ATM

Malware Prilex ditingkatkan untuk melewati keamanan kartu kredit

September 30, 2022 by Eevee

Analis keamanan telah mengamati tiga versi baru malware penargetan Prilex PoS tahun ini, yang menunjukkan bahwa pembuat dan operatornya kembali beraksi.

Prilex dimulai sebagai malware yang berfokus pada ATM pada tahun 2014 dan beralih ke perangkat PoS (point of sale) pada tahun 2016. Disaat pengembangan dan distribusi mencapai puncaknya pada tahun 2020, malware tersebut menghilang pada tahun 2021.

Analis Kaspersky sekarang melaporkan bahwa Prilex telah kembali, dan jeda operasional tahun lalu tampaknya menjadi jeda untuk fokus mengembangkan versi yang lebih canggih dan kuat.

Angsuran terbaru mampu menghasilkan kriptogram EMV (Europay, MasterCard, dan Visa), yang diperkenalkan pada tahun 2019 oleh VISA sebagai sistem validasi transaksi untuk membantu mendeteksi dan memblokir penipuan pembayaran.

Hal tersebut juga memungkinkan pelaku ancaman untuk menggunakan kriptogram EMV (pesan terenkripsi antara kartu dan pembaca yang berisi detail transaksi) untuk melakukan ‘transaksi GHOST’ bahkan menggunakan kartu kredit yang dilindungi dengan teknologi CHIP dan PIN.

Rantai serangan malware Prilex (Kaspersky)

Infeksi dimulai dengan email spear phishing yang menyamar sebagai teknisi dari vendor PoS, menuduh bahwa perusahaan perlu memperbarui perangkat lunak PoS-nya.

Selanjutnya, teknisi palsu mengunjungi lokasi target secara langsung dan menginstal pembaruan berbahaya di terminal PoS.

Atau, penyerang mengarahkan korban untuk menginstal alat akses jarak jauh AnyDesk di komputer mereka dan kemudian menggunakannya untuk mengganti firmware PoS dengan versi yang dicampur.

Setelah infeksi, operator akan mengevaluasi mesin untuk menentukan apakah target cukup produktif dalam hal volume transaksi keuangan atau tidak sepadan dengan waktu mereka.

Versi Prilex baru telah menambahkan pintu belakang untuk komunikasi, pencuri untuk mencegat semua pertukaran data, dan modul pengunggah untuk eksfiltrasi.

Modul pencurinya menggunakan pengait pada beberapa API Windows untuk mengintip saluran komunikasi antara bantalan PIN dan perangkat lunak PoS dan dapat memodifikasi konten transaksi, menangkap informasi kartu, dan meminta kriptogram EMV baru dari kartu.

Informasi yang diambil disimpan dalam bentuk terenkripsi secara lokal di komputer yang disusupi dan secara berkala diunggah ke server command and control (C2) malware melalui permintaan HTTP POST.

“Grup Prilex telah menunjukkan tingkat pengetahuan yang tinggi tentang transaksi kartu kredit dan debit, dan bagaimana perangkat lunak yang digunakan untuk pemrosesan pembayaran bekerja,” Kaspersky menyimpulkan.

“Ini memungkinkan penyerang untuk terus memperbarui alat mereka untuk menemukan cara untuk menghindari kebijakan otorisasi, memungkinkan mereka untuk melakukan serangan mereka.”

Sumber: Bleeping Computer

Skimmer ATM super tipis ‘Deep Insert’

September 15, 2022 by Eevee

Sejumlah lembaga keuangan di dalam dan sekitar New York City berurusan dengan perangkat skimming “Deep Insert” super tipis yang dirancang untuk masuk ke dalam mulut slot penerimaan kartu ATM.

Skimmer kartu tersebut dipasangkan dengan kamera sebesar lubang jarum kecil yang disamarkan sebagai bagian dari mesin ATM.

Skimmer “Deep Insert” ultra tipis dan fleksibel yang baru-baru ini ditemukan dari mesin ATM NCR di New York. Persegi panjang kuning besar adalah baterai. Gambar: KrebsOnSecurity.com.

Sisipan skimmer yang digambarkan di atas tingginya sekitar 0,68 milimeter. Ini menyisakan lebih dari cukup ruang untuk menampung sebagian besar kartu pembayaran (~.54 mm) tanpa mengganggu kemampuan mesin untuk mengambil dan mengembalikan kartu pelanggan.

Skimmer ini tidak berusaha untuk menyedot data atau transaksi kartu chip, melainkan data pemegang kartu masih disimpan dalam teks biasa pada strip magnetik di bagian belakang sebagian besar kartu pembayaran.

Sisi lain dari skimmer Deep Insert. Gambar: KrebsOnSecurity.com.

Pencuri yang merancang skimmer ini mengincar data strip magnetik dan 4 digit nomor identifikasi pribadi (PIN) pelanggan. Dengan dua data tersebut, para penjahat kemudian dapat mengkloning kartu pembayaran dan menggunakannya untuk menyedot uang dari rekening korban di ATM lain.

Untuk mencuri PIN, para penipu dalam hal ini menyematkan kamera lubang jarum di panel palsu yang dibuat agar pas di atas penutup mesin ATM di satu sisi bantalan PIN.

Kamera lubang jarum disembunyikan di panel samping palsu yang direkatkan ke satu sisi ATM, dan miring ke arah bantalan PIN. Gambar: KrebsOnSecurity.com.

Perangkat skimming yang digambarkan di atas diambil dari merek ATM buatan NCR yang disebut NCR SelfServ 84 Walk-Up. Pada Januari 2022, NCR menghasilkan laporan tentang skimmer Deep Insert bermotor, yang menawarkan tampilan lebih dekat pada skimmer sisipan lain yang ditemukan menargetkan lini ATM yang sama ini.

Berikut adalah beberapa variasi pada skimmer Deep Insert yang ditemukan NCR dalam penyelidikan terbaru:

Gambar di sebelah kiri di bawah menunjukkan skimmer Deep Insert lainnya dan komponen penyusunnya. Gambar di sebelah kanan menunjukkan kamera lubang jarum yang dioperasikan dengan baterai yang tersembunyi di fasia palsu langsung di sebelah kanan bantalan PIN ATM.

Laporan NCR termasuk foto tambahan yang menunjukkan bagaimana panel samping ATM palsu dengan kamera tersembunyi dibuat dengan hati-hati untuk menyelinap di atas panel samping ATM asli.

Terkadang Skimmer menyematkan kamera mata-mata lubang jarum mereka di panel palsu langsung di atas bantalan PIN, seperti dalam serangan baru-baru ini yang menargetkan model NCR yang serupa:

Pada gambar di bawah, skimmer menyembunyikan kamera lubang jarum mereka di “cermin kesadaran konsumen” yang ditempatkan tepat di atas ATM yang dipasangi skimmer sisipan:

Lembaga keuangan mengatakan telah melihat keberhasilan dalam menghentikan sebagian besar serangan skimmer insert ini dengan memasukkan solusi yang dijual NCR yang disebut “insert kit”, yang menghentikan desain skimmer saat ini untuk menemukan dan mengunci pembaca kartu.

NCR juga sedang melakukan uji coba lapangan pada “kit pendeteksi pintar” yang menambahkan kamera USB standar untuk melihat area pembaca kartu internal, dan menggunakan perangkat lunak pengenalan gambar untuk mengidentifikasi perangkat palsu di dalam pembaca kartu.

Perangkat skimming akan terus berkembang dalam miniaturisasi dan sembunyi-sembunyi selama kartu pembayaran terus menyimpan data pemegang kartu dalam teks biasa pada strip magnetik.

Banyak model ATM yang lebih baru, termasuk NCR SelfServ yang sekarang menyertakan kemampuan tanpa kontak, yang berarti pelanggan tidak perlu lagi memasukkan kartu ATM mereka cukup dengan mengetuk kartu pintar mereka terhadap indikator nirkabel di sebelah kiri penerimaan kartu slot (tepat di bawah tanda “Gunakan Perangkat Seluler Di Sini” di ATM).

Untuk itu hindari mesin ATM yang tampak mencurigakan dan berdiri sendiri di area dengan penerangan rendah. Tetap gunakan ATM yang secara fisik terpasang di bank.

Terakhir tetapi yang paling penting, menutupi bantalan PIN dengan tangan Anda agar tidak bisa dilihat oleh kamera yang biasanya disembunyikan skimmer di suatu tempat di atau dekat ATM yang disusupi untuk menangkap pelanggan yang memasukkan PIN mereka.

Sumber : Krebson Security

HACKERS BERBAHASA RUSIA DITANGKAP DI POLANDIA ATAS SERANGAN JACKPOTTING ATM

July 31, 2021 by Winnie the Pooh

Dengan dukungan Europol, pihak berwenang Polandia telah menangkap dua orang yang melakukan apa yang disebut serangan ‘Kotak Hitam’ terhadap ATM, di mana para penjahat menghubungkan perangkat elektronik ke mesin ATM dan memaksanya dari jarak jauh untuk mengeluarkan semua uangnya.

Kedua tersangka – keduanya warga negara Belarusia, ditangkap di Warsawa pada 17 Juli.

Penyelidikan menemukan bahwa para penjahat ini melakukan lusinan serangan ATM di setidaknya tujuh negara Eropa, mencuri uang tunai sekitar €230.000. Para penjahat selalu mengincar merek dan model ATM yang sama.

Para penjahat akan mendapatkan akses ke kabel ATM dengan mengebor lubang atau melelehkan bagian-bagiannya untuk menghubungkan mesin secara fisik ke laptop yang kemudian digunakan untuk mengirim perintah relai yang menyebabkan mesin mengeluarkan semua uangnya.

selengkapnya : www.europol.europa.eu

FASTCash 2.0: Perampok Bank BeagleBoyz Korea Utara

August 28, 2020 by Winnie the Pooh

Cybersecurity and Infrastructure Security Agency (CISA), bekerja sama dengan Departemen Keuangan dan FBI, telah mengeluarkan peringatan yang memperingatkan lembaga keuangan mengenai adanya FASTCash 2.0: Perampok Bank BeagleBoyz Korea Utara.

CISA mengatakan bahwa mereka telah:
“Mengidentifikasi malware dan indikator penyusupan (IOC) yang digunakan oleh pemerintah Korea Utara dalam skema pembayaran tunai mesin anjungan tunai mandiri (ATM).”

Menurut peringatan tersebut, perampokan bank BeagleBoyz menimbulkan:

Risiko operasional. Menurut CISA, BeagleBoyz telah mencoba mencuri hampir $2 miliar sejak 2015 dengan membuat sistem lembaga keuangan tidak dapat dioperasikan.
Resiko reputasi. Peringatan tersebut menyatakan bahwa “setiap perampokan BeagleBoyz yang diarahkan ke satu bank melibatkan banyak perusahaan jasa keuangan lainnya, baik dalam pencurian maupun aliran dana gelap kembali ke Korea Utara”.

Menurut Verizon, jaringan kriminal ini bertanggung jawab atas 55% pelanggaran tahun lalu, sementara serangan ke negara hanya 10%.

Baca berita selengkapnya pada tautan di bawah ini;
Source: CISA Alert | Forbes

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

ATM

Cookies Settings