Anzeige
SB & FILIALE8. Juli 2015

Gehacked, gesprengt, geplündert: Eine kurze Geschichte der Gewalt & fünf rettende Tipps

Gehackter Irrtum: 50 Euro-Scheine statt 5 Eurokadmy/bigstock.com
Gehackter Irrtum: 50 Euro-Scheine statt 5 Eurokadmy/bigstock.com

Das Leben eines Bankautomaten (ATM bzw. GAA) verläuft normalerweise recht friedlich; sie stehen im Eingangsbereich einer Bankfiliale, werden mit Geld gefüllt und wenn ein Kunde kommt, den richtigen Code für seine persönliche Karte eingibt, geben sie den gewünschten Betrag aus. Alle paar Wochen füllt dann ein Mitarbeiter der Bank den Automaten mit frischem Geld auf oder führt Wartungsarbeiten durch. Allerdings teilen nicht alle ATMs dieses Glück. Erik van Buggenhout ist Trainer beim SANS Institut für SEC 560 & 542 und Information Security Consultant bei NVISO – und zerlegt, was modernen ATMs heute so passieren kann – und welche fünf Schutzmaßnahmen helfen.

von Erik van Buggenhout

Erik Van Buggenhout
Erik-van-Buggenhout-3Erik Van Buggenhout ist ein Trainer beim SANS Institut und ein IT-Sicherheitsexperte bei NVISO. Als Trainer gibt er Penetration Testing Kurse und bietet ATM-basierte Penetration Testing Services an. Sie erreichen ihn unter evanbuggenhout@nviso.be oder treffen ihn bei einem der nächsten Kurse des SANS Instituts hier.
Bankautomaten werden gehacked, gesprengt, geplündert – Erik van Buggenhout gibt einen Überblick, wie in der Vergangenheit Bankautomaten gehackt wurden und womit sie heute angegriffen werden. Von den Kidnapping- und Sprengmethoden aus Wild West Zeiten bis hin zu intelligenten Cyberattacken.

Bankautomaten gibt es schon seit 1939

Der erste ATM wurde 1939 in New York City öffentlich aufgestellt und hörte auf den Namen „Bankograph“. Er wurde jedoch nicht genutzt und kurze Zeit später wieder entfernt, die Zeit war noch nicht reif. Nach einer Zeit der Adaption von neuen Technologien wurde im Jahr 1959 in Ohio in den Vereinigte Staaten der erste „ATM“ erfolgreich eingeführt. Heute gibt es mehr als 2.2 Millionen. Die Erfolgsgeschichte des Bankautomaten ist seine Einfachheit, jeder kann ihn benutzen, ohne viel überlegen zu müssen.

ATM: Eigentlich nur ein Computer in einem Schrank

Ein ATM selbst ist nur ein Schrank mit einem Computer, der die Ausgabe von Geld reguliert und sicherstellt, dass der Kunde auch das Geld erhält, dass er angefordert hat. Typische Komponenten sind das Kartenlesegerät, ein Pin-Pad, ein Auszahlmodul und
Geldkassetten (im inneren des Geräts). ATM
Der Computer ist im Grunde genommen nicht viel anders als ein normaler PC, der auch zu hause genutzt wird, nur dass er sich im Gehäuse eines Schranks befindet. Er verfügt in der Regel über ein CD/DVD Lesegerät, mindestens einen USB Port, eine Festplatte und verschiedene andere Dinge, die ein einfacher Computer enthalten sollte. Darüber hinaus läuft ein Windows-Betriebssystem auf ihm. Ein ATM ist im Grunde genommen ein dummes Gerät, dass auf die Backend Services der Bankfiliale angewiesen ist und die Entscheidung, ob ein Konto überzogen ist oder nicht, diesen Services überlassen muss.

Pysische Angriffe: Laut, auffällig und die Polizei ist schnell Vor-Ort

Anfang Juni wurde der GAA in Wupertal gesprengtPolizei Wuppertal
Anfang Juni wurde dieser GAA in Wuppertal gesprengtPolizei Wuppertal

Physische Angriffe sind riskant, müssen gut vorbereitet werden und oftmals sehr laut, so dass Anwohner geweckt werden, die dann relativ schnell die Polizei verständigen können. Sprengstoff gegen das Gerät einzusetzen, kann sogar gefährlich für den Bankräuber selbst sein. Es gibt genügend Beispiele für missglückte Überfälle bei youtube und Co. zu bestaunen von Überwachungskameras der betroffenen Institute Live aufgezeichnet. Darüber hinaus ist die Polizei relativ schnell am Ort des Geschehens. Besonders die Videoüberwachung macht den Dieben zu schaffen, müssen sie sich doch zunächst um die Kamera kümmern.

Es gab bereits Vorfälle, da haben Banden mit LKWs ganze ATMs mit Hilfe von schweren Stahlseilen aus der Halterung gerissen und dann in ihr Versteck gebracht, um sie dort zu knacken. Doch selbst dann kann es zu Problemen kommen, denn findige Sicherheitsunternehmen haben auch daran gedacht und die Geldkassetten mit einer Vorrichtung versehen, die Tinte auf den Geldscheinen verteilt und diese unbrauchbar macht, sobald sie mit Gewalt geöffnet werden. Da die Tinte nicht abwaschbar ist, lässt sich das Geld nicht mehr verwenden und ist genauso nutzlos wie der aufgebrochene oder aufgesprengte Bankautomat. Moderne Bankräuber haben sich deshalb weiterentwickelt und nach neuen, einfacheren Wegen gesucht, um an ihre Beute zu kommen.

Skimming oder wie man EC-Karten stielt und fremde Bankkonten plündert

Relativ einfach und immer noch recht erfolgreich sind Skimming Angriffe. Diebe stehlen die EC-Karte ihres Opfers und spionieren die PIN Codes aus. Für diese Art von Angriffen wird am Bankautomaten über dem Kartenlesegerät ein Karten-Skimmer angebracht und darüber eine kleine Video-Kamera, um den eingegebenen PIN-Code mitzulesen. Der Karten-Skimmer wird die Karte auslesen und eine Kopie der auf dem Magnetstreifen gespeicherten Daten erstellen. Diese Daten können danach auf eine Blanko-Karte übertragen werden und mit dem ausgespähten PIN Code ist es dann einfach, das Konto des Eigentümers leerzuräumen.

Diese Art von Diebstahl wird heutzutage noch oft in den USA, allerdings weniger in Europa praktiziert. Letzteres liegt an den EMV-Karten (Chip & PIN oder Chip & Signatur), die in Europa für alle ATMs eingeführt wurden. Diese Karten machen das Auslesen und Ausspähen der Karteninformationen erheblich schwerer, da der Chip auf den Karten dafür genutzt wird, um eine einzigartige Signatur für jede einzelne Transaktion zu erzeugen. Bei diesen Verfahren reicht es nicht aus nur die Daten auf dem Magnetstreifen zu kopieren. EMV findet nun auch in den USA eine stärkere Verbreitung und bis Ende Oktober 2015 soll die flächendeckende Einführung abgeschlossen sein. Danach dürfte dann auch dort Skimming Geschichte sein.

Intelligentere ATM Attacken – Operator Passwörter

Per Passwort ins System - "Google hacking"
Per Passwort ins System – “Google hacking”

Das “Google Hacking” ist eine Technik, die oft genutzt wird, um im Internet sensible Informationen zu finden. Deshalb starten Cyberkriminelle nicht damit etwas zu programmieren, sondern in dem sie über Google und anderen Suchmaschinen nach Default-Passwörtern für ATMs suchen. Einige ATMs gestatten es, wenn man sie im „Operater Mode“ betreibt, eine spezifische Tastenkombination einzugeben, um sich Zugriff auf die Benutzeroberfläche des Computers zu verschaffen. Hackerangriffe auf Router beginnen in der Regel genauso.

Kleine Änderung - große Wirkung: 50 statt 5 Euro auszahlen.
Kleine Änderung – große Wirkung: 50 statt 5 Euro auszahlen.

Vor einigen Jahren fanden einige Cyber-Kriminelle heraus, dass sie das Default-Passwort über eine Eingabe bei Google finden konnten (in Online-Anleitungen für ATMs zum Beispiel). Nachdem sie einen ATM gefunden hatten, bei dem das Passwort funktionierte, re-konfigurierten sie den ATM, indem sie ihm den Befehl gaben, dass er die 50 Euro Geldscheine zukünftig als 5 Euro Geldscheine zu identifizieren hatte. Nachdem sie so etwas mehr Geld abgehoben hatten, als erlaubt, machten sie den Befehl rückgängig, damit der Angriff nicht zurückverfolgt werden konnte.

I want EUR ...
I want EUR …

Die gleiche Bande führte den Angriff immer wieder aus, bis sie einmal vergaßen, den Befehl wieder rückgängig zu machen und der Betreiber so auf den Sicherheitsvorfall aufmerksam wurde.

ATMs, die das zulassen sind allerdings die Ausnahme, deshalb wenden Cyberkriminelle weitere wesentlich intelligentere Methoden an, um an ihr Ziel, also das Geld zu gelangen.

Intelligentere ATM Angriffe: Malware

Via XP schnell die Comandline aufrufen ...
Via XP schnell die Comandline aufrufen …

Die überwiegende Mehrheit der ATMs läuft nach wie vor auf Windows-basierten Betriebssystemen, darüber hinaus veröffentlichte NCR im Januar 2014 eine Meldung, dass ihren Schätzungen zur Folge 95 Prozent der ATMs immer noch mit Windows XP laufen, obwohl seit April 2014 kein Support mehr bereitgestellt wird (allerdings haben einige Firmen Verträge abgeschlossen, die ihnen den Support über 2014 hinaus zusichern). Quelle

Ein weiterer interessanter Fakt in dem ATM Software Stack 101 ist, dass die überwiegende Mehrheit der ATMs den CEN/XFS Standard nutzt, um eine allgemeine API vorzuhalten, die eine Kommunikation der Windows Applikationen mit verschiedenen ATM Peripherie-Teilen (Auszahlmodul, Kartenlesegerät) ermöglicht. Der CEN/XFS Standard wurde eingeführt, um über verschiedene Hersteller hinweg die gleichen ATM Konfigurationen vornehmen zu können (z.B. Diebold Software auf einem NCR ATM laufen zu lassen).

Der CEN/XFS Standard, der frei verfügbar und online abrufbar ist, erlaubt jeder Person mit relativ geringen Kenntnissen in der Software-Entwicklung eine Windows Anwendung zur Kontrolle der ATM Peripheriegeräte zu programmieren.

Malware für einen ATM zu schreiben, ist so einfach wie Fahrrad fahren.

Das Problem ist also nicht, die Malware zu schreiben, sondern diese in den ATM einzuschleusen. Cyber-Kriminelle gehen normalerweise so vor:

Durch mobile Geräte wie USB-Sticks oder Mobiltelefone: Die Ploutus-Malware (zuerst entdeckt Ende 2013) wurde auf den ATMs durch einen USB-Stick installiert. Die Cyber-Kriminellen haben sich dafür physischen Zugang zum USB-Port durch das ATM-Gehäuse verschafft. Dass ist nicht so schwierig wie es sich anhört, denn der Computer im Gehäuse ist weniger stark geschützt als der gesamte Automat an sich. In einer weiteren Attacke haben die Diebe außerdem Mobiltelefone via USB mit dem Gerät verbunden. Per Tethering konnten sie dann mit Hilfe von SMS die ATM Malware per Fernzugriff kontrollieren.

Über das Netzwerk: Carbanak, aufgedeckt im Frühjahr 2015 war der erste APT (Advanced Persistent Threat)-Angriff auf Bankautomaten. Cyber-Kriminelle haben hier die Bankautomaten über das Netzwerk der Bank selbst angegriffen und Malware eingesetzt, um sich Zugriff auf das Geld zu verschaffen. Hierfür haben sie Spearphishing Attacken mit gefälschten Anhängen (zumeist Makros in Dokumenten) genutzt, um sich Zugriff auf das Netzwerk der Bankfiliale zu verschaffen. Im nächsten Schritt haben sie dann über das Netzwerk die ATMs mit einer speziellen Malware infiziert. Die Bankautomaten gaben in bestimmten Zeiträumen Geld aus und die Kriminellen schickten sogenannte Abholer in die Banken, um dort das Geld im Empfang zu nehmen.

Das Beispiel Carbanak funktioniert nicht richtig, denn das Ziel der Kampagne waren nicht nur die Geldautomaten, sondern die Banken selbst mit allen ihren Services, dennoch ist es ein erstes Beispiel für intelligente Angriffe mit spezieller Malware.

Viele Varianten – was also tun?

Da ATMs nichts anderes als normale Windows-PCs sind, die ein Gehäuse mit Geld verwalten, sind sie in gleicherweise ein interessantes und leichtes Ziel für Angreifer. Viele Cyberkriminelle schreiben seit einiger Zeit Malware für Windows. Um Malware für ATMs zu schreiben, müssen sie einfach nur das CEN/XFS Handbuch herunterladen und sich an die Arbeit machen. Der schwierige Teil ist dann auch nicht die Malware zu schreiben, sondern diese zu kopieren und auf dem ATM Computer zum laufen zu bringen. Soll das verhindert werden, gibt es eine ganze Reihe von Schritten, die die Sicherheit für die Bankautomaten erhöhen können. Allerdings handelt es sich im Folgenden nur um Empfehlungen und sie sind als absolute Grundlagen zu verstehen und nicht als tief durchdachte Schutzmaßnahmen. Doch auch die einfachsten Maßnahmen können bereits erfolgreich sein und Angreifer abhalten.

1. Stellen Sie sicher, dass Whitelisting von Anwendungen auf den ATMs ausgeführt wird
Wenn das Whitelisten von Applikationen implementiert wird, werden nur bereits bekannte und zugelassene Anwendungen auf dem Betriebssystem ausgeführt. Bei dieser Maßnahme handelt es sich um eine striktere Herangehensweise als bei einer Antivirus-Lösung, die normalerweise auf Signaturbasis arbeiten, um Malware aufzuspüren. Bankautomaten sind eine ideale Plattform, um Whitelisting umzusetzen, da das Betriebssystem sich hier eher statisch und vorhersehbar verhält: Es gibt keine Anwender, die ständig Programme auf ihnen installieren und abfragen. Whitelisting ist kein 100 Prozent Security Konzept, denn es wird immer Schwachstellen geben, aber es wird die Sicherheit bereits deutlich erhöhen.

2. Stellen Sie sicher, dass die Betriebssysteme alle gepatcht und aktualisiert sind
Auch das ist keine Wissenschaft, aber es ist wichtig und wird von vielen vernachlässigt, zumal viele Bankautomaten immer noch mit Windows XP laufen. Stellen Sie daher sicher, dass das Betriebssystem jedes Bankautomaten komplett gepatcht und aktualisiert wurde, um sie vor bekannten Bedrohungen zu sichern.

3. Verschlüsseln Sie die Festplatten und konfigurieren Sie das BIOS
Auf der CCC Konferenz im Jahr 2013 haben Sicherheitsforscher einen Fall vorgestellt, in dem sie ATMs automatisch mit USB-Sticks gebootet haben, bevor diese hochfahren konnten. Sie konnten so aufzeigen, wie sie Malware auf die Bankautomaten aufgespielt hatten. Das Booten von mobilen Geräten wird oft für Wartungszwecke erlaubt, allerdings zeigt der Fall, dass dies auch für kriminelle Ziele missbraucht werden kann. Darüber hinaus werden die Automaten wiederholt gekauft und wieder verkauft. Second-Hand ATMs können auf verschiedensten Webseiten erstanden werden. Als Sicherheitsforscher konnte sich der Autor ebenfalls einen solchen ausgedienten ATM mit einer leeren Festplatte besorgen. Unter Anwendung von simplen forensischen Tools war es relativ einfach die gelöschten Daten, darunter sehr sensible Informationen wiederherzustellen.

Erik van Buggenhout ist Trainer beim SANS Institut für SEC 560 & 542 privat
Erik van Buggenhout ist Trainer beim SANS Institut für SEC 560 & 542 privat

4. Segmentieren Sie ihre Bankautomaten vom restlichen Netzwerk
Diese Empfehlung ist eigentlich selbstverständlich. Allerdings kommt es oft vor, dass die Administratoren und Betreiber der ATMs diese in ihre Windows Domain einbinden. Sollte dies so sein, sollten Netzwerk Segmentierungs-Kontrollen implementiert werden, um sicherzustellen, dass die ATMs nicht aus dem eigenen Netzwerk erreicht werden können.

5.  Verstärken Sie das Monitoring des Netzwerks

Wenn man sich in Erinnerung ruft, dass ein ATM ein sehr sensibler Teil eines Netzwerks ist (ein Windows PC, der ein Gehäuse voller Geld kontrolliert), sollte er speziell überwacht werden. Alle verdächtigen Warnungen oder Alarme, die auf einem ATM beobachtet werden, sollten zu einer weiterführenden Überprüfung führen. Damit einhergehend muss auch der ATM Login-Prozess richtig konfiguriert werden, um False Positives zu vermeiden.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert