Jackpot!

Eines Nachts im August 1995 erzittern die Mauern einer Bankfiliale im verschlafenen Städtchen Saarmund, als ein LKW rückwärts in das Schaufenster der Bank fährt. Zwei Gestalten springen aus dem LKW, um den Geldautomaten zu klauen.

Inform_Awareness_Fotolia_60478671_XXL_blau_minus_Artikel.jpg

Inform Awareness Bildmotiv Artikel

Sie binden ein Stahlseil um das freistehende Gerät, das sie mithilfe des Lasters aus der Verankerung reißen und mitnehmen. Etwas später müssen sie mit sehr viel Bedauern feststellen, dass sie den Kontoauszugsdrucker statt des Geldautomaten erwischt haben. – Die meisten Hacker stellen sich i.d.R. deutlich geschickter an!

Beim sog. Skimming versuchen Hacker an die PIN Ihrer Bankkarte zu kommen. Früher wurde das über einen Kartenleser gemacht, der vor den Eingabeschlitz des Bankomat-Lesegeräts gebaut wurde. Heutzutage wird ein USB-Sniffer ins Gerät selbst eingesteckt. Die abgegriffenen Daten können einfach über ein handelsübliches Lese-/Schreibgerät auf eine Leerkarte übertragen werden.

Ein Geldautomat ist im Grunde simpel aufgebaut: Er besteht aus den Mensch-Maschine Interfaces, einem Tresor mit angeschlossener Mechanik für die Geldausgabe und einem Computer als zentraler Steuereinheit. Alles wird durch eine mechanisch gesicherte Abdeckung gekapselt. Die Preise für solche Automaten rangieren zwischen 20.000 und 200.000 Euro. Leider wird bei einem günstigen Gerät gespart, wo es nur geht. Deshalb werden hier i.d.R. ganz herkömmliche Consumer-Notebooks verbaut, die den gleichen sicherheitstechnischen Problemen wie alle anderen Geräte dieser Klasse unterliegen: Sie sind schlecht gewartet und daher sehr einfach angreifbar. Der Sicherheitsspezialist Kaspersky hat 2016 eine Statistik über die Verwendung von Windows XP bei Bankautomaten-Computern erstellt und kam zwei Jahre nach Support-Ende immer noch auf eine Quote von 90 Prozent!

Ein Hacker benötigt damit nur noch einen Zugang zum System, um hier jede Menge offener Sicherheitslücken auszunutzen. Der Zugang wird ihm entweder über Wartungs-Schnittstellen an der Rückseite des Gerätes geboten oder er nutzt einen Generalschlüssel um die Abdeckung zu öffnen. Hier wird alles an Schnittstellen geboten, was das Hacker-Herz begehrt: USB, RJ45, etc. Den Generalschlüssel gibt es für einige tausend Dollar im Darknet zu kaufen. Das ist jedoch meist nicht notwendig. Bei www.shodan.io werden unter dem Begriff ATM[1] alle bekannten Geldausgabegeräte mit offenliegenden Systemschnittstellen gelistet.

Die Angriffsmöglichkeiten sind vielfältig:

  • Per ARP-Spoofing wird vorgegaukelt, selbst das Bank-Bearbeitungszentrum zu sein und Geldausgaben angewiesen.
  • Als MITM[2] kann man bei fehlender TLS-Verschlüsselung Transaktionen abfangen, eine Wartungsmeldung auf dem Display lancieren, die Transaktion abschließen und das Geld kassieren, wenn der Kunde gegangen ist.
  • Mit Blackboxing wird ein im Darknet erworbenes RaspberryPi-Gerät genutzt, das über USB mit dem System verbunden wird. Die hierauf verwendete Software kontrolliert die Geldkassette des Automaten. Auszahlungsanweisungen können bequem über das Handy übermittelt werden. Das Gleiche funktioniert mit per USB eingeschleuster Malware, die ebenfalls über das Darknet erworben wird.

Für diese als Jackpotting bezeichneten Varianten des Bankbetrugs muss man kein IT-Fachmann sein. Dabei zeigt sich wieder einmal deutlich, dass auch hier das Thema IT-Sicherheit nicht ernst genug genommen wird. Letztlich zahlen die Zeche so oder so wir Verbraucher. Es wird Zeit, den Banken hierbei etwas genauer auf die Finger zuschauen.

[1] Automated Teller Machine
[2] Man-In-The-Middle

Hessen-Suche