ATM Jackpotting
Defensive-обзор ATM jackpotting: классы, признаки, evidence и controls.
ATM Jackpotting
Определение
ATM jackpotting — несанкционированная выдача наличных из ATM в результате компрометации внутренних компонентов, terminal software или device layer.
Основные классы jackpotting
- malware-based cash-out;
- black box attack;
- злоупотребление сервисным доступом;
- компрометация ATM PC или device layer;
- комбинированные физические и логические сценарии.
Как проявляется на уровне расследования
- dispenser выдаёт наличные без ожидаемой клиентской транзакции;
- counters и host records расходятся;
- появляется серия нетипичных выдач;
- есть tamper или service events;
- фиксируются необычные процессы, изменения ПО или нарушения allowlisting;
- CCTV показывает физическое вмешательство.
XFS abuse
XFS не является authorization layer. Но после компрометации ATM PC локальный device layer становится критической зоной риска: попытка инициировать неавторизованную выдачу может выглядеть как device activity без штатного transaction context.
flowchart LR
DISPENSER["Unexpected dispenser activity"]
HOST["Host and switch records"]
EJ["EJ and device events"]
COUNTERS["Cassette counters"]
TAMPER["Tamper, service and CCTV context"]
CORRELATE["Correlate evidence"]
ALERT["Security alert"]
IR["Incident response"]
DISPENSER --> CORRELATE
HOST --> CORRELATE
EJ --> CORRELATE
COUNTERS --> CORRELATE
TAMPER --> CORRELATE
CORRELATE --> ALERT --> IRКонтрольные меры
- hardening и application allowlisting;
- patch management;
- физическая защита и tamper alarms;
- журналирование dispenser activity;
- контроль сервисных учётных записей;
- network segmentation;
- корреляция device events, EJ и host records;
- оперативная reconciliation.
Связанные заметки
- ATM-Black-Box-Attacks
- ATM-Malware-Attacks
- ATM-XFS-Attack-Surface
- ATM-Incident-Evidence-Package
- ATM-Security-Threat-Model
- ATM-Security-Fraud-Regional-Comparison