Die neuen Tricks der Bankomat-Hacker

Vor 10 Jahren haben Sicherheitsforscher erstmals gezeigt, wie sie Bankomaten hacken können. Die Geräte haben sich seither kaum verändert. Zu den bestehenden Angriffsmöglichkeit sind seitdem jedoch zahlreiche weitere hinzugekommen. Bei der Black Hat und Defcon, 2 Hacker-Konferenzen, die dieses Jahr virtuell stattgefunden haben, haben Analysten und Sicherheitsforscher neue Angriffsszenarien gezeigt, wie Wired berichtet.  

Kriminelle hätten ihre Malware so weiterentwickelt, dass sie sogar proprietäre Bankensoftware manipulieren können, die eigentlich Nischenprodukte sind und von nicht vielen Firmen im Einsatz. Auch Angriffe aus der Ferne sind damit möglich. Kevin Perlow aus dem technischen Team für Risikoabschätzung von Cyberangriffen eines großen Finanzinstituts hat 2 Methoden analysiert, mit denen das sogenannte „Jackpotting“, also das Gewinnen von Bargeld aus Bankomaten, weiterentwickelt wurde.

Gezielte Angriffe möglich

Die Malware INJX_Pure schafft es, dass die proprietäre Bankensoftware als auch das Terminal, an dem man seinen PIN-Code eingibt, gleichermaßen manipuliert werden. Wo INJX_Pure überall zum Einsatz kommt, ist noch unklar, aber sie wurde erstmals in Mexiko hochgeladen und auch in Kolumbien entdeckt. Die Malware sei laut Perlow signifikant, aber auf eine ganz bestimmte Bank in einer ganz spezifisichen Region zugeschnitten und damit nur von minimaler Gefahr in einer ganz bestimmten Region. „Die Malware ist aber einzigartig, weil sie ermöglicht, dass ganz spezifische Ziele angegriffen werden können“, sagt Perlow.

Im Juli hat der ATM-Hersteller Diebold Nixdorf eine ähnliche Warnung über eine andere Malware herausgegeben, mit der Angreifer in Europa Bankomaten und ihre dazugehörige proprietäre Software manipuliert haben sollen.

Perlow hat sich außerdem FASTCash angesehen, eine andere Malware, die nordkoreanischen Hackern zugeschrieben worden war. Nordkorea steht im Verdacht, mit dieser Malware Millionen Dollar Bargeld rund um die ganze Welt „abgehoben“ zu haben. Diese Malware funktioniert allerdings ganz anders, denn sie manipuliert nicht die Bankomaten, sondern die Standard für die Kartentransaktion (ISO-8583).

80.000 Geräte in USA betroffen

Doch das waren nicht die einzigen fortgeschrittenen Malware-Attacken auf Bankomaten, die entdeckt wurden. Forscher von Red Balloon Security haben auf der Defcon 2 spezifische Schwachstellen in Bankomaten von Nautilus Hyosung festgestellt. Das sind die, die man in Bars oder Supermärkten findet. Dazu reicht es, wenn sich Angreifer in dasselbe Netzwerk wie das Opfer einloggen, um Kontrolle über den Bankomaten zu erlangen. Hyosung hat in den USA mehr als 140.000 Geräte im Einsatz und will den Bug im September patchen. Laut den Forschern sind derzeit rund 80.000 der Geräte für diesen Angriff anfällig. „Hyosung hat aber einen großartigen Job gemacht, proaktiv daran zu arbeiten, dass die Lücken gestopft werden“, sagt Ang Cui, Red Balloons CEO. „Jeder Anbieter muss den Bankomaten selbst patchen.“

In digitalen Systemen wurden ebenfalls 2 Schwachstellen entdeckt. Damit ist es möglich, dem Bankomaten zu befehlen, Geld auszuspucken. Ein zweiter Angriff ermöglicht den Zugriff auf Geld aus der Ferne. „Die Angreifer könnten alles tun, die volle Kontrolle aus der Ferne übernehmen, Einstellungen ändern oder unendlich viel Geld ausspucken lassen“, sagte Benda So, Forscherin bei Red Balloon. Auch diese Schwachstellen werden bis 4. September beseitigt.

Kaum weiterentwickelt

Nach wie vor in Mode dürfte beim Jackpotting sein, die Geräte mit manipulierten SD-Karten oder USB-Sticks austricksen zu wollen, aber Angriffe aus der Ferne seien ebenfalls im Kommen, heißt es im Wired-Bericht. „Die meisten Angriffe, die vor 15 Jahren auf Laptops funktioniert haben, würden jetzt nicht mehr funktionieren. Aber die Bankomatkartensysteme haben sich nicht weiterentwickelt, das ist für mich kaum vorstellbar“, sagt der CEO von Red Balloon.