Reverse engineering approaches to support the forensic analysis of ATM skimming devices

Abstract

Die Bankenindustrie hat in den letzten Jahren sehr viel Geld in die Verbesserung ihrer Sicherheitssysteme investiert. Online-Ueberweisungen, Bankomat- und Kreditkartenzahlungen an den Kassen wurden wesentlich sicherer. Dabei wurde jedoch die alte Magnetstreifentechnologie von der Industrie vernachlaessigt und nicht mehr weiterentwickelt, da diese Technologie in Europa kaum mehr im Einsatz ist. Da aber in großen Teilen von Asien und Amerika diese Technologie sehr wohl noch eingesetzt wird, verfuegt jede europaeische Bankomatkarte ueber diesen Magnetstreifen. Dieser kann mittels eines Magnetlesekopfs sehr leicht ausgelesen und gespeichert werden, transportiert und auf andere Karten kopiert werden. Die einzige Sicherheitsvorkehrung ist ein vierstelliger PIN-Code. All dies hat zu einer stark erhoehten Rate von Bankomatkartenbetrug gefuehrt. Dafuer werden sogenannte Skimmer verwendet, welche die Daten des Magnetstreifens auslesen und speichern. Solche Geraete werden immer haeufiger von der Polizei gefunden, nur koennen die Daten der aufgezeichneten Bankomaten in forensischen Untersuchungen nur unzureichend wiederhergestellt werden. Ziel dieser Arbeit ist daher, Methoden zu entwickeln, die die Qualitaet der wiederhergestellten Daten verbessern. Dazu werden zunaechst die Probleme, die bei der Rekonstruktion der Daten auftreten koennen, analysiert und anschliessend zwei moegliche Verfahren entwickelt, welche das standardisierte Verfahren zum Auslesen von Magnetstreifen erweitern beziehungsweise verbessern. Ziel ist es dabei, zwei Verfahren mit moeglichst verschiedenen Ansaetzen zu waehlen und vergleichend zu analysieren. Ein Verfahren verwendet ein gleitendes Mittelwertverfahren und das andere k-Means Clustering. Um diese beiden Ansaetze zu testen und die Ergebnisse zu vergleichen, wird eine Proof-of-Concept-Implementierung durchgefuehrt. Um geeignete Testdaten zu erhalten, wird weiters ein Testdatengenerator für eine Versuchsreihe mit kuenstlich erzeugten Daten entwickelt und ein einfacher Skimmer gebaut, um Datensaetze von verschiedenster Datenqualitaet für eine Versuchsreihe mit realen Datensaetzen zu erzeugen. Durch diese Testserien wird gezeigt, dass beide Konzepte eine wesentliche Verbesserung zum Ausgangsverfahren darstellen. Beide Konzepte konnten im Durchschnitt eine vergleichbare Ergebnisqualitaet erzielen, wobei das k-Means Clustering Konzept bezueglich der Robustheit gegenueber Aufzeichnungen, mit wenigen, aber stark streuenden Ausreissern, wesentlich bessere Werte erzielt. Das gleitende Mittelwertverfahren hingegen liefert bei vielen, aber weniger stark streuenden Ausreissern, die besseren Ergebnisse. Abschließend kann daher festgehalten werden, dass beide grundsaetzlichen Ansaetze wesentlich bessere Resultate liefern als das Ausgangsverfahren. Damit liefert diese Arbeit einen wesentlichen Beitrag, die Aussagekraft von forensischen Untersuchungen von Skimmern zu verbessern und dadurch die Aufklaerungsquote dieser Delikte zu erhoehen.

The financial services industry has spent a lot of money on improving the security of their products over the last years. Web transactions, debit- and credit card payments all have become more secure. But they neglected to improve the magnetic stripe technology because in Europe it is not used anymore. Since this technology is widely used in Asia and America, every European debit card has such a magnetic stripe on its backside. This stripe can be easily read out with a simple magnetic read head and stored, transported and copied to other cards. The only security measure is a four digit PIN code. All this has led to an increased rate of debit card fraud. The used skimming devices read out the data from the stripe and store it. Nowadays, such skimming devices are often found by the police, but with forensic analyses the stored data can often only be poorly retrieved. Therefore the goal of this thesis is to present methods that could improve the quality of the retrieved data. First, the problems which can occur during the retrieving process are analyzed. Then two possible improvement concepts are developed which extend the initial method of reading magnetic stripes. The goal was to identify two methods with different approaches to test which of this general approaches is more promising. One method uses a moving average approach and the other one a k-means clustering approach. To test both improvement concepts and to compare the results, a Proof-of-Concept implementation is developed. To get appropriate data for a series of experiments, a generator which creates artificial data is implemented. Furthermore, a simple skimmer is developed to create records of varying data quality for a series of experiments with real records. These series of experiments revealed that both concepts are a significant enhancement to the default algorithm. In average over all tests, both concepts could achieve a comparable result quality. Whereas the k-means clustering concept has a better robustness and returns the better results when it comes to extreme outliers, the moving average concept instead returns the better results when a record has more but smaller outliers. As a conclusion, it can be stated that both approaches are significant enhancements and that both concepts proved to be useful tools to analyze skimmed records. Therefore every record should be analyzed using various concepts to increase the result quality. Hence this thesis contributes to an improvement of forensic analysis of skimming devices and in further consequence to help the victims to get their money back and to inform the banks about the affected ATMs.