Aktuelles, Branche, Studien - geschrieben von am Donnerstag, April 28, 2016 23:45 - ein Kommentar

Cyber-Angriffe auf Geldautomaten ein globales Sicherheitsproblem

KASPERSKY-Analyse zeigt Manipulationsmöglichkeiten durch Hacker auf

[datensicherheit.de, 28.04.2016] Fast jeder Geldautomat weltweit könne illegal gekapert und manipuliert werden – mit oder ohne Hilfe eines Schadprogramms, warnt KASPERSKY lab in einer aktuellen Aussendung. Laut einer eigenen Analyse liege das an der weitverbreiteten Nutzung veralteter und unsicherer Software, Fehlern in der Netzwerkkonfiguration sowie Mängeln bei der physischen Sicherheit von Geldautomaten.

Mehrere Schwachstellen in der Technologie und Infrastruktur ausgenutzt

In den letzten Jahren war es Cyber-Kriminelle immer wieder gelungen, Geldautomaten zu attackieren. So hatte KASPERSKY lab im Jahr 2014 mit „Tyupkin“ einen der ersten Schädlinge entdeckt, der Geldautomaten angriff. Im Jahr 2015 folgte dann die Enthüllung der „Carbanak-Gang“, die unter anderem in der Lage war, Infrastrukturen von Banken so zu kompromittieren, dass sie Geld von Automaten abheben konnten. Bei beiden Angriffen seien mehrere Schwachstellen der bei Geldautomaten eingesetzten Technologie ausgenutzt worden – sowie der dahinter stehenden Infrastruktur.
KASPERSKY-Experten für Penetrationstests hätten nun eine Untersuchung durchgeführt, um reale Attacken näher zu analysieren sowie für mehrere Banken Sicherheitseinschätzungen für Bankautomaten vorzunehmen.

Nicht nur Online-Banking im Visier der Cyber-Kriminellen

Die Ergebnisse ihrer Untersuchung zeigten, dass – auch wenn Anbieter derzeit Geldautomaten mit starken Sicherheitsmaßnahmen ausstatteten – Banken noch zu viele unsichere Modelle einsetzten, was sie eben für Kriminelle verwundbar mache. Dies könne finanzielle Verluste für Banken und ihre Kunden zur Folge haben, so das Fazit von Olga Kochetova, Sicherheitsexpertin der Penetrationstestabteilung von KASPERSKY lab.
Kochetova: „Das Problem liegt unserer Meinung nach darin, dass lange der Irrglaube vorherrschte, Cyber-Kriminelle würden nur Online-Banking-Prozesse attackieren, was auch nach wie vor der Fall ist, allerdings ergänzt um direkte Angriffe auf Geldautomaten.“

Ergebnisse der Analyse: zwei wunde Punkte

Die Analyse offenbart demnachdemnach zwei wunde Punkte, über die Geldautomaten attackiert werden können:

  • Software-Probleme: Auf Geldautomaten kämen häufig veraltete Versionen von Betriebssystemen zum Einsatz – eine Schwachstelle, die von Schadprogrammen und „Exploits“ ausgenutzt werden könne. Üblicherweise basiere die Software für die Interaktion zwischen der Infrastruktur und weiteren Hardware-Einheiten sowie zur Steuerung des Barauszahlungs- und Kreditkartenprozesses auf dem XFS-Standard. Diese „veraltete und unsichere Technologie“, die zur Standardisierung von Geldautomaten-Software entwickelt worden sei, habe folgendes Problem: XFS erfordere keine Autorisierung durchzuführender Befehle. Jede auf einem Geldautomaten installierte und ausgeführte Anwendung könne jeder weiteren Geldautomaten-Hardware-Einheit Befehle erteilen – inklusive dem Kartenleser und der Bargeldausgabe. Nach Infektion eines Geldautomaten mit einem Schädling erhalte dieser nahezu die komplette Kontrolle über das Gerät. Er könne die PIN-Pad-Eingaben auslesen, Kartendaten speichern oder Geld auswerfen.
  • Physische Sicherheit: In vielen beobachteten Fällen hätten Kriminelle keine Malware zur Infizierung eines Geldautomaten oder einer Infrastruktur eingesetzt – sie hätten auf Schwachstellen innerhalb der physischen „Security“ gesetzt, dies sei ein weit verbreitetes Problem. Die Konstruktion und Installation von Geldautomaten ermögliche sehr häufig Dritten Zugang zum im Gehäuse installierten PC; oder zum die Maschine mit dem Internet verbindenden Netzwerk. Kriminelle mit physischen Zugang zu einem Geldautomaten könnten speziell programmierte Minicomputer (Black-Box) im Geldautomaten installieren, mit denen sie die Fernkontrolle über den Automaten bekämen, oder den Geldautomaten mit einer gefälschten Prozesszentrale verbinden.

Mögliche IT-Sicherheitsmaßnahmen

Die Verbindung zwischen Geldautomat und Prozesszentrale könne über verschiedene Wege geschützt werden – beispielsweise per Virtual Private Network (VPN) auf Hardware- oder Software-Basis, SSL/TLS-Verschlüsselung, eine Firewall oder MAC-Authentifizierung und xDC-Protokollimplementierungen. Diese würden jedoch häufig nicht angewandt oder seien fehlerhaft konfiguriert. Deshalb sollte die Sicherheit von Geldautomaten über Penetrationstests regelmäßig überprüft werden.
Hersteller von Geldautomaten sollten laut KASPERSKY lab folgende Cyber-Sicherheitsaspekte berücksichtigen:

  • Der XFS-Standards sollte mit einem Schwerpunkt auf dem Bereich physische Sicherheit überarbeitet werden und Zwei-Faktor-Authentifizierung zwischen Hardware und legitimer Software eingeführt werden. So werde die Wahrscheinlichkeit einer unautorisierten Geldentnahme durch Trojaner und Angreifer, die direkt die Kontrolle über einen Automaten haben möchten, minimiert.
  • Eine Art „authentifizierte Geldausgabe“ müsse eingeführt werden, damit die Möglichkeit einer Attacke über gefälschte Prozesszentralen ausgeschlossen werden könne.
  • Implementierung von Verschlüsselungsschutz und Identitätskontrolle der zwischen Hardware-Einheiten und den PCs im Geldautoamt übertragenen Daten.

Weitere Informationen zum Thema:

SECURELIST, 26.04.2016
Olga Kochetova / „Jackpot am Geldautomaten: Wie man mit oder ohne Malware zu Bargeld kommen kann“



ein Kommentar

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Mitta
Apr 29, 2016 15:41

„ein globales Sicherheitsproblem“ Du hast recht. Dafu ich nutze PureVPN.

Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung