image

Mannen bekennen legen van geldautomaten via malware

woensdag 20 juni 2018, 17:07 door Redactie, 11 reacties

In de Verenigde Staten hebben twee mannen bekend dat ze betrokken zijn geweest bij het legen van geldautomaten via malware. Eind januari waarschuwden geldautomatenfabrikanten Diebold Nixdorf en NCR.dat er voor het eerst malware in de VS was gebruikt om geld uit geldautomaten te stelen.

Criminelen hadden zich als onderhoudspersoneel voorgedaan en de geldautomaten met malware besmet. Vervolgens konden andere personen via de malware de inhoud van de geldcassettes in automaat legen. Op 27 januari zagen onderzoekers van een bank dat er een jackpotting-aanval op een geldautomaat gaande was en waarschuwden de politie. De politie arriveerde en trof de twee mannen aan in de buurt van een geldautomaat die bezig was met het uitgeven van 20 dollar biljetten. Achteraf bleek dat de geldautomaat met malware was besmet.

In de auto van de twee mannen werden gereedschap en elektronische apparaten ontdekt waarmee geldautomaten kunnen worden gecompromitteerd. De mannen bleken 5.600 dollar in cash bij zich te hebben. Op dezelfde dag was er echter 63.000 dollar uit de geldautomaat ontvreemd. Verder onderzoek wees uit dat de verdachten een aantal dagen eerder bij een andere geldautomaat bijna 64.000 dollar hadden gestolen. Volgens de Amerikaanse Secret Service hebben criminelen middels geldautomaten-malware meer dan 1 miljoen dollar gestolen. De twee mannen kunnen tot een gevangenisstraf van maximaal 30 jaar worden veroordeeld.

Reacties (11)
20-06-2018, 17:21 door karma4
"Voorgedaan als onderhoudspersoneel" daar gast op dat moment iets fout. Geen controle op identiteit en correctheid van de actie.
20-06-2018, 20:00 door Anoniem
Door karma4: "Voorgedaan als onderhoudspersoneel" daar gast op dat moment iets fout. Geen controle op identiteit en correctheid van de actie.
Een geldautomaat die ergens in een winkelstraat staat, en niet in een bankfiliaal, daar is niemand om die controle te doen. Die mannen zagen eruit als onderhoudsmonteurs en wat ze deden zag eruit als onderhoud.

Wat me hier problematischer lijkt is dat het kennelijk mogelijk is om de aansluitingen te bereiken waarmee software te installeren is zonder dat daarbij een alarm afgaat, en ook dat die automaten software accepteren die niet digitaal ondertekend is door een bevoegde partij. Dat zijn geen onopgeloste problemen, een check of de firmware wel geldig is wordt uitgevoerd door apparaten die heel wat minder kosten dan zo'n geldautomaat.
20-06-2018, 20:45 door karma4
Door Anoniem: ..
Een geldautomaat die ergens in een winkelstraat staat, en niet in een bankfiliaal, daar is niemand om die controle te doen. Die mannen zagen eruit als onderhoudsmonteurs en wat ze deden zag eruit als onderhoud.

Wat me hier problematischer lijkt is dat het kennelijk mogelijk is om de aansluitingen te bereiken waarmee software te installeren is zonder dat daarbij een alarm afgaat, en ook dat die automaten software accepteren die niet digitaal ondertekend is door een bevoegde partij. ..
Zijn we het aardig eens over de fysieke toegang.
De apparatuur is van een paar grote leveranciers (zie artikel) die na wat kleine modificaties niet meer bij de transacties betrokken zijn. Ze zijn er toch bijgehaald.
20-06-2018, 21:35 door Anoniem
Door karma4: "Voorgedaan als onderhoudspersoneel" daar gast op dat moment iets fout. Geen controle op identiteit en correctheid van de actie.
Daar heb je niets aan. "Okee ik heb je legitimasie gezien en de machine zegt dat de update correct is uitgevoerd. Nou dan zal het wel goed zijn."

Je vraagt dus om de verkeerde dingen.
20-06-2018, 22:13 door Anoniem
Door karma4: "Voorgedaan als onderhoudspersoneel" daar gast op dat moment iets fout. Geen controle op identiteit en correctheid van de actie.
De methode van voorgewend onderhoudspersoneel ken ik uit de beveiligingswereld al zeker 20 jaar. In het bedrijf waar ik werkte kon het personeel door middel van een geplastificeerde kaart precies zijn welke bedrijven en welke onderhoudsmonteurs precies toegang hadden (en dus welke niet). Daarom moet altijd nagegaan worden of de namen/bedrijven op de lijst voorkomen om het onderhoud te plegen. Verder moet ook de leidinggevende - die over het onderhoud gaat - altijd telefonisch wordt geraadpleegd om te zien of er voor die betreffende dag een onderhoud gepland staat. Zo voorkomt men vervelende verrassingen.
20-06-2018, 22:15 door Anoniem
Ik weet niet of her nog steeds zo is, maar die dingen draaien gewoon op Windows XP.
21-06-2018, 10:22 door Bladie
Door Anoniem: Ik weet niet of her nog steeds zo is, maar die dingen draaien gewoon op Windows XP.
Gelet op een "blue screen" vorig jaar bij een geldautomaat in Italië klopt dat.
21-06-2018, 10:40 door Anoniem
Een geldautomaat in een Winkelstraat.

Als mensen eruit zien als onderhoudspersoneel zal NIEMAND vragen om identificatie .
21-06-2018, 11:05 door Anoniem
Door Anoniem: Ik weet niet of her nog steeds zo is, maar die dingen draaien gewoon op Windows XP.

Dat is bij de losse pin automaten die bij de Vomar staan ook het geval. En ik kom het ook met regelmaat tegen bij de betaal automaten van diverse parkeergarages.
21-06-2018, 13:12 door karma4
Door Anoniem:
Daar heb je niets aan. "Okee ik heb je legitimasie gezien en de machine zegt dat de update correct is uitgevoerd. Nou dan zal het wel goed zijn."

Je vraagt dus om de verkeerde dingen.
Het eerste om goed te doen voor cybersecurity is de fysieke security. Het is niet voor niets dat met alle fysieke aanvallen de plofkraken met de audis de atm's van straat gehaald worden.
Waar de fysieke beveiliging beter op orde lijkt komen de atm's massaal in het straatbeeld. Nee dat is Nederland.
25-06-2018, 10:07 door Anoniem
Door karma4: "Voorgedaan als onderhoudspersoneel" daar gast op dat moment iets fout. Geen controle op identiteit en correctheid van de actie.

Ik heb dat jaren terug al eens meegemaakt in Nederland. Pinpas was ingeslikt in een automaat in een winkel en het personeel van de winkel lieten mij meelopen tot in de ruimte achter de automaat. Ik heb me er toen erg over verbaasd hoe onnadekend dat eigenlijk is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.