Gefällt dir dieser Artikel?

Jackpotting: Banküberfall im Computerzeitalter

erschienen in der Kategorie Technik, am 22.10.2015
Schnatterente
Früher sind Bankräuber mit einer Waffe in der Hand in eine Bank marschiert und haben sich unter Gewaltandrohung einen braunen (mit Dollarzeichen bedruckten) Jutebeutel mit Bargeld füllen lassen. Früher.

Und was ist heute?
Wer heutzutage auf dem "klassischen" Weg versucht eine Bank zu überfallen, der wird wohl in den meisten Fällen vor Ort gestellt und landet noch am gleichen Tag dort, wo er hingehört, nämlich hinter Gittern.

Das ist vermutlich auch der Grund, warum der professionelle Bankräuber des 21. Jahrhunderts vorzugsweise auf Gewalt und aufsehenerregende Aktionen verzichtet. Es ist einfacher und aus Sicht der Verbrecher auch sicherer geworden, die technischen Defizite der modernen Zahlungssysteme auszunutzen. Leider machen es die Banken den Kriminellen da nach wie vor auch sehr einfach. Es gibt unzählige, teils seit Jahren bekannte Sicherheitslücken im Zahlungsverkehr. Das geht bei unausgereiften, unsicheren Onlinebanking-Verfahren los und endet bei der Tatsache, dass man mit einer manipulierten, gestohlenen Kreditkarte mit jeder beliebigen PIN bezahlen kann.
In Deutschland mehrten sich in den letzten Jahren vor allem Skimming-Angriffe und manipulierte Kartenterminals. Und auch im großen Stil passiert so einiges. Erst vor einer Woche berichtete die britische National Crime Agency, dass es Hackern gelungen sei, mithilfe einer Malware Kontodaten britischer Bürger abzugreifen und rund 27 Millionen Euro zu erbeuten.

Doch nicht nur direkte Angriffe auf die Konten der Bankkunden sind interessant für Kriminelle, auch die Geldautomaten selbst sind von großem Interesse, wie dieses Video eindrucksvoll zeigt:



Wie viele Verbrecher haben wohl in den letzten Jahrzehnten erfolglos versucht Geldautomaten mit brachialer Gewalt zu knacken?
Der Angreifer von heute schont seine Kräfte und übernimmt einfach per Software die Kontrolle. Nur ein paar Klicks sind nötig und der Geldautomat spuckt alles aus, was er zu bieten hat, sowohl das Bargeld als auch die Kreditkartendaten. "Jackpotting" nennt man das treffenderweise – nur dass die Betreiber dieser Automaten eigentlich keine Casinos betreiben (wollten).

In Anbetracht der Tatsache, dass dieses Video fünf Jahre alt ist, kann man doch sicher davon ausgehen, dass die Banken dazu gelernt haben und dass die Automaten jetzt alle ganz sehr viel sicherer geworden sind?

Dass dem leider nicht so ist, zeigt diese Fahndungsmeldung von gestern: "Jackpotting-Tatverdächtiger mit Bildern gesucht".
Der Mann auf den da gezeigten Fahndungsfotos hat um 9. August um kurz vor 7 Uhr in Esslingen (Baden-Württemberg) und am selben Tag gegen 21 Uhr in Berlin (also rund 600 Kilometer entfernt) zwei Bankautomaten geplündert. Laut Angaben der Polizei hat er dazu die Gehäuse der Automaten geöffnet und einen USB-Stick angeschlossen, um eine Schadsoftware zu installierten.

Warum ein Geldautomat überhaupt über einen USB-Anschluss verfügt, ist mir ehrlich gesagt unbegreiflich. Das nennt man dann wohl "broken by design".

Dass die Software der Geldautomaten überhaupt so einfach angreifbar ist, liegt übrigens an der Tatsache, dass die meisten dieser Geräte noch mit Windows 2000 oder Windows XP laufen. Diesbezüglich möchte zum Schluss noch aus diesem Heise-Artikel vom 19.01.2014 zitieren:
Laut einem Bericht der Businessweek laufen immer noch 95 Prozent aller etwa drei Millionen Geldautomaten weltweit mit Windows XP. Das Aktualisieren der Geräte geht nur langsam voran, obwohl Microsoft bereits mehrfach ein Ende des Supports für Windows XP angedroht und wieder verschoben hat.
[...]
Eine Sprecherin der deutschen Kreditwirtschaft sagte der Nachrichtenseite Golem, dass ihr keine bundesweite Statistik darüber vorliege, welche Betriebssysteme auf den Geld-Spendern laufen würden. "Da die Geldautomaten in Deutschland nicht am Internet hängen, spielt die Art des Betriebssystem aber auch keine Rolle."
[...]
Die Aussage der Sprecherin lässt aufhorchen, denn es gibt auch andere Wege, um einen PC zu kompromitieren. Einfallstor kann beispielsweise der USB-Anschluss sein.
[...]
Ein Kenner der IT-Infrastruktur deutscher Geldautomaten relativierte Heise Online gegenüber mögliche Sicherheitsgefahren. Es sei zwar zutreffend, dass viele Automaten noch mit Windows 2000 und Windows XP liefen, der auf der Sicherheitskonferenz beschriebene USB-Hack könne in Deutschland so aber nicht funktionieren. Die Schnittstellen befinden sich hierzulande ausschließlich im rückwärtigen Bereich des Automaten. Der ist nicht ohne weiteres zugänglich, da die Geräte in Deutschland meist nicht alleine stehen, sondern in eine Wand integriert sind.

Na dann ist ja alles gut …

Geschnatter

8 Kommentare, selbst mitschnattern << < Seite 2/2 > >>
Anonym, am 23.10.2015 um 14:52 Uhr
Wer hätte gedacht dass USB-Sticks mal zu gefährlichen Waffen werden ...

Da hatte letztens ein Antivirenhersteller ein Experiment gemacht. Die haben 100 USB-Sticks mit einer kleinen (ungefährlichen) eigens programmierten Schadsoftware versehen, welche sich bei ihrem Server meldet. Dann haben die die Sticks irgendwo verteilt, sodass es z.B. aussah, als hätte jemand einen Stick verloren order irgendwo liegen lassen.

Der überwiegende Teil der Sticks wurde tatsächlich bald in einen PC gesteckt.
Die Menschen sind einfach noch viel zu sorglos ... à la "Oh, ein USB-Stick, gleich mal schauen was drauf ist."