Einführung

Es war ein schwieriges Jahr für die Finanzdienstleistungsbranche und die Hersteller von Geldausgabeautomaten mit einer steigenden Zahl von Vorfällen und Varianten von Angriffen auf Geldausgabeautomaten. Jackpotting – auch bekannt als „Blackbox-Angriff“ – bezieht sich auf Angriffe, bei denen ein Geldautomat so manipuliert wird, dass er sein gesamtes Bargeld ausgibt, ähnlich wie ein Spielautomat nach einem Jackpot in einem Kasino, hat Berichten zufolge seit Anfang des Jahres zugenommen. Letzte Woche informierten die Strafverfolgungsbehörden die Finanzdienstleistungsinstitute über die Bedrohung durch koordinierte logische Angriffe auf Geldautomaten, die als „ATM-Cashouts“ bekannt sind. Der jüngste Angriff auf die Cosmos Bank in Indien, der der nordkoreanischen Lazarus-Gruppe zugeschrieben wird, ist zwar kein typischer Jackpot-Angriff, zeigt aber, dass die Geldautomaten-Infrastruktur bestimmter Finanzdienstleister immer noch anfällig ist, insbesondere für logische Angriffe. Diese Info-Note befasst sich mit Angriffen auf Geldautomaten und den Schwachstellen, die dadurch in der Finanzdienstleistungsbranche aufgedeckt werden können.

Kontextinformationen

Geldautomaten sind nach wie vor ein lukratives Ziel für Kriminelle, die verschiedene Methoden anwenden, um illegale Einnahmen zu erzielen. Während einige auf physische Zerstörungsmethoden durch den Einsatz von Metallschneidewerkzeugen setzen, entscheiden sich andere für Malware-Infektionen, die es ihnen ermöglichen, Geldautomaten von innen heraus zu manipulieren.

Kriminelle verwenden verschiedene Werkzeuge und Techniken (physisch, logisch oder kombiniert), um auf die „Black Box“ von Geldautomaten zuzugreifen und alle Sicherheitskontrollen zu umgehen, um den Abfluss des gesamten Geldes zu erzwingen. Von einigen Ausnahmen abgesehen, hat jeder Geldautomat die gleiche Funktionalität, nämlich einen Geldausgabemechanismus, der von einem Betriebssystem mit einem Personal Computer (PC) gesteuert wird und daher einem Risiko durch logische Angriffe ausgesetzt ist. Malware-Angriffe, eine Unterkategorie dieser logischen Angriffe, werden bei Cyber-Kriminellen immer beliebter.

Beispiele für Werkzeuge, die bei Jackpotting-Angriffen verwendet werden

Endoskop – Schmale, röhrenförmige medizinische Geräte mit Kameras an den Enden, die normalerweise verwendet werden, um in den menschlichen Körper zu sehen. Wird von Betrügern verwendet, um das Innere des Geldautomaten zu sehen und Schwachstellen zu lokalisieren.

Tyupkin-Malware – Malware, die es Angreifern ermöglicht, die Geldkassetten von Geldautomaten durch direkte Manipulation zu leeren. Wurde erstmals 2013 von Sicherheitsforschern als Backdoor.MSIL.Tyupkin identifiziert und befällt Geldautomaten eines großen Herstellers mit Microsoft Windows 32-Bit.

Ploutus.D-Malware – Identifiziert durch den Dateinamen „AgilisConfigurationUtility.exe“, ist eine der fortschrittlichsten Geldautomaten-Malware-Familien, die 2013 erstmals in Mexiko entdeckt wurde. Diese Malware wird über einen USB-Anschluss installiert und ermöglicht es Kriminellen, Geldautomaten zu leeren, indem sie entweder eine an den Automaten angeschlossene externe Tastatur oder eine SMS-Nachricht verwenden.

Cutlet Maker, c0decalc und Stimulator in einem Malware-Toolkit – Ein Malware-Kit, das mit Hilfe einer für Geldautomatenhersteller spezifischen API entwickelt wurde, wie die Nachrichtenmedien berichteten. Um einen Angriff mit diesem Kit durchzuführen, müssen sich Kriminelle direkten Zugang zum Inneren des Geldautomaten verschaffen und einen der USB-Anschlüsse erreichen, über den die Malware hochgeladen wird. Der c0decalc generiert ein Passwort, um das Copyright des Malware-Autors zu garantieren. Der Stimulator ruft die Statusinformationen der Geldkassetten bestimmter Hersteller ab (z. B. Währung, Wert und Menge der Geldscheine).

Beispiele für Techniken, die bei Jackpotting-Angriffen verwendet werden:

Manipulation der Festplatte des Geldautomaten:

  • Betrüger, die sich als Geldautomatentechniker tarnen oder durch einen „Geldkurier“ vor Ort die Festplatte des Geldautomaten durch eine neue ersetzen (möglicherweise unter Verwendung eines mit Malware verseuchten USB-Sticks), um unberechtigte Ausgabebefehle an die Geldausgabeeinheit zu ermöglichen.
  • Optional kann die Festplatte des Geldautomaten ausgebaut, mit Schadsoftware infiziert und wieder eingebaut werden, anstatt sie durch eine vom Angreifer gelieferte Festplatte zu ersetzen.
  • Zudem werden die Sensoren mit einem Endoskop manipuliert, um das Authentifizierungssystem zu täuschen. Auf diese Weise werden bei dem Angriff verschlüsselte Kommunikationsprotokolle umgangen.

Black-Box-Angriff:

  • Betrüger, die als Techniker verkleidet sind, schalten den Geldautomaten-PC oder die „Black Box“ ab und deaktivieren damit logische Sicherheitsmaßnahmen.
  • Ein Endoskop wird verwendet, um in das Innere des Geldautomaten zu schauen und den inneren Teil des Geldautomaten zu lokalisieren, an dem ein Kabel angeschlossen werden kann, das die Synchronisierung zwischen dem Laptop des Kriminellen und dem Computer des Geldautomaten ermöglicht.
  • Der Geldautomat wird wieder eingeschaltet, wobei die Schadsoftware bereits installiert ist und im Hintergrund des Geräts läuft und auf Anweisungen von der Tastatur des Geldautomaten wartet, um das Bargeld auszugeben.

Man-in-the-Middle:

  • Die Betrüger installieren ein Gerät, das die Kommunikationsleitung zwischen dem Geldautomaten-PC oder der „Black Box“ und der Ausgabeeinheit manipuliert. In den meisten Fällen handelt es sich um eine serielle RS232- oder USB-Verbindung.
  • Die Malware fälscht die Antworten des Hosts, um Geld abzuheben, ohne das Konto des Betrügers zu belasten.

Was diese Angriffe für bestimmte Kriminelle interessant macht, ist das geringe technische Wissen, das zur Ausführung erforderlich ist. Im Dark Web gibt es zahlreiche Tutorials und Schritt-für-Schritt-Anleitungen, die ihnen die Sache erleichtern. Dennoch erfordern diese Angriffe ein gewisses Maß an physischem Zugang zum Geldautomaten und die Preisgabe der Identität des Kriminellen, um sie durchführen zu können. Kriminelle können Geld von Geldautomaten mit weniger komplizierten Methoden als Jackpotting stehlen. Es gibt Fernangriffe, die keinen physischen Zugang zum Inneren des Geldautomaten erfordern, wofür der jüngste Vorfall bei der Cosmos Bank ein gutes Beispiel ist.

Malware, die in das Geldautomatennetz eingespeist wird

Angreifer infizieren Geldautomaten auch über die Netzwerke der Finanzinstitute mit Malware. Sobald sich ein Angreifer Zugang zum Netzwerk einer Bank verschafft hat, kann er von einem entfernten Standort aus Malware installieren, die den Geldautomaten in einen Sklavenautomaten verwandelt. In der letzten Phase sendet der Angreifer Anweisungen direkt an den Geldautomaten, befiehlt ihm, das Geld auszugeben, und beauftragt einen Kurier, das Geld abzuholen.

Cosmos Bank ATM Heist

Anfang dieses Monats war ein Angriff, der der mit Nordkorea verbundenen Lazarus-Gruppe zugeschrieben wird, für den Diebstahl von 13,5 Millionen US-Dollar bei der indischen Cosmos Bank verantwortlich, ein aggressiver Angriff, der die Grenzen der Maßnahmen aufzeigte, die Banken zur Abwehr gezielter Cyberbedrohungen einsetzen. Es ist noch unklar, wie es den Angreifern gelang, in das Netzwerk der Bank einzudringen. Laut einer Sicherheitsstudie, die auf der typischen Vorgehensweise dieser Bedrohungsakteure beruht, drangen die Angreifer über eine Spear-Phishing-E-Mail ein und bewegten sich dann seitlich innerhalb des Bankennetzes, um die Geldautomaten-Infrastruktur des Instituts zu kompromittieren.

Es handelte sich nicht um einen typischen CNP- oder Jackpotting-Angriff (card-not-present). Bei dem Angriff handelte es sich um eine fortgeschrittenere, gut geplante und hochgradig koordinierte Operation, die sich auf die Infrastruktur der Bank konzentrierte und die vier Hauptverteidigungsebenen gemäß den Europol-Leitlinien zur Eindämmung von ATM-Angriffen effektiv umging. Nach der anfänglichen Kompromittierung nutzten die Angreifer höchstwahrscheinlich entweder die ATM-Testsoftware des Herstellers oder nahmen Änderungen an der derzeit eingesetzten ATM-Zahlungsschalter-Software vor, um einen bösartigen Proxy-Switch (MPS) zu erstellen. Infolgedessen wurden die vom Zahlungsschalter zur Autorisierung der Transaktion gesendeten Details nie an die Core Banking Solution (CBS) weitergeleitet, so dass die Überprüfungen von Kartennummer, Kartenstatus (kalt, warm, heiß), PIN und mehr nie durchgeführt wurden. Stattdessen wurde die Anfrage von der MPS bearbeitet, die von den Angreifern eingesetzt wurde und gefälschte Antworten zur Autorisierung von Transaktionen sendete.

FBI warnt Finanzinstitute vor einem globalen ATM-Cash-Out-Schema

Die Nachrichtenmedien berichteten, dass das Federal Bureau of Investigation (FBI) Finanzinstitute warnt, dass Cyberkriminelle sich darauf vorbereiten, ein hochgradig choreografiertes, globales Betrugsschema, bekannt als „ATM-Cash-Out“, durchzuführen. Das FBI bringt den Plan mit dem Hack einer Bank oder eines Zahlungskartenverarbeiters und der Verwendung von geklonten Karten an Geldautomaten in der ganzen Welt in Verbindung. Diese Technik würde es ermöglichen, in nur wenigen Stunden Millionen von Dollar in betrügerischer Absicht abzuheben. Die Warnung wurde nur wenige Tage vor dem Raubüberfall auf die Cosmos Bank herausgegeben, aber die Besorgnis über Nachahmungen ist nach wie vor groß.

Empfehlungen

Empfehlungen für Geldautomatenbetreiber und Finanzdienstleistungsinstitute

  • Einführung von EMV-Sicherheitsstandards. EMV ist eine Zahlungsmethode, die auf einem technischen Standard für intelligente Zahlungskarten (auch Chipkarten oder IC-Karten genannt) und für Zahlungsterminals und Geldautomaten, die diese Karten akzeptieren können, basiert.
  • Überprüfen Sie die physische Sicherheit von Geldautomaten und erwägen Sie die Investition in hochwertige und robuste physische Sicherheitslösungen und einen Geldautomaten-Sicherheitsalarm.
  • Sichern Sie das obere Fach (Top Box) eines Geldautomaten, das den PC enthält. Dieser Bereich sollte durch einen Einbruchsalarm gesichert werden, um ein unbefugtes Öffnen zu verhindern, oder das Zugangsschloss zur Top-Box sollte geändert werden, um die Verwendung von Standard-Hauptschlüsseln, die vom Hersteller bereitgestellt werden, zu vermeiden.
  • Implementieren Sie spezielle Sicherheitslösungen, die für Selbstbedienungsterminals entwickelt wurden. Lösungen, die die Software von Geldautomaten durch ein intelligentes ATM-Sicherheitsmanagementprogramm auf dem neuesten Stand halten. Erwägen Sie, andere an den Geldautomaten angeschlossene Geräte wie Netzwerkgeräte und Modems in das Sicherheitsverwaltungsprogramm einzubeziehen.
  • Melden Sie den Strafverfolgungsbehörden proaktiv alle Abhebungen ungewöhnlicher Beträge an bestimmten Geräten.
  • Einsatz von Echtzeit-Betrugserkennungssystemen oder Software mit künstlicher Intelligenz zur Erkennung von Geldautomatendiebstahl, Geldwäsche und anderen Finanzdelikten.
  • Sicherheitsrichtlinien für das PC-Betriebssystem, um den Missbrauch von Privilegien, Standardkonten, die Installation von Schadsoftware und den unbefugten Zugriff auf Ressourcen wie USB-Anschlüsse/CDs/DVDs/Festplatten zu verhindern.
  • Das BIOS so einstellen, dass nur von der Festplatte des Geldautomaten gebootet wird.
  • Das Booten von Wechseldatenträgern in allen Geräten, die mit dem Geldautomaten in Verbindung stehen, standardmäßig deaktivieren.
  • Die Verwendung unbekannter USB-Geräte in allen Geräten, die mit dem Geldautomaten in Verbindung stehen, standardmäßig blockieren.
  • Sicherstellen, dass AUTORUN in allen Geräten, die mit dem Geldautomaten in Verbindung stehen, vollständig und effektiv deaktiviert wurde.
  • Einführen einer Festplattenverschlüsselung, um unbefugte Änderungen des Festplatteninhalts zu verhindern.
  • Einführen strenger Kennwortanforderungen und einer Zwei-Faktor-Authentifizierung unter Verwendung eines physischen oder digitalen Tokens, wenn möglich, für lokale ATM-Administratoren. Erwägen Sie solide Richtlinien für die Passwortverwaltung. Bewährte Verfahren zeigen, dass diese Passwörter so komplex sein sollten, wie es das BIOS unterstützen kann.
  • Beschränken Sie die Verwendung nicht zugelassener Anwendungen, um die Ausführung von Malware zu verhindern.
  • Legen Sie eine Richtlinie fest, die sichere und regelmäßige Software-Updates für alle auf Geräten in Verbindung mit dem Geldautomaten installierte Software vorsieht.
  • Überwachen Sie den verschlüsselten Datenverkehr, der über nicht standardisierte Ports läuft.
  • Überwachen Sie den Netzwerkverkehr in Regionen, in denen ausgehende Verbindungen vom Finanzinstitut normalerweise nicht stattfinden.
  • Konfigurieren Sie das System so, dass es nur Erstkommunikationen akzeptiert, die eine Authentifizierung am Geldautomaten erfordern, z. B. durch physischen Zugang zum Tresor. Dadurch kann verhindert werden, dass unbefugte Geräte Befehle an den Geldautomaten senden.
  • Definieren Sie Regeln, um die Umgehung des Kommunikationsschutzes zu verhindern, z. B. durch Zurücksetzen der Firmware oder durch Abspielen von Nachrichten.
  • Einrichten Sie eine Firewall, um die gesamte eingehende Kommunikation zum Geldautomaten zu beschränken.
  • Wenden Sie Kommunikationsauthentifizierungs- und Verschlüsselungsschutzmaßnahmen auf den gesamten Netzwerkverkehr des Geldautomaten an. Empfohlen wird die Verwendung von TLS 1.2 oder eines VPN sowie die Implementierung von MACing zur kryptografischen Authentifizierung sensibler Nachrichten.

Empfehlungen für Betreiber von Geldautomaten vor Ort

  • Stellen Sie sicher, dass sich der Geldautomat in einer offenen, gut beleuchteten Umgebung befindet, die von sichtbaren Sicherheitskameras überwacht wird. Der Geldautomat sollte mit einer Vorrichtung zur Abschreckung von Kriminellen sicher am Boden befestigt sein.
  • Überprüfen Sie den Geldautomaten regelmäßig auf Anzeichen für angebrachte Geräte von Drittanbietern (Skimmer).
  • Halten Sie Ausschau nach Social-Engineering-Angriffen von Kriminellen, die sich als Geldautomatentechniker ausgeben können.
  • Einrichten Sie einen Alarm für Eindringlinge und benachrichtigen Sie die Strafverfolgungsbehörden über jeden potenziellen Einbruch.
  • Überlegen Sie, ob Sie den Geldautomaten mit ausreichend Bargeld für einen einzigen Tag füllen sollten.

Abschließende Bemerkungen

Der erste öffentlich bekannte Geldautomaten-Exploit wurde der Welt auf der Black-Hat-Konferenz 2010 vorgestellt. Jahre später wurden Betrüger und ihre Geldkuriere Berichten zufolge bei Jackpotting-Angriffen aktiv, die durch die langsame Einführung der EMV-Technologie durch Geldautomatenbetreiber, laxe physische Sicherheit, schlechte Überwachung und Wartung begünstigt wurden. Informationen über die zur Durchführung dieser Straftaten erforderlichen Werkzeuge und Techniken wurden auch im Dark Web weithin zugänglich. All diese Faktoren schufen ein ideales Umfeld für das Gedeihen dieser kriminellen Aktivitäten. Dennoch besteht für die Betrüger ein gewisses Risiko, da sie zur Durchführung des Angriffs physisch anwesend sein müssen. Angriffe auf Geldautomaten-Netzwerke sind die nächstbeste Methode für Betrüger, um sicher und effizient Geld abzuheben. Der jüngste Cosmos-Vorfall zeigt, dass es Kriminellen möglich ist, innerhalb weniger Stunden große Geldmengen aus Geldautomaten zu stehlen, ohne Spuren zu hinterlassen.

Die von Kriminellen bei netzbasierten Angriffen auf Geldautomaten verwendeten TTP (Taktiken/Werkzeuge, Techniken und Verfahren) sind denen sehr ähnlich, die bei Cyberangriffen auf andere Ziele eingesetzt werden. Darüber hinaus gelten Cyber-Bedrohungen und Sicherheitsempfehlungen, die typischerweise für Unternehmensnetzwerke gelten, auch für Geldautomaten.

Angesichts dieser jüngsten Sicherheitsvorfälle sollten Sicherheitsverantwortliche von Finanzdienstleistungsinstituten in Erwägung ziehen, ihre Sicherheitsmaßnahmen für Unternehmensnetzwerke vorrangig auf Geldautomatennetzwerke auszuweiten, um die Risiken dieser verheerenden Angriffe auf Geldautomaten zu mindern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.