Virtueller Bankraub: Neue Geldautomaten-Malware entdeckt

Sicherheitsexperten haben einen neuen Schädling entdeckt, mit dem Cyberkriminelle Geldautomaten verschiedener Hersteller kompromittieren und ausrauben können. Die meist mangelnde Sicherheit der Geräte spielt ihnen dabei in die Hände.

(Foto: alswart - fotolia)

In den vergangenen Jahren haben Cyberkriminelle weltweit mehrere Millionen Euro ergaunert, indem sie beim so genannten »Skimming« mittels selbst gebauter Aufsätze auf den Kartenslot und das Eingabefeld die Daten von Bankkarten gestohlen und anschließend deren Konten leer geräumt haben. Nachdem inzwischen die meisten Geldautomaten recht gut gegen diese Art des Betrugs geschützt sind, verlegen sich die Hintermänner zunehmend auf eine neue Angriffsstrategie. Dabei greifen sie die Automaten mittels Schadsoftware direkt über das Betriebssystem an (siehe: So räumen Cybergangster Geldautomaten aus). Meist haben sie es bei dieser Taktik sogar relativ einfach. Denn in fast allen Geldautomaten steckt ein handelsüblicher PC, auf dem zu allem Übel sehr häufig noch veraltete Betriebssysteme wie Windows XP und Vista laufen. Als wäre das nicht schon genug der Leichtsinnigkeit, ist insbesondere bei etwas älteren Geldautomaten-Modellen zudem der Zugang direkt über die im Kundenraum zugängliche Vorderseite möglich. So können die Angreifer sich mittels einfachster Einbruchswerkzeuge wie Dietrichen Zugang zu den Rechnern im Inneren verschaffen und diese mittels Schadsoftware kompromittieren.

Gerade erst haben die Sicherheitsexperten von Proofpoint wieder eine neue Schadsoftware dieser Art entdeckt. Bei dem in Mexiko aufgespürten Schädling mit dem Namen »GreenDispenser« handelt es sich um eine besonders trickreiche Variante, die direkt den weit verbreiteten XFS Standard angreift. Dadurch kann die Schadsoftware ohne weitere Anpassungen auf den Geldautomaten verschiedener Hersteller genutzt werden. Ist der Schädling erst einmal installiert, schicken die Hintermänner einen Kurier vorbei, der den Automaten zu einer Zeit mit wenig Publikumsverkehr in aller Ruhe ausräumen kann. Immerhin dauert es einige Minuten, bis die Fächer mit den großen geldscheinen vollständig entleert werden können. Die Forscher von Proofpoint vermuten aufgrund der Struktur der Malware, dass die Kriminellen dazu eine Art Zwei-Faktor-Authentifizierung nutzen, bei der die Geldeinsammler über ein Smartphone einen Freischaltcode für den jeweiligen Automaten bekommen.

Die gute Nachricht ist immerhin, dass die bisher gefundenen Varianten von GreenDispenser ein automatisches Verfallsdatum haben und sich zum Ende September 2015 automatisch selbst wieder von den infizierten Geldautomaten löschen. Gleichzeitig macht das ihre Erkennung für die betroffenen Banken allerdings schwieriger. Es wird zudem vermutet, dass die Angreifer die Löschung auch direkt nach dem Raubzug per Eingabe über das Tastenfeld des Automaten initiieren können. »Um den Angreifern einen Schritt vorauszubleiben sollten Finanzunternehmen bestehende Sicherheitsmaßnahmen überprüfen und die Einführung moderner Technologien in Erwägung ziehen, um derartige Bedrohungen abzuwehren«, mahnt Kevin Epstein , Vice President Threat Operations for Proofpoint, die Banken, die Sicherheitslücken ihrer oft veralteten Systeme zu schließen, bevor es weltweit weitere Angriffe dieser Art gibt.