Jetzt neu an Ihrem Geldautomaten: Malware

geldautomatAls Nutzer der stummen Geldausspucker ist man ebenfalls sprachlos: Offenbar ist es russischen Hackern gelungen, Geldautomaten so zu manipulieren, dass sie sie dazu bringen können, beim Einschieben einer speziellen Karte einen Report mit allem auszuspucken, was an dem jeweiligen Tag an der Maschine passiert ist.

Minutiös liefert der Drucker eine Liste mit allen Karten, die in Berührung mit dem Geldautomaten gekommen sind, und zwar inklusive Gültigkeitsdaten – und PINs.

In einzelnen Fällen soll es sogar möglich sein, das Gerät dazu zu bewegen, seine gesamte Geldkassette auszuliefern – was allerdings fast schon Kleingeld zu nennen ist angesichts der Möglichkeiten, die die erbeuteten Daten bieten.

Auf diese neue Entwicklung aufmerksam wurde SpiderLabs, eine Abteilung der Sicherheitsfirma Trustwave, als sie von osteuropäischen Banken angeheuert wurde, denen das seltsame Verhalten ihrer Geldautomaten und die gestiegene Zahl von kopierten Karten aufgefallen war.

Zu guter Letzt entdeckt man in der auf Windows basierenden Software für die Maschinen ein 50-Kilobyte-Stück Code, das aus den Namen lsass.exe hört, so tut, als gehöre es irgendwie dazu, in Wahrheit aber in fremden Diensten steht.

Bei PCs dient das Programm dem Microsoft-OS dazu, mit Daten aus einer System-Cache-Sitzung umzugehen, zum Beispiel, damit E-Mail-Passwörter nicht ständig neu eingegeben werden müssen.

Während die Software also in einer PC-Umgebung völlig unauffällig wäre, hat sie bei einem Geldautomaten eigentlich nichts zu suchen – es sei denn, man verwendet sie im beschriebenen Sinne.

Nach ihrer Implementierung startet die Malware mit der Datensammlung, sobald eine Karte eingeschoben wird, und nimmt alles Interessante auf die Festplatte auf.

Ebenfalls als besonders clever gilt der Einfall, die Daten einfach über den zum Automaten gehörigen Drucker ausgeben zu lassen.  Wird die Karte eingeführt, die zum Abrufen der Daten benutzt wird, öffnet sich auf dem Bildschirm ein kleines Fenster und bietet – da hat man nochmal bei Windows nachgeschaut – verschiedene Rechte für den Ausdruck an.

Kommt nur der Laufbursche zum Abholen des Ausdrucks, bekommt er eine verschlüsselte Liste – damit er nicht auch dumme Gedanken kommt und sich eine Existenz als Selbstständiger aufbaut. Weiter oben in der Hierarchie darf man Klartext lesen oder – wo’s geht – sogar die Geldkassette auswerfen lassen, damit es nicht an Kleingeld für die abendliche Verlustigung fehlt.

Schwachstelle des Ganzen aus krimineller Sicht: Man benötigt einen Komplizen, der Zugang zu dem Geldautomaten hat und das Programm installiert. Und so wird diese Strategie spätestens an den deutschen Grenzen scheitern.

Denn in unseren Geldinstituten arbeitet nur sittlich gereiftes Personal, das sich in jedem Moment seiner Verantwortung bewusst ist und Dank leuchtender Vorbilder wie Josef Ackermann auch nicht vom Pfad der Tugend abkommen wird. Nie. Nie. Wirklich nie. [dieter]

[via New Scientist]

Dieser Beitrag wurde unter 11tech, elektronika abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Jetzt neu an Ihrem Geldautomaten: Malware

  1. Gördi schreibt:

    interessante sache das.
    In Russland liegt auch viel Programierer-Potenzial auf halde…kein wunder das sich manche mit so etwas beschäftigen.
    Zusätzlich sollte man auch erwähnen das nicht sehr viele Menschen dort konten bzw Geldautomaten benutzen.
    Sogar Lohn wird teilweise noch Bar ausgezahlt…

    Derjenige der zugang zum Automaten selber hat dürfte aber an sich recht schnell zu finden sein.
    Allzuviele werden das ja nicht sein.
    Hierzulande wird das ja ohnehin immer zu zweit gemacht (afaik)

  2. Thanatos schreibt:

    Gibt es Informationen, welche Hersteller betroffen sind?

  3. [dieter] schreibt:

    Bis jetzt sind es wohl nur Banken in Russland und der Ukraine; Europa gilt (noch) als sicher, weil Karten mit integriertem Chip die PIN bei der Eingabe verschlüsseln.

  4. winky schreibt:

    also jetz kack ich mir so langsam ein…

  5. Pingback: Defcon: Der fetteste Datendiebstahl fand vor dem Saal statt « 11tech

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s