Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
HeimCrooks haben die proprietäre Diebold-Software erworben, um Geldautomaten zu „jackpotieren“.
Dan Goodin – 20. Juli 2020, 21:40 Uhr UTC
Diebold Nixdorf, das im vergangenen Jahr 3,3 Milliarden US-Dollar mit dem Verkauf und der Wartung von Geldautomaten verdiente, warnt Geschäfte, Banken und andere Kunden vor einer neuen hardwarebasierten Form des „Jackpottings“, dem Branchenbegriff für Angriffe, mit denen Diebe Geldautomaten schnell leeren.
Die neue Variante verwendet ein Gerät, auf dem Teile des proprietären Software-Stacks des Unternehmens ausgeführt werden. Anschließend verbinden Angreifer das Gerät mit den internen Komponenten des Geldautomaten und geben Befehle aus. Erfolgreiche Angriffe können zu einem Bargeldstrom führen, der manchmal bis zu 40 Scheine alle 23 Sekunden ausgibt. Die Geräte werden befestigt, indem man sich entweder Zugang zu einem Schlüssel verschafft, der das Gehäuse des Geldautomaten entriegelt, oder indem man Löcher bohrt oder die physischen Schlösser auf andere Weise aufbricht, um Zugang zum Inneren des Automaten zu erhalten.
Bei früheren Jackpot-Angriffen griffen die angeschlossenen Geräte, in der Branche als Blackboxen bekannt, üblicherweise auf Programmierschnittstellen des Geldautomaten-Betriebssystems, um Befehle weiterzuleiten, die letztendlich die Hardwarekomponente erreichten, die Bargeld auszahlt. In jüngerer Zeit hat Diebold Nixdorf eine Flut von Black-Box-Angriffen beobachtet, bei denen Teile der proprietären Software des Unternehmens integriert wurden.
„Einige der erfolgreichen Angriffe zeigen einen neuen angepassten Modus Operandi bei der Durchführung des Angriffs“, warnte Diebold Nixdorf in einer aktiven Sicherheitswarnung, die letzte Woche ausgegeben und Ars von einem Unternehmensvertreter übermittelt wurde. „Obwohl der Betrüger immer noch ein externes Gerät anschließt, zeigt sich zum jetzigen Zeitpunkt unserer Ermittlungen, dass dieses Gerät auch Teile des Software-Stacks des angegriffenen Geldautomaten enthält.“
In der Empfehlung hieß es an anderer Stelle:
Im Allgemeinen bezieht sich Jackpot auf eine Kategorie von Angriffen, die darauf abzielen, illegal Bargeld an einem Geldautomaten auszugeben. Bei der Black-Box-Variante des Jackpots wird nicht der Software-Stack des Geldautomaten genutzt, um Geld am Terminal auszuzahlen. Stattdessen verbindet der Betrüger sein eigenes Gerät, die „Black Box“, mit dem Automaten und leitet die Kommunikation direkt an das Bargeldverarbeitungsgerät weiter.
Bei den jüngsten Vorfällen konzentrierten sich die Angreifer auf Außensysteme und zerstörten Teile der Instrumententafel, um sich physischen Zugang zum Kopfbereich zu verschaffen. Als nächstes wurde das USB-Kabel zwischen dem CMD-V4-Automaten und der Spezialelektronik bzw. das Kabel zwischen Spezialelektronik und dem Geldautomaten-PC abgezogen. Dieses Kabel wird mit der Blackbox des Angreifers verbunden, um unzulässige Abgabebefehle zu senden.
Einige Vorfälle deuten darauf hin, dass die Blackbox einzelne Teile des Software-Stacks des angegriffenen Geldautomaten enthält. Die Ermittlungen, wie der Betrüger an diese Teile gelangt ist, dauern an. Eine Möglichkeit könnte ein Offline-Angriff auf eine unverschlüsselte Festplatte sein.
Die zunehmende Anzahl von Angriffen zielt auf die Terminals der ProCash-Reihe des Unternehmens ab, insbesondere auf das USB-Modell ProCash 2050xs. Die anhaltenden Angriffe ereignen sich in „bestimmten europäischen Ländern“, heißt es in der Stellungnahme.
Bruno Oliveira, ein Experte für Geldautomatensicherheit, sagte, er habe von der früheren Form des Black-Box-Angriffs gehört. Das angeschlossene Gerät manipuliert die APIs, die in Betriebssystemerweiterungen wie XFS oder CFS enthalten sind und mit Remote-Servern kommunizieren, die von Finanzinstituten betrieben werden. Black Boxes, die den internen PC eines Geldautomaten imitieren, können entweder Laptops oder Raspberry- oder Arduino-Hardware sein, die relativ einfach zu bauen ist, sagte Oliveira. Black Boxes sind eine von vier Jackpot-Techniken, die Diebold Nixdorf hier beschreibt.
In manchen Fällen verbinden sich die angeschlossenen Geräte direkt mit dem Geldautomaten und geben ihm Befehle, Bargeld auszuspucken. Bei der anderen Form des Black-Box-Angriffs werden Netzwerkkabel angeschlossen und Karteninhaberinformationen aufgezeichnet, während diese zwischen dem Geldautomaten und dem Transaktionszentrum, das die Sitzung verarbeitet, hin und her weitergeleitet werden. Das angeschlossene Gerät ändert dann die autorisierten Höchstbeträge für Abhebungen oder gibt sich als Hostsystem aus, damit der Geldautomat große Geldbeträge auszahlen kann.
Die oben verlinkte Jackpotting-Broschüre beschreibt zwei weitere Arten von Angriffen. Beim ersten Mal wird die legitime Festplatte durch eine von den Angreifern erstellte Festplatte ausgetauscht. Der andere nutzt Phishing-Angriffe gegen Bankmitarbeiter. Sobald sich Angreifer Zugang zum Netzwerk eines Finanzinstituts verschaffen, erteilen sie Befehle, die Geldautomaten mit Schadsoftware infizieren, mit der sich die Automaten säubern lassen.
Die von Diebold beschriebene neue Angriffsvariante ist sowohl eine gute als auch eine schlechte Nachricht für Verbraucher. Einerseits gibt es keine Anzeichen dafür, dass Diebe ihre kürzlich erworbene Software nutzen, um Kartendaten zu stehlen. Die schlechte Nachricht ist, dass Angreifer offenbar über proprietäre Software verfügen, die Angriffe effektiver macht. Die jüngste Zunahme erfolgreicher Jackpots führt letztendlich zu höheren Gebühren, da Finanzinstitute die durch die Verluste verursachten Kosten weitergeben. Diebold hat eine Reihe von Schutzmaßnahmen herausgegeben, mit denen Geldautomatenbesitzer sich vor den Angriffen schützen können.
Es gibt wenig, was Geldautomatenbenutzer tun können, um Jackpots zu verhindern. Dennoch ist es wichtig, nur Geldautomaten von Großbanken zu nutzen und solche von Tante-Emma-Geschäften zu meiden. Es empfiehlt sich außerdem, die Tastatur beim Eingeben von PINs abzuschirmen und jeden Monat die Kontoauszüge auf nicht autorisierte Transaktionen zu überprüfen.