Betrüger hacken Geldautomat mit infiziertem USB Stick

Tastenfeld

Kriminelle werden alles tun, um Geldautomaten auszurauben. Aber jetzt hat ein Team von Forschern herausgefunden, dass sog. Skimmer nun der Vergangenheit angehören könnten: Betrüger haben stattdessen Geldautomaten direkt durch infizierte USB-Sticks angezapft.

Die Ergebnisse wurden auf dem Chaos Communication Congress in Hamburg präsentiert. Wie bekannt wurde, müssen Hacker ein Loch in Geldautomaten bohren und anschließend USB-Sticks anschließen, die den Code auf dem System installieren.

Das Team, welches anonym bleiben wollte, erklärt, dass der Hack bereits auf „Geldautomaten einer ungenannten europäischen Bank“ durchgeführt wurde. Wie zum ersten Mal im Juli diesen Jahres registriert wurde, kann die Software immer wieder ausgeführt werden, sobald diese einmal installiert wurde. Die Kriminellen tippten jedesmal lediglich einen zwölfstelligen Code in das Tastenfeld des Automaten, um fast vollständigen Zugriff zu erhalten.

Die Software wurde vier Mal erfolgreich auf verschiedenen Geldautomaten installiert. Sie erlaubt den Betrügern, den Bargeldbestand geordnet nach Nennwert der Noten einzusehen, zusammen mit weiteren Optionen, um jede Art einzeln ausgeben bzw. abheben zu können. Was zunächst sinnlos erscheint, erlaubt es den Betrügern, sich auf Noten des höchsten Werts zu konzentrieren. Da soll noch einer sagen, Kriminelle seien ineffizient.

In dem Code war sogar eine Sicherheitsfunktion eingebaut, welche es nur dann erlaubt, die Banknoten abzuheben, wenn der Betrüger vorher einen Komplizen kontaktiert, um den einzugebenden Nummerncode zu erhalten. Die Forscher vermuten, dass es sich dabei um einen vom Programmierer der Software eingefügten Mechanismus handelt, damit keiner seiner Komplizen ohne Weiteres mit dem Geld verschwinden kann.

Es ist klar, dass es sich dabei um die Königdisziplin des Hackings handelt, welche direkt den Kern der Technologie von Geldautomaten anspricht und Insiderwissen voraussetzt. Beruhigend ist dabei lediglich die Tatsache, dass es nicht das eigene Konto ist, nur jenes der Bank.

[via gizmodo.com]

Tags :
    1. Es handelte sich um einen (Gewohnheits-)Tippfehler, der inzwischen verbessert ist. Der Veranstalter war der Chaos Computer Club. Danke für den (recht unsubtilen) Hinweis.

  1. “Die Schadsoftware selbst wurde von zwei Sicherheitsforschern analysiert, die ihre Ergebnisse Anfang der Woche auf dem Hackerkongress 30C3 des Chaos Computer Clubs präsentierten. ” – ergo aufm 30C3, vom Chaos Computer Club (so heißt der verein hank moody..)

    1. Und noch mal: Der Kongress heisst abgekürzt 30c3 und lang 30th Chaos Communication Congress (https://events.ccc.de/congress/2013/wiki/Main_Page) und eben nicht Chaos Computing Congress.
      Aber der Artikel wurde mittlerweile nach meinem Einwand korrigiert.

      BTW: Ohne dies zu Kennzeichen, was leider wieder zur Schülerzeitungsqualität von Gizmodo passt.
      Ich wünsche mir mehr sorgfalt in allen Ecken.
      Als Quellenangabe “via Gizmodo” anzugeben, ist auch mehr als peinlich…

    1. So paradox es klingt, die Sicherheitstechnik von Geldautomaten ist Teil der Strategie zur Abschaffung von Bargeld. Es wäre ein Leichtes, die Geräte zu überwachen. Kameras, Identifizierungssoftware und Sensortechnik sind vorhanden, werden aber nicht eingebaut, um die Zustimmung der Bankkunden zur Einführung des Chipgeldes zu erhalten. Meine private Vorhersage ist, dass die Zahl der Meldungen dieser Art überproportional ansteigen wird bis kurz vor Abschaffung des Bargeldes.

      1. Wtf geht mit dir? Keine Kameras eingebaut? Schonmal bei Banken in den Wandecken geschaut? Da ist immer ne Überwachungskamera die aufn Geldautomat zeigt.. zudem sind die Teile sicher – aber wer bitte denkt daran das Kriminelle die auf schnelles Geld aus sind ein Kacks Loch in ein Geldautomat fräsen/bohren und mitm Usb Stick dann Manipulieren?! Damit man sowas abziehn kann muss man enorme Kenntnisse über die Hardware und innenleben so eines Geldautomaten haben, und dazu noch Daten wie Betriebsystem, verwendete Software usw.. und das haben normale Diebe nunmal nicht! Von daheri st es totaler Humbug was du hier schreibst.. es ist ja schön für dich wenn du dich Währungstechnisch mit Gold oder Silber absichern willst, aber hör auf anderen dein weltbild aufdrücken zu wollen.
        Die Geldautomaten sind nunmal nicht drauf ausgelegt das da Diebe sich zu Schaffen machen die so detailiertes Hintergrundwissen haben damit sie spezielle Software die aufm Geldautomat liegt umschreiben oder Manipulieren können. Zudem ist dieser Ubs Steckplatz ein Steckplatz der für Wartungsarbeiten benutzt wird (Updates zb), von daher kann man diesen Steckplatz auch nicht einfach so weglassen. Übrigens -> Auf vielen Geldautomaten Läuft Windows CE..DARÜBER sollte man sich gedanke machen, nicht über pseudo fehlende Kameras und sonstigen Kram.

      2. Orwell ist näher als ihr denkt.

        Sah mal auf der Hannovermesse in der Bankenhalle so ein ATM von innen.
        Der hatte auch eine S/W Cam eingebaut, die Gesichter von den Nutzern knipste, und so die ATM- Betrüger mit geklauten EC- Karten zu überführen.
        Nicht ohne Grund haben viele ATMs ein kleines dunkelrotes Fenster, damit IR- Cam den Nutzer knipsen kann. Achtet mal drauf…

        Und es ist Schnüfflerstaaten auch zuzumuten, das die Nummern der ausgezahlten oder eingezahlten Geldscheine bereits heute gespeichert werden, und der Kontonummer zugeordnet werden, um damit den Bargeldfluss auszuspähen…

        Und neue Scheine mit japanischen RFID- Chips „0,1 x 0,4 x 0,4 mm“ sind bereits entwickelt.
        Ein Bekannter mit Bezug zu Hersteller von Spezialpapier, verplapperte sich mal, das damit bereits länger experimentiert wird…

        Und in einigen EU Staaten, werden bereits bei Bareinzahlungen über 1500 €, die Nummern der Scheine gescannt…

        Die Staaten wollen wirklich Bargeld abschaffen, um den gläsernen Bürger besser zu überwachen, und um noch mehr Zwangsabgaben abzupressen…

        1. Wenns so kommt – nutzen wir eben Bitcoin & co.

          Das speichert zwar auch den Fluss der Bitcoins von Adresse zu Adresse, ist aber besser im Bezug auf Transparenz als andere Dinge wie Paypal (vorallem bekommt man auch wirklich seine Bitcoins,und nicht oft ne Kontosperrung und solchen Humbug wen ihnen was nicht passt)

        1. Meinst du es gibt eventuell verschiedene Geldautomaten? Weil ich hatte auch schon mal Reallife zugesehen als ein Servicetechniker einen neustarte, da war Windows CE drauf.

          Hmm

        2. Ja, ATMs gibt es u.a. von NCR, IBM, Nixdorf, Diebold, …
          Und ATM Betriebssysteme die ich kenne: DOS, Win 2000, Win xp

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising