Eine Sicherheitslücke in Bankautomaten ermöglicht es Kriminellen, schnell Bündel von Scheinen zu entwenden. Interpol informierte mehrere Länder in Europa, Südamerika und Asien über diese Entdeckung und führt derzeit eine großangelegte Untersuchung durch.

Die Sicherheitsfirma Kaspersky Labs entdeckte den Angriff, der durch die Eingabe eines Codes auf dem Ziffernfeld der Automaten gestartet wird. Infizierte Automaten werden so angewiesen, 40 Scheine auf einmal auszugeben – ohne den Einsatz einer Kredit- oder EC-Karte.

Kaspersky Lab fertigte ein Video an, welches den Vorgang darstellt. Weitere Details wurden außerdem in einem Blogpost veröffentlicht.

Vor der Geldausgabe werden die betroffenen Automaten über eine bösartige Software auf einer Boot-CD infiziert. Dazu benötigen die Kriminellen physischen Zugriff zu den Systemen. Sobald die Malware – Tyupkin – auf dem System installiert ist, muss der Geldkurier zunächst einen Code eingeben. Danach wird ein zweiter Code benötigt, welcher per Zufall generiert und dann an den Kurier gesandt wird. Mit diesem kann der Geldkurier das Geld beheben.

Durch diesen zweiten Schritt stellt derjenige, welcher die Macht über die Codes hat, die Kontrolle über das Wann und Wo der Geldausgabe sicher.

Vicente Diaz von Kaspersky:

„In den letzten Jahren haben wir aufgrund von Skimming oder bösartiger Software einen signifikanten Anstieg im Bankautomaten-Betrug gesehen. Nun beobachten wir eine Evolution dieser Bedrohung – Cyberkriminelle gewinnen an Bedeutung und greifen die Finanzinstitutionen direkt an.“

Kaspersky führte die Untersuchungen „im Namen einer Bank“ aus, gab aber den Namen dieser nicht bekannt. Die Attacke betrifft individuelle Kunden nicht, da die Automaten einfach nur zur Ausgabe von Banknoten gebracht werden, die nicht mit Kundenkonten verbunden sind.

Die Schwächen von Bankautomaten befinden sich immer wieder im Fokus der Sicherheitsindustrie. Viele der Automaten nutzen veraltete Software, die aufgrund finanzieller und logistischer Einschränkungen schwer zu aktualisieren ist: Es gibt viele Bankautomaten und Upgrades sind kostspielig.

„Der Umstand, dass viele Bankautomaten Betriebssysteme mit bekannten Sicherheitsproblemen nutzen und Lösungen dafür nicht vorhanden sind, stellt ein Problem dar, das schnellstens angegangen werden muss“,

so Kaspersky.

Eine andere Malware – Ploutus – ermöglichte die Ausgabe von Geldscheinen zu einem früheren Zeitpunkt dieses Jahres über das Versenden einer SMS an die Automaten. 2010 entdeckte der Hacker Barnaby Jack die „Jackpotting-Methode“, mit der er ebenfalls den Automaten dazu brachte, Geld auszugeben. Die Demonstration dieser Methode auf der Black Hat Konferenz brachte ihm tosenden Beifall ein.

Artikel von bbc.com, 08.10.2014: Tyupkin cash machine hack ‚dispenses wads‘
Artikel von zdnet.com, 07.10.2014: ATM malware dispenses cash to attackers