Diebold Nixdorf waarschuwt voor jackpotting-aanvallen op geldautomaten in Europa
Fabrikant van geldautomaten Diebold Nixdorf heeft een waarschuwing afgegeven voor jackpotting-aanvallen waarbij criminelen de inhoud van de geldcassettes weten te legen. De aanvallen vinden volgens een afgelopen woensdag verstuurde "active security alert" in verschillende Europese landen plaats (pdf). De aanvallers maken gebruik van een blackbox, een extern apparaat dat op de geldautomaat wordt aangesloten.
Uit voorlopig onderzoek naar de aanvallen lijkt het erop dat dit apparaat een gedeelte van de software bevat die ook op de aangevallen geldautomaat draait. Hoe de aanvallers de software van de geldautomaat op de blackbox hebben gekregen is nog onduidelijk. Volgens Diebold Nixdorf gaat het om een nieuwe modus operandi hoe de aanvallen worden uitgevoerd.
Bij de recente aanvallen proberen de aanvallers fysieke toegang tot de geldautomaat te krijgen. Vervolgens wordt de usb-kabel tussen het uitgiftekanaal en de elektronica van de geldautomaat losgekoppeld en op de blackbox aangesloten. Daarna geeft de aanvaller een opdracht om geld uit te geven. Het grootste deel van de vastgestelde aanvallen was gericht tegen ProCash 2050xe USB geldautomaten (pdf).
Om de aanvallen te voorkomen doet Diebold Nixdorf verschillende aanbevelingen, zoals het gebruik van harde schijfversleuteling, het kiezen van de meest veilige configuratie en het beperken van fysieke toegang tot de geldautomaat.
Een bron laat tegenover ZDNet weten dat de waarschuwing volgt na een aanval in België. De Belgische bank Argenta besloot in juni 143 geldautomaten tijdelijk uit te schakelen nadat criminelen hadden geprobeerd om op digitale wijze in te breken. Vorige week meldde VRT NWS dat geldautomaten van Argenta opnieuw het doelwit waren. Daarop besloot de bank de 143 automaten van dit type definitief buiten werking te stellen tot er nieuwe toestellen geplaatst worden, wat later dit jaar staat gepland.
Lekker advies ook harddisk encrypten, als ze op een running systeem de usb kabel pakken. Het beperken van fysieke toegang??? Dus mensen niet laten pinnen?? Debiel Nixdorf.
https://en.wikipedia.org/wiki/Security_through_obscurity
Lekker advies ook harddisk encrypten, als ze op een running systeem de usb kabel pakken. Het beperken van fysieke toegang??? Dus mensen niet laten pinnen?? Debiel Nixdorf.
https://en.wikipedia.org/wiki/Security_through_obscurity
Ah, weer een forum poster die schiet vanaf de heup.
Het is zo helemaal niet zo dom als je denkt .
Mbt tot de disk encryptie , uit de flyer die gelinkt was in het artikel - maar jij niet nodig vond om te lezen voor je reactie .
"Some incidents indicatet hat the black box contains individual parts of the software stack of the attacked ATM.The investigation into how these parts were obtained by the fraudster is ongoing. One possibility could be via an offline attack against an unencrypted hard disc."
Als de blackbox dus inderdaad wat gegevens van de ATM PC nodig heeft (credentials ?) is het verder hardenen van de ATM PC een zinvolle countermeasure. Duidelijk work in progress, maar op deze aanname een zinvol advies.
Mbt tot het beperken van fysieke toegang - De aanval vereist blijkbaar het deels ontmantelen van het front van de ATM.
Een advies is dus om de mogelijkheid om daar bij te kunnen te beperken, vaker de ATM te inspecteren etc etc.
.3)Limit Physical Access to the ATM
Use appropriate locking mechanisms to secure the head compartment of the ATM.
Control access to areas used bypersonnel to service the ATM.
Implement access control for service technicians based on two-factor authentication
Terminal operators should conduct frequent visual inspections of the terminal.
Helemaal geen dom advies - en zegt ook niet dat mensen niet moeten kunnen pinnen - als er een probleem is waarbij aanvallers fysieke toegang tot de binnenkant van de machine nodig hebben voor een succesvolle aanvol.
Waar slaat je geneuzel over security through obscurity nou op ?
En waarom begin je met beschuldigen over slechte of gelekte software, om op de volgende regel te lachen omdat er een black box op het geldmechanisme aangesloten wordt die volgens jou buiten de software om gaat ?
Heb je zelf wel door hoe dom dat staat ?
Ja mensen mogen hier best salty/toxic en impulsief op reageren van mijn part als hacker zijnde.
Men wil wellicht iets sneller belanden bij de zo zeer van bovenaf verlangde "cashless society". De anderhalve meter maatschappij en het thuiswerken helpt daarbij. Men wordt ook zo gevoeliger voor allerhande Mitnick methoden.
Ik bedoel hiermee voorzichtig het volgende te zeggen. Komt het bepaalde kringen niet allemaal goed uit, die belabberde end-user security en privacy inbreuken? Het doel heiligt immers de middelen. Ik ga tenminste steeds minder in toevallige gebeurtenissen geloven en dat deed ik toch al een hele lange tijd niet meer.
Dat zijn dingen die zeker zijn met al die data breaches de laatste tijd en al die ransomware kommer en kwel.
Men schept onderwijl orde uit de chaos en zo is het. Het gaat zeer gelijdelijk dat het niet al te zeer "in your face" gebeurt, maar toch. men stelt een bepaald extreem doel, daar wordt bij afwijzen aardig wat op ingehouden en uiteindelijk verkrijgt men de vooraf gewenste resultaten. Zo werkt het steeds. In flagellantenrace naar de toekomst.
Jodocus Oyevaer
Ja mensen mogen hier best salty/toxic en impulsief op reageren van mijn part als hacker zijnde.
Wie zegt dat hier geen OSS op draait?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
