ATM Security Threat Model

Кратко

ATM сочетает физическое устройство, операционную систему, terminal application, периферию, криптографические модули, сетевое подключение, процессинговое взаимодействие и наличные деньги. Поэтому угрозы нужно рассматривать слоями и связывать с наблюдаемыми событиями, evidence и controls.

flowchart TD
    ATM["ATM Security Threat Model"]
    PHYSICAL["Physical attacks"]
    FRAUD["Cardholder fraud"]
    LOGICAL["Logical and malware attacks"]
    XFS["XFS and device-layer abuse"]
    NETWORK["Network attacks"]
    CRYPTO["PIN, EPP, HSM and key risks"]
    OPERATIONS["Operational and insider risks"]

    ATM --> PHYSICAL
    ATM --> FRAUD
    ATM --> LOGICAL
    ATM --> XFS
    ATM --> NETWORK
    ATM --> CRYPTO
    ATM --> OPERATIONS

    LOGICAL --> MALWARE["Malware"]
    LOGICAL --> BLACKBOX["Black box"]
    LOGICAL --> JACKPOT["Jackpotting"]

Основные классы угроз

1. Physical attacks

• вскрытие корпуса или сейфа;
• повреждение fascia;
• атаки на card reader или dispenser;
• установка посторонних элементов;
• компрометация сервисного доступа;
• атаки на CIT-процесс.

2. Cardholder fraud

• cash trapping;
• card trapping;
• skimming;
• shimming;
• social engineering около ATM;
• спорные операции и transaction reversal fraud.

3. Logical / malware attacks

• malware;
• jackpotting;
• black box attacks;
• злоупотребление device layer после компрометации ATM PC;
• несанкционированное изменение ПО или конфигурации.

4. Network attacks

• несанкционированный доступ к ATM network;
• spoofing или подмена взаимодействия;
• перехват или изменение трафика при слабой защите;
• удалённое распространение malware;
• компрометация remote administration.

5. Cryptographic / PIN security risks

• компрометация EPP;
• небезопасное хранение или логирование sensitive authentication data;
• слабое управление ключами;
• нарушения RKL-процесса;
• неправильная эксплуатация HSM;
• избыточный доступ к PIN-processing environment.

6. Operational / insider risks

• чрезмерные сервисные права;
• общие учётные записи и слабый аудит;
• неконтролируемые изменения ПО;
• ошибки инкассации и кассетной балансировки;
• отключённый мониторинг;
• рассинхронизация времени;
• недостаточный контроль подрядчиков.

Контрольные меры

Слой	Примеры controls
Physical	tamper controls, контроль доступа, CCTV, регулярный осмотр, защищённые замки
ATM PC	hardening, application allowlisting, patch management, disk protection, secure boot где применимо
Device layer	ограничение доступа, журналирование команд и device events, контроль аномальной выдачи
Network	сегментация, защищённые соединения, мониторинг, ограничение remote access
PIN / crypto	PCI PIN Security, PCI PTS, защищённые EPP/HSM, key lifecycle controls
Operations	разделение обязанностей, персональные учётные записи, change management, аудит сервисных действий
Detection	EJ, device logs, host/switch logs, alarms, reconciliation и fraud monitoring

Принцип расследования

Один лог не является достаточным доказательством. Для расследования сопоставляются ATM events, EJ, device logs, host/switch records, counters, CCTV, security alerts и действия сервисных пользователей.

Связанные заметки

• ATM-Incident-Evidence-Package
• ATM-Fraud-Monitoring
• ATM-XFS-Attack-Surface
• ATM-PCI-Standards
• ATM-Электронный-Журнал
• ATM-Reconciliation
• ATM-Сетевая-архитектура
• ATM-Security-Fraud-Regional-Comparison

Источники

• Europol: 27 arrested in successful hit against ATM Black Box attacks.
• Europol: International Criminal Group Behind ATM Malware Attacks Dismantled.
• PCI SSC: PIN Security.
• CEN/CENELEC: CWA Download Area — XFS.