Aktuelles, Branche, Studien - geschrieben von dp am Donnerstag, April 28, 2016 23:45 - ein Kommentar
Cyber-Angriffe auf Geldautomaten ein globales Sicherheitsproblem
KASPERSKY-Analyse zeigt Manipulationsmöglichkeiten durch Hacker auf
[datensicherheit.de, 28.04.2016] Fast jeder Geldautomat weltweit könne illegal gekapert und manipuliert werden – mit oder ohne Hilfe eines Schadprogramms, warnt KASPERSKY lab in einer aktuellen Aussendung. Laut einer eigenen Analyse liege das an der weitverbreiteten Nutzung veralteter und unsicherer Software, Fehlern in der Netzwerkkonfiguration sowie Mängeln bei der physischen Sicherheit von Geldautomaten.
Mehrere Schwachstellen in der Technologie und Infrastruktur ausgenutzt
In den letzten Jahren war es Cyber-Kriminelle immer wieder gelungen, Geldautomaten zu attackieren. So hatte KASPERSKY lab im Jahr 2014 mit „Tyupkin“ einen der ersten Schädlinge entdeckt, der Geldautomaten angriff. Im Jahr 2015 folgte dann die Enthüllung der „Carbanak-Gang“, die unter anderem in der Lage war, Infrastrukturen von Banken so zu kompromittieren, dass sie Geld von Automaten abheben konnten. Bei beiden Angriffen seien mehrere Schwachstellen der bei Geldautomaten eingesetzten Technologie ausgenutzt worden – sowie der dahinter stehenden Infrastruktur.
KASPERSKY-Experten für Penetrationstests hätten nun eine Untersuchung durchgeführt, um reale Attacken näher zu analysieren sowie für mehrere Banken Sicherheitseinschätzungen für Bankautomaten vorzunehmen.
Nicht nur Online-Banking im Visier der Cyber-Kriminellen
Die Ergebnisse ihrer Untersuchung zeigten, dass – auch wenn Anbieter derzeit Geldautomaten mit starken Sicherheitsmaßnahmen ausstatteten – Banken noch zu viele unsichere Modelle einsetzten, was sie eben für Kriminelle verwundbar mache. Dies könne finanzielle Verluste für Banken und ihre Kunden zur Folge haben, so das Fazit von Olga Kochetova, Sicherheitsexpertin der Penetrationstestabteilung von KASPERSKY lab.
Kochetova: „Das Problem liegt unserer Meinung nach darin, dass lange der Irrglaube vorherrschte, Cyber-Kriminelle würden nur Online-Banking-Prozesse attackieren, was auch nach wie vor der Fall ist, allerdings ergänzt um direkte Angriffe auf Geldautomaten.“
Ergebnisse der Analyse: zwei wunde Punkte
Die Analyse offenbart demnachdemnach zwei wunde Punkte, über die Geldautomaten attackiert werden können:
- Software-Probleme: Auf Geldautomaten kämen häufig veraltete Versionen von Betriebssystemen zum Einsatz – eine Schwachstelle, die von Schadprogrammen und „Exploits“ ausgenutzt werden könne. Üblicherweise basiere die Software für die Interaktion zwischen der Infrastruktur und weiteren Hardware-Einheiten sowie zur Steuerung des Barauszahlungs- und Kreditkartenprozesses auf dem XFS-Standard. Diese „veraltete und unsichere Technologie“, die zur Standardisierung von Geldautomaten-Software entwickelt worden sei, habe folgendes Problem: XFS erfordere keine Autorisierung durchzuführender Befehle. Jede auf einem Geldautomaten installierte und ausgeführte Anwendung könne jeder weiteren Geldautomaten-Hardware-Einheit Befehle erteilen – inklusive dem Kartenleser und der Bargeldausgabe. Nach Infektion eines Geldautomaten mit einem Schädling erhalte dieser nahezu die komplette Kontrolle über das Gerät. Er könne die PIN-Pad-Eingaben auslesen, Kartendaten speichern oder Geld auswerfen.
- Physische Sicherheit: In vielen beobachteten Fällen hätten Kriminelle keine Malware zur Infizierung eines Geldautomaten oder einer Infrastruktur eingesetzt – sie hätten auf Schwachstellen innerhalb der physischen „Security“ gesetzt, dies sei ein weit verbreitetes Problem. Die Konstruktion und Installation von Geldautomaten ermögliche sehr häufig Dritten Zugang zum im Gehäuse installierten PC; oder zum die Maschine mit dem Internet verbindenden Netzwerk. Kriminelle mit physischen Zugang zu einem Geldautomaten könnten speziell programmierte Minicomputer (Black-Box) im Geldautomaten installieren, mit denen sie die Fernkontrolle über den Automaten bekämen, oder den Geldautomaten mit einer gefälschten Prozesszentrale verbinden.
Mögliche IT-Sicherheitsmaßnahmen
Die Verbindung zwischen Geldautomat und Prozesszentrale könne über verschiedene Wege geschützt werden – beispielsweise per Virtual Private Network (VPN) auf Hardware- oder Software-Basis, SSL/TLS-Verschlüsselung, eine Firewall oder MAC-Authentifizierung und xDC-Protokollimplementierungen. Diese würden jedoch häufig nicht angewandt oder seien fehlerhaft konfiguriert. Deshalb sollte die Sicherheit von Geldautomaten über Penetrationstests regelmäßig überprüft werden.
Hersteller von Geldautomaten sollten laut KASPERSKY lab folgende Cyber-Sicherheitsaspekte berücksichtigen:
- Der XFS-Standards sollte mit einem Schwerpunkt auf dem Bereich physische Sicherheit überarbeitet werden und Zwei-Faktor-Authentifizierung zwischen Hardware und legitimer Software eingeführt werden. So werde die Wahrscheinlichkeit einer unautorisierten Geldentnahme durch Trojaner und Angreifer, die direkt die Kontrolle über einen Automaten haben möchten, minimiert.
- Eine Art „authentifizierte Geldausgabe“ müsse eingeführt werden, damit die Möglichkeit einer Attacke über gefälschte Prozesszentralen ausgeschlossen werden könne.
- Implementierung von Verschlüsselungsschutz und Identitätskontrolle der zwischen Hardware-Einheiten und den PCs im Geldautoamt übertragenen Daten.
Weitere Informationen zum Thema:
SECURELIST, 26.04.2016
Olga Kochetova / „Jackpot am Geldautomaten: Wie man mit oder ohne Malware zu Bargeld kommen kann“
ein Kommentar
Mitta
Kommentieren
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
„ein globales Sicherheitsproblem“ Du hast recht. Dafu ich nutze PureVPN.