So räumen Cybergangster Geldautomaten aus

Cyberkriminelle haben bereits mehrere Millionen Euro erbeutet, indem sie mittels einer Schadsoftware die Kontrolle über Geldautomaten übernehmen und diese anschließend ausräumen. Ein Video zeigt detailliert, wie sie das machen.

Nachdem die meisten Banken in den letzten Jahren mit Hochdruck daran gearbeitet haben, ihre Geldautomaten gegen die ausufernden Angriffe durch Skimming abzusichern, setzen die Betrüger jetzt auf eine neue, noch gefährlichere, Angriffsart. Statt die Hardware zu manipulieren um an die Kundendaten und das Geld zu kommen, greifen sie inzwischen immer häufiger direkt auf Softwareebene an. Wie aktuelle Untersuchungen des Kaspersky Lab zeigen, setzen sie dazu meist Schadsoftware wie etwa »Tyupkin« ein. Diese wird zunächst direkt auf das System der Automaten installiert. Anschließend tarnt sich die Software hinter einer Endlosschleife und wird nur zu bestimmten, vorab definierten Zeiten aktiv. Indem die Täter diesen Zeitpunkt meist auf die Wochenenden legen, ist es für die IT-Abteilungen der Banken noch schwieriger, die Manipulationen vorab zu identifizieren. In ddiesen vorgegebenen Zeitfenstern können sich die Angreifer mittels eines für jede Sitzung neu generierten Codes über das Tastenfeld direkt an dem Gerät anmelden, die Füllung der Geldfächer abfragen und diese leer räumen.

Wie Kaspersky im Rahmen seiner forensischen Untersuchungen festgestellt hat, ist diese Angriffsmethode inzwischen weltweit verbreitet und hat den Hintermännern bereits Gewinne in Höhe mehrerer Millionen Euro eingebracht. Deshalb warnt Interpol die betroffenen Mitgliedsstaaten und unterstützt deren Ermittlungen gegen die noch völlig unbekannten Täter. Da inzwischen mehrere Überwachungsvideos von den Raubzügen existieren, lässt sich relativ genau nachvollziehen, wie die Aktionen im Detail ablaufen. Dabei fällt unter anderem auf, dass das Geld meist von Kurieren abgeholt wird, die sich per Telefon erst den Zugriffscode von ihren Mittätern holen müssen. Insofern ist davon auszugehen, dass organisierte Banden mit festen Hierarchien hinter den Angriffen stecken.

»Die Bedrohungslage hat sich dahingehend verändert, dass Cyberkriminelle Banken nun direkt angreifen. Sie tun dies, indem sie entweder die Geldautomaten infizieren oder einen direkten Angriff im APT-Stil gegen die Banken starten.«, erklärt Vicente Diaz, Principal Security Researcher bei Kaspersky Lab. Der Tyupkin-Schädling sei dabei nur ein Beispiel der aktuellen Angriffstechniken. »Wir raten Banken dringend, die physische Sicherheit ihrer Geldautomaten sowie die Netzwerk-Infrastruktur zu überprüfen und in hochqualitative Sicherheitslösungen zu investieren.«, empfiehlt Diaz den Geldhäusern deshalb aktiv zu werden, bevor die Angreifer weitere Millionen erbeuten können.

Kaspersky Lab hat an einem echten Geldautomaten nachgestellt, wie die Angriffe funktionieren:

Lesen Sie mehr zum Thema