image

Malware laat geldautomaat op commando pinpas inslikken

zaterdag 12 september 2015, 06:31 door Redactie, 6 reacties

Malware voor geldautomaten bestaat al jaren, maar onderzoekers hebben nu een variant ontdekt die in staat is om de geldautomaat op commando pinpassen in te laten slikken, zodat criminelen die vervolgens kunnen ophalen. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye.

De malware wordt "Suceful" genoemd en is waarschijnlijk eind augustus ontwikkeld. De naam is afkomstig van een typefout die de auteurs maakten, zo stelt analist Daniel Regalado. Volgens Regalado is de malware mogelijk nog in de ontwikkelfase, maar beschikt het over "schokkende" features die niet eerder in geldautomaten-malware zijn waargenomen.

Zo kan de malware alle informatie van de magneetstrip uitlezen, gegevens van de chip van de pinpas lezen, op commando de pinpas inslikken en de sensoren in de geldautomaten uitschakelen, om zo detectie te voorkomen. Om met de geldautomaat te communiceren gebruikt de malware een aantal Application Programming Interfaces (APIs) genaamd XFS, wat staat voor "extensions for financial services". Via deze APIs kan de apparatuur in de automaat met elkaar communiceren. Ook de Ploutus-malware voor geldautomaten maakte van XFS gebruik.

Het voordeel van XFS is dat het onafhankelijk van de leverancier werkt. Suceful kan dan ook geldautomaten van meerdere leveranciers infecteren. Hoe de infectie precies in z'n werk gaat is onbekend. In het verleden bleek dat criminelen vaak fysiek toegang tot de geldautomaat hadden en de malware via cd-rom of USB-stick installeerden.

Reacties (6)
12-09-2015, 10:43 door Anoniem
Criminelen die toegang hebben om malware te installeren en om opgevangen pinpassen uit de geldautomaat te verwijderen,
dat zijn gewoon medewerkers van de bank dan wel van het bedrijf dat de bank weer inhuurt om de geldautomaten te vullen.

Tuurlijk, "we weten allemaal" dat de mensen bij de bank criminelen zijn. Maar dit is toch wel een beetje van het caliber
"personeel van de bouwmarkt kan zo je huis binnenlopen, ze houden gewoon een copietje achter van de sleutel van het
slot wat ze je verkopen".
12-09-2015, 11:54 door Anoniem
Ik snap sowieso het nut niet van passen inslikken. Waarom gebeurt dat toch wereldwijd?
Het is mij een keer overkomen in het buitenland. Waarom weet ik nog steeds niet; saldo was toereikend, geen misbruik, niks.
Als er iets mis is, kan de pas toch gewoon softwarematig geblokkeerd worden en een melding op het scherm verschijnen met eventueel de reden van blokkering i.p.v. de pas in te slikken?!
Ik heb de ingeslikte pas nooit teruggekregen. Volgens die bank werd het mogelijk veroorzaakt door een storing.Schijnt in Suriname wel vaker voor te komen.
Gelukkig neem ik altijd drie passen mee, waaronder een creditcard en daarnaast wat contant geld, dus het was verder geen probleem.
12-09-2015, 13:26 door karma4
Door Anoniem: Ik snap sowieso het nut niet van passen inslikken. ...
Met gastgebruik ben je niet verbonden met je bank. Dat wordt achteraf verrekend. Je saldo is ombekend en softwarematig blokkeren gaat dan ook niet. Het enige wat rest bij verdacht gebruik..... inslikken.


Voor het artikel kijk eens naar: http://www.cen.eu/work/areas/ICT/eBusiness/Pages/CWA16374.aspx Het beschrijft het geheel van de interface met het doel om leveranciersonafhankelijk te zijn. Prima, dat lijkt gelukt te zijn.
Dus als je verbinding gekregen hebt met zo'-n e-cash machine en je bent binnen en je roept dan de print-functie aan, dan gaat hij printen. Dat kunnen printen of andere functies uitvoeren van de XFS lijkt me een non-issue. Het is er voor bedoeld en dat werkt dan ook. De security specialist .. als je root hebt is dat een problem wat je kan root krijgen. (kolder)

Betere vraag: Hoe krijg je verbinding met zo'-n e-cash machine en je kom je daar binnen.
Als het goed gedaan is hangen die dingen niet publiekelijk open en bloot ergens aan, dan moet je via de bank / onderhouder binnen komen. (cabarnak)
12-09-2015, 15:14 door Anoniem
De malware wordt "Suceful" genoemd en is waarschijnlijk eind augustus ontwikkeld. De naam is afkomstig van een typefout die de auteurs maakten, zo stelt analist Daniel Regalado.

Dus deze analist gaat er van uit dat er een typfout is gemaakt omdat het geen duidelijk woord is. Wie zegt dat de letters niet een afkorting ergens voor zijn?? Misschien is deze naam opzettelijk gekozen en heeft een hele andere betekenis?? Dat is meer aannemelijk dan een spelfout.
12-09-2015, 17:23 door Anoniem
Door Anoniem: Criminelen die toegang hebben om malware te installeren en om opgevangen pinpassen uit de geldautomaat te verwijderen,
dat zijn gewoon medewerkers van de bank dan wel van het bedrijf dat de bank weer inhuurt om de geldautomaten te vullen.

Ik zou u toch willen verzoeken niet iedereen op één hoop te gooien. Bovendien bent u niet als rechter aangesteld.
12-09-2015, 22:59 door Anoniem
Door Anoniem:
Door Anoniem: Criminelen die toegang hebben om malware te installeren en om opgevangen pinpassen uit de geldautomaat te verwijderen,
dat zijn gewoon medewerkers van de bank dan wel van het bedrijf dat de bank weer inhuurt om de geldautomaten te vullen.

En jij bent dan medeplichtig aan deze criminele activiteiten, omdat je deze bankmedewerkers indirect financiert? ;)

Iedereen over een kam scheren is risicovol.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.