümkün. İnsanlar yürürken veya anlık olarak kartına yaklaşıldığında bir saniyeden kısa sürede karttan para çekilebiliyor.

Sızdırılan bilgiler sayesinde ATM’ler hackleniyor

sizdirilan-bilgiler-sayesinde-atmler-hackleniyorBaidu’da yayınlanan NCR ATM API dokümanları suçluların ATM odaklı zararlı yazılımlar geliştirmeleri için ciddi bir yardımcı kaynak oluşturdu. Yakın zamandaki artan ATM saldırılarının sebebi olarak bu olay gösteriliyor.

Kısa süre öncesine kadar Tyupkin adlı zararlı yazılım kullanılarak Avrupa çapında 50 kadar ATM cihazından zorla nakit para çekilmişti. Aslında Tyupkin bu türün tek örneği değil. 2013 Mayıs ayında Padpin adında bir zararlı yazılım, Ekim 2013’te ise Ploutus adlı bir zararlı yazılım yine benzer amaçla geliştirilerek aktif olarak kullanılmıştı.

Ploutus zararlı yazılımında saldırgan zararlı bulaştırdığı ATM cihazına SMS gönderiyor, ondan sonra da cihazın yanına giderek çıkardığı paraları alarak uzaklaşıyordu. Bu teknik dünyanın farklı köşelerindeki kriminaller tarafından kullanılmaya başlanmıştı. Zararlıyı bulaştırırken ise izlenen yol oldukça ilginç. Kişi illegal yolla ulaştığı USB portundan cep telefonunu USB tethering ile bağlayarak internet erişimini paylaştırıyor, sonrasında ATM cihazının içine gizlediği telefona uzaktan SMS göndererek ilgili komutları işlemesini sağlıyordu. Bu aynı zamanda telefonun pilinin de şarj olmasını sağlıyordu.

Elbette bu gibi zararlı yazılımları geliştirmek için söz konusu ATM cihazlarının yazılım ve donanım yapılarının iyi şekilde bilinmesi gerekiyor. Sızdırılan bazı dokümanlar ise bu riskin çoktan gerçekleştiğine işaret ediyor. Malezya’da kullanılan Padpin zararlı yazılımı sayesinde bir çete ATM cihazlarından 900 bin dolar para çekti. ATM’e bulaştırılan zararlı finansal servislerle ilgili çalışan DLL MSXFS.dll dosyasının bir uzantısı gibi davranarak API üzerinden ATM cihazında şifrenin girildiği tuşları izleyebiliyordu.

Tüm bu zararlı yazılımların, saldırıların, tekniklerin temelinde içeride tutulması gereken bazı özel dokümanların Çin merkezli arama motoru firması Baidu üzerinden sızdırılması ve ATM’lerin fiziksel güvenliklerinin yeterince sağlanamaması yatmakta.

Bluetooth ile benzin istasyonundan 2 milyon dolar çaldılar

Geçtiğimiz haftalarda ABD’de Georgia, Texas ve South Carolina’da benzin istasyonlarında bulunan ATM cihazlarında kopyalanan kredi kartı ve debit kartlardan toplamda 2 milyon dolar çalındığı ortaya çıktı.

İşlemi gerçekleştirenlerin 13 kişi olduğu ve 2 milyon dolara varan bir vurgun yaptıkları belirlendi. Kullanılan teknik ise sıradışı. Dolandırıcılar ATM cihazlarına yerleştirdikleri Bluetooth kullanan kart kopyalayıcı cihazlar yardımıyla kartları ve PIN kodlarını ele geçiriyorlar. Klonlanan kart bilgisi ile başka yerlerde rahatlıkla alışveriş yapılabiliyor.

bluetooth-ile-benzin-istasyonundan-2-milyon-dolar-calindi

İşin bir diğer ilginç yanı ise Bluetooth ile komuta edilen bu kart kopyalayıcı ekipmanın ATM cihazının içerisine yerleştirilmiş olması. Bu da tespit edilmesini oldukça güçleştiriyor. Hedef olarak seçilen yerler ise banka veya diğer güvenlikli lokasyonlar yerine benzin istasyonları. Bu yolla Mart 2012 – Mart 2013 tarihleri arasında çetenin 2.1 milyon dolar gelir elde ettiği biliniyor. Kartlardan çekilen rakamlar ise fraud kontrol mekanizmalarını atlatabilmek amacıyla 10 bin doların altında seçiliyor. Paralar 70 ayrı banka hesabına aktarılarak tespit zorlaştırılıyor.

Yakalanan 13 çete üyesi hırsızlığın yanı sıra para aklamak suçundan da cezalandırılacağı açıklandı. Fakat bu yöntemin siber mafya tarafından daha çok kullanılacağı öngörülebilir.

Yeni zararlı yazılım ATM’lere yükleniyor

malware-zararli-yazilim-atm-ploutusSiber suçluların değişmez hedeflerinden biri de para çekme cihazları olan ATM’ler. Şu sıra daha yenilikçi yollarla ATM’lere saldırmaya devam ediyorlar. Bunlardan en yenisi, geçen hafta keşfedilen “Ploutus” adlı zararlı yazılım.

Geçen hafta keşfedilen bu zararlı yazılım siber suçlunun doğrudan ATM’i kontrol edebilmesine imkan tanıyor. Saldırgan ATM’in tuş takımında veya interaktif ekranındaki belli menülere, tuşlara tıklayarak cihazdan doğrudan para çekebiliyorlar.

Saldırganlar kendileri için hazırladıkları zararlı yazılıma ait özel menüye belirli tuş kombinasyonlarını gerçekleştirdikten sonra ulaşıyorlar. Sonraki aşamada ise Ploutus zararlı yazılımı doğrudan ATM yazılımını kontrol edebiliyor. Şu an için Meksika’da siber suçlular cihazların bulunduğu kapalı kısımların kilitlerini açıp, cihazların görünebilir yerdeki cdrom sürücülerine ulaşarak Ploutus zararlı yazılımını doğrudan sisteme yüklüyorlar.

Siber mafyanın Ploutus’un farklı şekilde bulaşan ve yayılabilen versiyonları ile ilgili çalışmalarını sürdürdüğü biliniyor. Zararlı yazılımın avantajı kimseye ait kişisel bilgi, finansal bilgi ele geçirmeye gerek kalmadan doğrudan ATM cihazlarından para çekebilmeyi sağlaması.

KINS herkes için tehdit

kins-internet-bankaciligi-trojani2013’ün başlarında keşfedilen yeni internet bankacılığı trojanı KINS, yeni nesil bankacılık trojanlarının temsilcisi olarak görülüyor. SpyEye, Zeus ve artık geliştirilmeyen Citadel trojanlarından sonra artık KINS ile ilgili gelişmelere daha çok rastlayacağız.

KINS tamamıyla yeni bir proje. Yani Zeus veya SpyEye’dan türetilmiş bir versiyon değil. Ama bu demek değil ki benzeri işleri yapan diğer trojanlardan ek özellikler almasın. KINS, Zeus’un web injectionlarını içeriyor ve SpyEye’ın Anti-Report eklentisi ile uyumlu çalışıyor.

KINS’in en ilginç özelliği ise Rus kullanıcılara bulaşmıyor olması. Sistemde Rus ülkelerinden birine ait bölgesel ayar gördüğü zaman trojan kendini siliyor. Trojan modüler bir yapıya sahip. En temel paket bootkit, dropper, DLL dosyaları ve Zeus uyumlu web injectleri içeriyor. Trojan’ın temel paketi 5.000$ gibi bir fiyata satılıyor. Her ek plugin ise 2.000$ gibi bir fiyata alıcı buluyor.

Bootkit modülü gerçekten ilginç. KINS benzeri Zeus, SpyEye gibi bankacılık trojanlarında olmayan bu özellik sayesinde trojan kendini VBR (Volume Boot Record) yazarak sistemdeki varlığını daha uzun süre saklayabiliyor. Bootkit modülünün değerini anlamak için Carberp trojanına bakmak gerek. Carberp için bootkit modülü siber suçlular dünyasında 40.000$’a rahatlıkla alıcı buluyor.

40 milyon dolarla en büyük siber banka vurgunu

siber-banka-vurgunuGelmiş geçmiş en büyük banka soygunlarından birisi, bir grup siber suçlu tarafından gerçekleştirildi. 26 ülkede organize olan grup toplamda 45 milyon doları ellerindeki veritabanında bulunan kredi kartlarından ATM’leri kullanarak çekerek kayıplara karıştı.

Yapılan organize soygunun Kanada’dan Rusya’ya kadar 27 ülkede bulunan ve ağırlıklı olarak güncellenmemiş sistemlere sahip ATM makinelerinden yararlanılarak gerçekleştirildiği tespit edildi. Ekibin ardında ne tarz bir suç şebekesi olduğu bilinmiyor. Fakat global ölçekte düzenlenen bu soygunun sıradan bir grup tarafından gerçekleştirilmesi mümkün değil.

Bölgesel olarak bakıldığında sadece New York’ta, 7 kişi, 10 saat içerisinde tam 2.4 milyon doları ATM’lerden çekti. Aslında bu ekibin gerçekleştirdiği ilk soygun değildi. 22 Aralık 2012’de çete Birleşik Arap Emirliklerinde bir bankanın veritabanından ön ödemeli MasterCard debit kartları ele geçirmişti. Bu bilgileri manyetik kartlara yükleyen saldırganlar birkaç saat içerisinde 20 ülkede organize şekilde hesaplardan 5 milyon dolar çalmıştı.siber-banka-vurgunu-40-milyon-dolar

Bu olaydan birkaç ay sonra, yani 19 Şubat 2013’de siber suçlular diğer büyük oprasyonu gerçekleştirdi. Saatler içerisinde 36.000 işlem gerçekleştirerek 20 ülkedeki ATM’lerden 40 milyon doları ele geçirdi. Siber suçluların yaptığı şey bankanın veritabanını kart limitleri ve her türlü bilgi ile birlikte ele geçirmek, ele geçirdiği kart bilgilerini boş plastik kartlara, eski otel anahtarı kartlarına veya süresi geçmiş kredi kartlarına yükleyerek kullanmaktı. Çetenin bir kısım ATM’lerden para çekerken, diğer kısım pahalı ekipmanları fiziksel mağazalardan satın alarak belli merkezlerde depoluyordu.

Siber suçluların sadece laptoplar, internet erişimi ve birkaç plastik kart kullanarak yaptığı bu soygun artık silahlı saldırganların gerçekleştirdiği olayların internet ortamına taşındığının en güçlü işareti.