image

Europol rolt bende op die geldautomaten via malware leegde

donderdag 7 januari 2016, 11:46 door Redactie, 5 reacties

Europol heeft samen met de Roemeense autoriteiten een bende opgerold die in heel Europa geldautomaten via malware leegde. Het is de eerste keer dat in Europa een dergelijke groep criminelen wordt aangepakt die zich met deze vorm van criminaliteit bezighield.

De bende gebruikte de Tyupkin-malware om geldautomaten te infecteren. Vervolgens konden de criminelen via een toetsencombinatie de geldcassettes van de geldautomaten legen. Volgens Europol zorgde de bende op deze manier voor grote schade bij banken. Het Europese Cybercrime Centre (EC3) van Europol in Den Haag was betrokken bij het identificeren van de verdachten. In totaal zijn er acht mensen aangehouden. "De laatste jaren is er een toename geweest van malware-aanvalllen op geldautomaten", aldus Wil van Gemert van Europol. Om de dreiging van geldautomaten-malware tegen te gaan heeft Europol richtlijnen opgesteld.

Reacties (5)
07-01-2016, 15:04 door wallum
Ik vraag me dan altijd af hoe ze de malware op die geldautomaten krijgen, ik heb er nooit een USB-ingang oid op gezien...
07-01-2016, 15:29 door Anoniem
Door wallum: Ik vraag me dan altijd af hoe ze de malware op die geldautomaten krijgen, ik heb er nooit een USB-ingang oid op gezien...

Die is voor het gewone publiek natuurlijk niet zichtbaar en niet toegankelijk. Het blijven computers en computers kunnen gehackt worden, fysiek dan wel remote.
Bij ons buiten het centrum staat een geldautomaat die vaak buiten gebruik is. Die staat op een onbeheerde plek, waar criminelen gemakkelijk kunnen toeslaan. Uit voorzorg haal ik daar nooit mijn geld vandaan. Geld trekken doe ik nagenoeg alleen bij automaten in een bankkantoor of op een "beheerde" plek. Natuurlijk kunnen die ook gekraakt worden, maar daar voel ik me wel een stuk veiliger bij.
07-01-2016, 16:13 door Anoniem
Geldautomaten zitten van oudsher vaak een ISDN of PSTN lijnen om de transacties overheen te communiceren.

Deze lijnen hebben een telefoonnummer, als je die belt neemt de automaat op.
Dat is in een aantal gevallen genoeg gebleken om de machines te infecteren met malware.

Telefoonnummers zijn niet heel lastig te vinden, veel bedrijven hebben een nummerblok, zoek het hoofdnummer op en ga daar wat cijfers omheen zitten en je vind allerlei apparatuur die de lijn opnemen.

Ook hebben de losstaande machines vaak een 'management' luik waar je niet de kluis inkomt maar alleen bij de pc kan.
Deze zijn meestal een stuk minder zwaar beveiligd, met alleen een simpel kastslotje ipv een kluisslot.

Andere opties zijn nog:
- Inbreken op een management netwerk (bijv door bij automaat 1 de deur te forceren en vanaf daar automaat 2-1000 te bereiken).
- Infectie bij de fabrikant van de geldautomaten (backdoor in de uitgeleverde software)
- Monteur omkopen.
- Etc

Genoeg manieren om malware op een automaat te krijgen hoor.
07-01-2016, 23:40 door Anoniem
Doorgaans is het via geldkoeriers, want die komen bij de achterkant van een automaat.
En via de 'fabriek' waar de automaat gebouwd wordt.
Er zijn al hele beheerdershandleidingen van geldautomaten gevonden bij criminelen, die feitenlijk helemaal niet buiten het bankwezen mochten circuleren.
08-01-2016, 07:45 door karma4
Door Anoniem: Genoeg manieren om malware op een automaat te krijgen hoor.
Ik mis nog de 300 baud modems de sleutel onder de mat etc. Geloof je dat echt allemaal?
De voor de hand liggende zaken zijn er allemaal wel uitgehaald. Waarom zouden ze anders voor plofkraken gaan
http://www.meerradio.nl/article/rabobank-rijsenhout-na-plofkraak-ingestort Benieuwd welke firewall zoiets tegenhoudt.

ATM's hebben een standaard protocol voor randapparatuur. https://en.wikipedia.org/wiki/Automated_teller_machine (SSL dial up vanuit atm) XFS. Een presentatie hoe ATM randapparatuur zicht gedraagt is niet veel anders dan een tetris spelletje. Zie de SSL / VPN voor netwerksecurity hoe de bank dat kan en zelf moet inregelen.
Updates van het OS op die machines doe je niet. Changes zijn een risico, die sluit je meteen uit. ATM's zijn wat het zijn, geen gameconsoles.

Interessant is hoe ze het voor elkaar krijgen. Carbarnak is goed nat te gaan. http://www.kaspersky.com/about/news/virus/2015/Carbanak-cybergang-steals-1-bn-USD-from-100-financial-institutions-worldwide .
Stap 1: infiltreer gebruik de desktop tablet phone of wat dan ook als ingang. --- Spearpishing ---
Stap 2: verken de interne omgeving en ga op zoek naar de ATM beheerder
Stap 3: Steek over via de ATM beheerder naar de ATM's
Stap2 / Stap 3 kun voor elk ander kritisch system doen.

De vragen die je moet stellen is:
- waarom kun je bij die de beheerder komen.
- waarom kun je via die beheerder bij kritische systemen komen.
Hier wreekt zich een gebrek aan scheiding in functies van kritisch werk en dagelijkse administratie.
Het gangbare probleem:
- De beheerder mag maar 1 account voor al zijn werk hebben?
- ISO27002 Beheerders horen duidelijk gescheiden aparte accounts te hebben (met monitoring).

Bij de bitcoinhacks en vele anderen zie je de zelfde zwakte gebruikt worden. Of het is onbegrip of gemakzucht of verkeerde zuinigheid of en combinatie van die factoren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.