Cybercriminelen hebben nieuwe techniek om geldautomaten binnen 20 minuten leeg te roven
Plofkraken en ramkraken van geldautomaten zijn oldschool criminaliteit. Slimme cybercriminelen kunnen in minder dan 20 minuten – in sommige gevallen slechts 10 minuten – een geldautomaat hacken en opdracht geven om alle bankbiljetten uit te spuwen.
Het IT-beveiligingsbedrijf Positive Technologies heeft 26 geldautomaten van gangbare fabrikanten onderzocht en talrijke zwakke punten gevonden. Die worden beschreven in een paper.
69 procent van de geldautomaten is volgens Positive Technologies gevoelig voor de zogenoemde black box-aanvallen. Cybercriminelen kunnen zich binnen enkele minuten toegang verschaffen tot de techniek waarmee geldautomaten bankbiljetten afgeven aan klanten. En daarvoor is geen bankpas of pincode meer nodig.
De nieuwe moderne bankroofmethode duikt inmiddels over de hele wereld op. In januari 2018 hebben de Amerikaanse geheime dienst en de belangrijkste ATM-fabrikanten Diebold Nixdorf, GRGBanking en NCR dringend gewaarschuwd voor de dreiging van aanvallen op ATM’s.
Volgens NCR-rapporten vonden in 2017 in Mexico de eerste black box-aanvallen plaats.
In 2018 verspreidde deze golf zich naar de VS.
De eerste meldingen van ATM-malware-aanvallen dateren echter al van 2009, toen Skimer, een Trojaans paard dat geld en bankkaartgegevens kan stelen, werd ontdekt. Sindsdien zijn logische aanvallen steeds populairder geworden bij cybercriminelen.
Ernstige veiligheidslacunes in geldautomaten
Experts van Positive Technologies hebben nu ontdekt dat de meeste apparaten (85 procent van de apparaten) onvoldoende beschermd zijn tegen netwerkaanvallen zoals spoofing van datacenters.
Als gevolg daarvan zouden criminelen het transactiebevestigingsproces kunnen verstoren en een antwoord van het datacentrum kunnen vervalsen om een verzoek tot opname goed te keuren of het aantal uit te geven bankbiljetten te verhogen.
Het rapport beschrijft ook scenario’s met aanvallen op GSM-modems die op de apparaten zijn aangesloten.
Een aanvaller kan gemakkelijk toegang krijgen tot een GSM-modem en zo andere geldautomaten in hetzelfde netwerk en zelfs in het interne netwerk van de bank aanvallen.
Een fout in de implementatie van hardeschijfversleuteling maakt 92 procent van de geldautomaten kwetsbaar voor een aantal aanvalsscenario’s.
Een aanvaller kan rechtstreeks verbinding maken met een ATM-harde schijf en, als de inhoud niet versleuteld is, deze infecteren met malware en beveiligingsmechanismen uitschakelen.
Dit stelt de aanvaller in staat om de ATM te bedienen.
Dat deze inhoud niet versleuteld is, is moeilijk te geloven gezien de privacygevoeligheid van dergelijke gegevens, maar in veel bankomgevingen is het niet ongebruikelijk.
Als de beperkingen voor normale gebruikers worden omzeild, kan een aanvaller commando’s in het ATM-besturingssysteem invoeren. De deskundigen van Positive Technologies schatten de tijd die nodig is voor een hack op 15 minuten en nog minder voor goed voorbereide aanvallers die gebruik maken van automatisering.
Verouderde technologie maakt het de aanvallers onnodig gemakkelijk
Volgens een analyse van uit 2016 van IT-beveiligingsspecialist Kaspersky draaide op dat moment nog minstens 90 procent van alle geldautomaten onder Windows XP.
Deskundigen gaan er vanuit dat er nog steeds een relatief groot aantal apparaten te vinden is dat gebruik maakt van het inmiddels 17 jaar oude besturingssysteem dat niet meer ondersteund wordt door Microsoft.
Volgens de onderzoekers gaan 88 procent van de banken bijzonder slordig om met de beveiliging van geldautomaten.