Gefällt dir dieser Artikel?

Jackpotting: Banküberfall im Computerzeitalter

erschienen in der Kategorie Technik, am 22.10.2015
Schnatterente
Früher sind Bankräuber mit einer Waffe in der Hand in eine Bank marschiert und haben sich unter Gewaltandrohung einen braunen (mit Dollarzeichen bedruckten) Jutebeutel mit Bargeld füllen lassen. Früher.

Und was ist heute?
Wer heutzutage auf dem "klassischen" Weg versucht eine Bank zu überfallen, der wird wohl in den meisten Fällen vor Ort gestellt und landet noch am gleichen Tag dort, wo er hingehört, nämlich hinter Gittern.

Das ist vermutlich auch der Grund, warum der professionelle Bankräuber des 21. Jahrhunderts vorzugsweise auf Gewalt und aufsehenerregende Aktionen verzichtet. Es ist einfacher und aus Sicht der Verbrecher auch sicherer geworden, die technischen Defizite der modernen Zahlungssysteme auszunutzen. Leider machen es die Banken den Kriminellen da nach wie vor auch sehr einfach. Es gibt unzählige, teils seit Jahren bekannte Sicherheitslücken im Zahlungsverkehr. Das geht bei unausgereiften, unsicheren Onlinebanking-Verfahren los und endet bei der Tatsache, dass man mit einer manipulierten, gestohlenen Kreditkarte mit jeder beliebigen PIN bezahlen kann.
In Deutschland mehrten sich in den letzten Jahren vor allem Skimming-Angriffe und manipulierte Kartenterminals. Und auch im großen Stil passiert so einiges. Erst vor einer Woche berichtete die britische National Crime Agency, dass es Hackern gelungen sei, mithilfe einer Malware Kontodaten britischer Bürger abzugreifen und rund 27 Millionen Euro zu erbeuten.

Doch nicht nur direkte Angriffe auf die Konten der Bankkunden sind interessant für Kriminelle, auch die Geldautomaten selbst sind von großem Interesse, wie dieses Video eindrucksvoll zeigt:



Wie viele Verbrecher haben wohl in den letzten Jahrzehnten erfolglos versucht Geldautomaten mit brachialer Gewalt zu knacken?
Der Angreifer von heute schont seine Kräfte und übernimmt einfach per Software die Kontrolle. Nur ein paar Klicks sind nötig und der Geldautomat spuckt alles aus, was er zu bieten hat, sowohl das Bargeld als auch die Kreditkartendaten. "Jackpotting" nennt man das treffenderweise – nur dass die Betreiber dieser Automaten eigentlich keine Casinos betreiben (wollten).

In Anbetracht der Tatsache, dass dieses Video fünf Jahre alt ist, kann man doch sicher davon ausgehen, dass die Banken dazu gelernt haben und dass die Automaten jetzt alle ganz sehr viel sicherer geworden sind?

Dass dem leider nicht so ist, zeigt diese Fahndungsmeldung von gestern: "Jackpotting-Tatverdächtiger mit Bildern gesucht".
Der Mann auf den da gezeigten Fahndungsfotos hat um 9. August um kurz vor 7 Uhr in Esslingen (Baden-Württemberg) und am selben Tag gegen 21 Uhr in Berlin (also rund 600 Kilometer entfernt) zwei Bankautomaten geplündert. Laut Angaben der Polizei hat er dazu die Gehäuse der Automaten geöffnet und einen USB-Stick angeschlossen, um eine Schadsoftware zu installierten.

Warum ein Geldautomat überhaupt über einen USB-Anschluss verfügt, ist mir ehrlich gesagt unbegreiflich. Das nennt man dann wohl "broken by design".

Dass die Software der Geldautomaten überhaupt so einfach angreifbar ist, liegt übrigens an der Tatsache, dass die meisten dieser Geräte noch mit Windows 2000 oder Windows XP laufen. Diesbezüglich möchte zum Schluss noch aus diesem Heise-Artikel vom 19.01.2014 zitieren:
Laut einem Bericht der Businessweek laufen immer noch 95 Prozent aller etwa drei Millionen Geldautomaten weltweit mit Windows XP. Das Aktualisieren der Geräte geht nur langsam voran, obwohl Microsoft bereits mehrfach ein Ende des Supports für Windows XP angedroht und wieder verschoben hat.
[...]
Eine Sprecherin der deutschen Kreditwirtschaft sagte der Nachrichtenseite Golem, dass ihr keine bundesweite Statistik darüber vorliege, welche Betriebssysteme auf den Geld-Spendern laufen würden. "Da die Geldautomaten in Deutschland nicht am Internet hängen, spielt die Art des Betriebssystem aber auch keine Rolle."
[...]
Die Aussage der Sprecherin lässt aufhorchen, denn es gibt auch andere Wege, um einen PC zu kompromitieren. Einfallstor kann beispielsweise der USB-Anschluss sein.
[...]
Ein Kenner der IT-Infrastruktur deutscher Geldautomaten relativierte Heise Online gegenüber mögliche Sicherheitsgefahren. Es sei zwar zutreffend, dass viele Automaten noch mit Windows 2000 und Windows XP liefen, der auf der Sicherheitskonferenz beschriebene USB-Hack könne in Deutschland so aber nicht funktionieren. Die Schnittstellen befinden sich hierzulande ausschließlich im rückwärtigen Bereich des Automaten. Der ist nicht ohne weiteres zugänglich, da die Geräte in Deutschland meist nicht alleine stehen, sondern in eine Wand integriert sind.

Na dann ist ja alles gut …

Geschnatter

8 Kommentare, selbst mitschnattern << < Seite 1/2 > >>
Anonym, am 22.10.2015 um 20:29 Uhr
Kommts wirklich irgendwann so, dass es kein Bares mehr gibt sondern nur noch digitalen Zahlungsverkehr, dann wirds erst richtig heftig werden!
Karsten, am 22.10.2015 um 20:31 Uhr
Aber mal eben 600 Kilometer fahren zum nächsten Automaten? Da ist doch die Hälfte der Beute für Benzin draufgegangen xD
Julius, am 22.10.2015 um 21:28 Uhr
Zitat:
„Dass die Software der Geldautomaten überhaupt so einfach angreifbar ist, liegt übrigens an der Tatsache, dass die meisten dieser Geräte noch mit Windows 2000 oder Windows XP laufen.“

Naja, ich finde nicht, dass das jeweilige Betriebssystem des Automaten an sich ein Problem ist. Ein Automat mit Windows 2000 wäre genauso sicher wie einer mit Windows 7, wenn er nicht über einen USB-Anschluss verfügen würde und nicht am Internet hängt! Auch eine Top-aktuelle Linux-Maschine wäre gefährdet, ich sage nur „Bad USB“...
EJB, am 22.10.2015 um 21:37 Uhr
Der USB-Port wird gebraucht, um Drucker und Webcams (also die Überwachungskamera) anzuschließen, steht auch in dem von dir verlinkten ct-Artikel.
Antwort: Dass es dafür benutzt wird, hatte ich schon verstanden. Ich meinte eher, dass ich es fahrlässig finde, USB überhaupt zu verwenden. Man kann Peripherie auch anders verkabeln.
Karsten, am 22.10.2015 um 22:18 Uhr
Gibt schon Unterschiede zwischen XP und 7. Die Architektur ist ne ganze andere und schon deutlich sicherer. Windows 7 ist für diese USB-Automount-Sachen bisschen weniger anfällig. Ich vermute ja dass das darüber lief. Hätte vermutlich schon was gebracht, die hätten die Funktion abgeschaltet.
Letzten Endes ist kein Betriebssystem sicher. Aber sicherer als Windows wäre schon ein Ansatz!
Shogun, am 23.10.2015 um 09:11 Uhr
Erstaunlich. Wie konnte der Kerl einen USB-Stick anbringen, wenn doch lt. einer Sprecherin der deutschen Kreditwirtschaft die Anschlüsse nur über die Rückseite des Automaten zugänglich sind?
Anonym, am 23.10.2015 um 13:10 Uhr
@Shogun. You got the point. ;)

Bei Heise steht ja auch:

"Die Täter schnitten ein Loch in die Plastikverkleidung, um einen präparierten USB-Stick mit Schadcode anzuschliessen. Anschließend restaurierten sie den Geldautomaten so gut, dass der Bank die Manipulation monatelang nicht auffiel."

Das ist eigentlich schon in dem Heise Artikel nicht schlüssig. Scheinbar gibt es USB-Ports vorn, die eigentlich hinten sind. :D