Кража паролей с помощью тепловизора.
Насколько реально восстановить пароль по остаточному нагреву кнопок на клавиатуре? Одна из первых работ по этой теме — американская публикация 2011 года, в которой оценивалась (положительно) возможность кражи ПИН-кодов с цифровой клавиатуры банкомата. В новой публикации эта достаточно экзотическая атака по сторонним каналам выводится на новый уровень — с применением технологий машинного обучения. Британские ученые решили не ограничиваться четырехзначными ПИН-кодами и исследовали возможность восстановления по тепловым отпечаткам полноценных паролей, вводимых на компьютерной клавиатуре, длиной до 16 символов. Как и ожидалось, максимальную эффективность метод показывает на коротких паролях в шесть символов. Вряд ли такой метод атаки будет...
Кража криптовалюты из биткоин-банкомата.
General Bytes управляет сетью из более чем 13 769 банкоматов, расположенных в более чем 143 странах, недавно стал жертвой кибератаки, в результате которой произошла кража криптовалюты из биткоин-банкомата. Злоумышленник использовал ранее неизвестную уязвимость в программном обеспечении банкомата, которая была закрыта в обновленной версии софта.
POS hack
POSWorld: Vulnerabilities within Ingenico Telium 2 and Verifone VX and MX series Point of Sales terminals
Как взломать Google Pay, Samsung Pay и Apple Pay
Электронные кошельки Google Pay, Samsung Pay и Apple Pay считаются наиболее современными платежными инструментами. Однако они тоже подвержены уязвимостям, поскольку все еще зависят от технологий, созданных тридцать лет назад. В сегодняшней статье я расскажу о методах взлома популярных электронных кошельков, а также раскрою детали новой атаки на кошельки и карты EMV/NFC — Cryptogram Confusion.
Be Prepared: The EMV Pre-play Attack
Abstract—EMV, also known as “Chip and PIN”, is the leading system for smartcard-based payments worldwide; it is widely deployed in Europe and is starting to be introduced in the USA too. It replaces the familiar mag-strip cards with chip cards. A cryptographic protocol is executed between a chip card and bank servers based on a message authentication code (MAC) over transaction data, including a nonce called the unpredictable number. We discovered two protocol flaws: first, the lack of a.....
4 версия глобального стандарта XFS для банкоматов - XFS4IoT
Те, кто в теме знают, что XFS версии 3, работает на банкоматах по всему миру. XFS позволяет одному и тому же приложению для банкоматов работать на аппаратном обеспечении различных производителей, т.е. является мультивендорным. Однако еще в прошлом 2021 году стал доступным предварительный просмотр новой версии 4 спецификации XFS, известной как XFS4IoT. Эта версия позволит программному обеспечению для устройств самообслуживания работать в облачной среде и проводить диагностику операционной системы. Т.е. тот же кардридер или диспенсер, будут доступными непосредственно в облачном приложении в качестве сервиса. Эти XFS сервисы теперь могут быть реализованы на базе любой операционной системы, такой как Windows или Linux, со встроенной...
Вредоносное ПО для банкоматов.
Существует несколько различных вариантов классификации ATM Malware (вредоносных программ для банкоматов). По функционалу они делятся на два типа: виртуальные скиммеры (Virtual Skimmers) и утилиты прямой выдачи (Direct Dispense). Скиммеры (не путать с физическим устройством) служат для кражи данных банковских карт, а в некоторых случаях и ПИН-кода. Софт для jackpotting предназначен для прямой выдачи наличных. Т.е. используя подобный софт, можно получить из банкомата всю имеющуюся наличность. Есть еще софт, который объединяет в себе функционал скиммера и jackpotting.
Банкомат узнает клиента в лицо: ЦБ будет тестировать новую технологию идентификации
Центробанк России предложил протестировать особые банкоматы с функцией видеоидентификации новых клиентов. Ранее в тестах на распознавание лиц использовали камеры, но такой вариант посчитали рискованным. Российские банки могут добавить в свои банкоматы возможность идентификации новых клиентов через банкоматы и установленные в них камеры. С предложением протестировать технологию обратился производитель банкоматов. По действующим правилам, для установления личности клиента банку нужно, чтобы клиент лично посетил офис, или воспользовался биометрической системой. Биометрия – это единая система идентификации, позволяющая узнавать клиентов по лицу и голосу, для этого ей достаточно взгляда в камеру. Окончательное решение по системам...
MITM attack on the ATM. Hacking and withdrawal of cash.
In view of increasing incidents of Man in the Middle (MiTM) attacks on ATMs, all banks have been asked to enhance their safety norms for ATMs through end-to-end encryption in the network, officials said.
ATM/Kiosk Hacking
Upon booting up the VM I was presented with a windows update but to my knowledge there's nothing that can be leveraged from this alert.