Kwetsbaarheid in geldautomaten maakt fraude met opnames en stortingen mogelijk
Onderzoekers hebben in geldautomaten van verschillende fabrikanten kwetsbaarheden ontdekt waardoor een aanvaller met fysieke toegang tot de machine had kunnen frauderen met stortingen en opnames. De beveiligingslekken werden aangetroffen in de ProCash 2100xe USB ATM van Diebold Nixdorf en de SelfServ ATM van NCR.
In de automaten van NCR gaat het om drie kwetsbaarheden waardoor een aanvaller de automaat onder andere kan laten geloven dat er geld is gestort, terwijl dat niet het geval is. Het gaat om automaten waarbij gebruikers geldbiljetten kunnen invoeren, waarna het bedrag op hun rekening wordt gestort. In het geval van de NCR-automaten werden berichten tussen de "Bunch Note Acceptor" (BNA), waar de geldbiljetten worden ingevoerd, en de computer niet versleuteld, geauthenticeerd of geverifieerd.
Een aanvaller met fysieke toegang zou de berichten tussen de BNA en de computer kunnen onderscheppen en aanpassen, zoals het gestorte bedrag. Het aangepaste bedrag zou vervolgens naar de computer worden doorgestuurd. Op deze manier zou een aanvaller de computer kunnen laten denken dat er een veel groter bedrag was gestort dan in werkelijkheid het geval was. Vervolgens zou de aanvaller het opgegeven bedrag bij de geldautomaat van een andere bank moeten opnemen. Deze kwetsbaarheid was ook aanwezig in de geldautomaten van Diebold Nixdorf.
Verder bleek dat de encryptiesleutels die NCR voor het signeren van software-updates gebruikte eenvoudig waren te kraken, waardoor een aanvaller zijn eigen kwaadaardige software zou kunnen signeren. Op deze manier was het mogelijk om de BNA-software te updaten of applicatiewhitelisting te omzeilen. Uiteindelijk zou de aanvaller zo willekeurige code op de computer van de geldautomaat kunnen uitvoeren.
Een ander probleem met de controle van software-updates deed zich voor bij het herstarten van de NCR-geldautomaten. Het updateproces zocht dan naar CAB-bestanden op een usb-stick en voerde vervolgens een bepaald bestand uit zonder eerst de digitale handtekening te controleren. Op deze manier had een aanvaller zijn code met systeemrechten op de machine kunnen uitvoeren.
Twee andere kwetsbaarheden in de geldautomaten van NCR zorgden ervoor dat een aanvaller met fysieke toegang de communicatie tussen de computer en het uitgiftekanaal kon manipuleren. Zo had een aanvaller opdrachten aan de computer kunnen geven om geld uit te geven. Op deze manier had een aanvaller de geldcassettes van de automaat kunnen legen. Zowel Diebold Nixdorf als NCR hebben beveiligingsupdates voor de kwetsbaarheid uitgebracht.
Onlangs waarschuwde Diebold Nixdorf nog voor aanvallen gericht tegen geldautomaten in Europa waarbij criminelen via jackpotting-aanvallen de inhoud van geldcassettes wisten te legen.
Je moet er als kraker natuurlijk wel snel bij zijn en je buit cashen bij andere automaten. Ik kan me voorstellen dat banken het snel doorhebben als iemand ineens 100.000 euro probeert te storten :-)
(is weer zo'n nutteloze melding ala "een kraker met de sleutel van de kluis zou misschien de kluis open kunnen maken")
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
Maar dan wel gedoseerd, want de electronica moet het blijven doen. Dus dan blijft de hele gevel opblazen toch gemakkelijker.
Je moet er als kraker natuurlijk wel snel bij zijn en je buit cashen bij andere automaten. Ik kan me voorstellen dat banken het snel doorhebben als iemand ineens 100.000 euro probeert te storten :-)
Ik vind de eerste kwetsbaarheid juist het minst spannend. Als je fysieke toegang hebt, kan je het geld ook uit de BNA wegnemen. Dan ben je afhankelijk van de hoeveelheid geld in de automaat, maar je laat minder sporen achter. En met fysieke toegang kan je zoveel meer doen. Wat dacht je van de hele BNA vervangen? Of bepaalde onderdelen in de BNA? Uiteindelijk kan je met fysieke toegang ook de hele geldautomaat vervangen.
Zoals je zelf al opmerkt, bij de bedragen die jij noemt zullen automatisch de alarmbellen op het fraude dashboard afgaan.
Interessanter (gevaarlijker) zijn de kwetsbaarheden waarmee je malware op de machines kan krijgen.
Het is mogelijk om wanneer je fysieke toegang hebt de geldcassettes mee te nemen. Die zijn niet makkelijk open te maken en, volgens persberichten, voorzien van kraakbeveiliging die het geld in de cassette bij gewelddadig openen onbruikbaar maakt.
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
Verder: nooit een losse geldautomaat in winkels zien staan? Dan zou ik maar wat vaker de stad/het dorp in gaan, je vind die dingen overal.
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
Het valt zo 'mee' dat de geldautomaten massaal weggehaald worden omdat de plof/ramkraken een risico voor de buurt vormen.
Verder: nooit een losse geldautomaat in winkels zien staan? Dan zou ik maar wat vaker de stad/het dorp in gaan, je vind die dingen overal.
Je ziet ze hier 'ook wel' . In een hoop landen zijn dergelijke 'losse' automaten in winkeltjes de norm - en dan, zo op het oog, minder dichte kasten dan de losse ING automaten die je hier dan nog wel ziet.
(van andere banken/instellingen heb ik in NL eigenlijk nooit een losstaande automaat gezien ).
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
De criminaliteit van het fysiek toegang krijgen tot een geldautomaat en er dan allerlei hacks op uitvoeren wellicht wel.
Maar de criminaliteit van het opblazen van geldautomaten om het geld er uit te jatten daarvan is Nederland juist een centrum, men rijdt van hieruit zelfs naar buurlanden toe om daar de automaten op te blazen. Meestal in snelle gestolen auto's. Gelukkig wil men zich nog wel eens te pletter rijden op die overmoedige rit. Als de politie er achter komt weten ze meestal te vluchten want die zet hier geen radicale middelen in om dat soort auto's te stoppen.
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
Verder: nooit een losse geldautomaat in winkels zien staan? Dan zou ik maar wat vaker de stad/het dorp in gaan, je vind die dingen overal.
Waarom eigenlijk? Geld opnemen in de winkel (met de bankpas) en dan bij de kassa met dat geld contant betalen.....
Ga dan gewoon pinnen als je toch een pas bij je hebt.
In het kader van "kijk maar er zit geen geld in" staan hier bij de lokale supermarkt de automaten gewoon open.
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
Verder: nooit een losse geldautomaat in winkels zien staan? Dan zou ik maar wat vaker de stad/het dorp in gaan, je vind die dingen overal.
Waarom eigenlijk? Geld opnemen in de winkel (met de bankpas) en dan bij de kassa met dat geld contant betalen.....
Ga dan gewoon pinnen als je toch een pas bij je hebt.
Het is niet gezegd dat je precies in de winkel met de automaat met geld betaalt dat je net opgenomen hebt.
Deels gewoon een klantenservice - mensen moeten ergens hun contante geld halen dat ze soms willen hebben.
zo'n losse automaat moet ook weer niet op straat staan (afgezien van criminelen - waterdicht, stroomaansluiting) etc.
Ik weet niet of de winkelier moet betalen dan wel betaald wordt voor het huisvesten van een ATM. Ik gok dat de winkelier betaald wordt.
In elk geval zijn er een stuk meer winkeltjes dan bankkantoren, dus een bank die een redelijke automaat-dichtheid wil hebben kan dat op die manier bereiken.
In het kader van "kijk maar er zit geen geld in" staan hier bij de lokale supermarkt de automaten gewoon open.
Een openstaande geldautomaat, thats a first for me. Mag ik vragen waar deze staat?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
