Bankbetrug

Geldautomaten mit Malware ausrauben

Betrüger stellen Banken vor neue Sicherheitsherausforderungen: mit Malware infizierte Geldautomaten spucken auf Kommando Bargeld aus. Die Angriffe durch Malware ersetzen zunehmend klassischen Geldautomatenbetrug (Skimming), da so ein fast gefahrloser Bankraub möglich wird.

In den letzten Monaten konnten weltweit zahlreiche Großangriffe auf Geldautomaten beobachtet werden, beispielsweise in Thailand, Indien, Lateinamerika, verschiedenen europäischen Ländern und anderen Ländern der Welt. Bei diesen Vorfällen konnten die Täter Millionen von Dollar von vielen Geldinstituten erbeuten.

Überfälle auf Banken lassen sich in zwei Hauptkategorien unterteilen: Einerseits sind Kunden die Opfer, andererseits die Geldinstitute. Die erstgenannte und ältere Form sind Übergriffe auf Bankkunden und Online-Banking-Systeme. Zu den von den Tätern verwendeten Methoden zählen:

•Hijacking des Anmeldebildschirms beim Online-Banking

•Vermeiden oder Umgehen der Sicherheitsfunktionen wie virtuelle Tastaturen oder Zwei-Faktor-Authentifizierung

•Installieren einer angepassten Spyware per Remote-Zugriff auf dem infizierten Computer (eine sehr populäre Methode in Südamerika und Asien)

In diesem Artikel geht es um die zweite Kategorie: gezielte Angriffe auf Bankinstitute und deren interne Systeme, Computer und interne Netzwerke der Bankangestellten, wodurch Angreifer auf andere Bereiche der gesamten Infrastruktur zugreifen können, z. B. auf Zahlungsterminals (POS), Geldautomaten oder internationale Banküberweisungen und auf wichtige Protokolle.

Angreifer verwenden häufig APTs (Advanced Persistent Threats, gezielte Angriffe auf Institutionen), Social Engineering oder Spear-Phishing bei internen und externen Bankmitarbeitern, um Zugriff auf interne Systeme zu erhalten. In einigen Fällen können die Angreifer nur das interne Netzwerk des Geldautomaten attackieren und irgendwann einen Geldautomaten physisch angreifen und die Infektion auf alle anderen Rechner desselben Netzwerks ausdehnen. Einer der neuesten Angriffe dieser Art war eine Masseninfektion russischer Geldautomaten über das interne Netzwerk eines Geldinstituts. Laut den Informationen russischer Medien war der Angriff insbesondere deshalb interessant, da eine dateilose Malware verwendet wurde, die im Speicher des Rechners ausgeführt wird und immun gegen einen Betriebssystem-Neustart des infizierten Geldautomaten ist, das üblicherweise auf Windows basiert.

Anhand dieser Informationen ist davon auszugehen, dass die Malware gespeichert werden kann, beispielsweise im Master Boot Record (MBR) auf der Festplatte des Rechners, in der Firmware (BIOS/UEFI) oder als Poweliks-Malware (eine Malware, die sich üblicherweise in der Windows-Registry versteckt). Nach Eingabe eines bestimmten Codes gibt der infizierte Geldautomat das gesamte Geld über das erste Ausgabefach aus, bei dem die Banknoten mit dem höchsten Nennwert normalerweise gelagert sind. Diese Methode wird auch als „Jackpotting“ von Geldautomaten bezeichnet und wurde bereits mehrfach in der Vergangenheit verwendet. Infektionen von Geldautomaten nehmen zu und ersetzen allmählich das Skimming, bei dem die Angreifer ihre Vorrichtung an einem bestimmten Geldautomaten anbringen mussten, wodurch sie aber leicht entdeckt werden konnten.

Bankbetrug als Geschäft

Die berüchtigsten Gruppen von Bankbetrügern sind Metel, GCMAN, Carbanak, Buhtrp/Cobalt und Lazarus. Sie sind sehr geschickt und verfügen über Expertenwissen im Bereich Banktechnologie, Hacking und Programmierung. Sie verfügen wahrscheinlich über Verbindungen zur Schwarzmarktmafia sowie zu Geldwäschern und bestechlichen Bankmitarbeitern und Insidern. Ihre Arbeit ist sehr zeitintensiv und die Vorbereitung auf einen großen Coup kann monatelanges Überwachen, Eindringen in neue Systeme, Server und Netzwerke und Analysieren interner Systeme, Kontrollverfahren und sonstiger Regeln und Vorgaben in Anspruch nehmen. Jeder kleine Fehler der Bankbetrüger kann verhängnisvoll für sie sein und zur Aufdeckung ihrer verdächtigen Aktivitäten führen. Um sich während ihres entscheidenden Angriffs weiter zu schützen, beseitigen sie alle Spuren und Aufzeichnungen der illegalen Aktivitäten äußerst gründlich – ein wichtiger Schritt, der sorgfältig geplant werden muss.

Betrugsangriffe auf Banken werden immer häufiger und Angreifer verwenden ausgefeilte Methoden, um an das große Geld zu kommen. Jeder erfolgreiche Raub beschafft auch Geld zur Finanzierung der gesamten Betrugsinfrastruktur, der Entwicklung von Malware, dem Sammeln von Exploits, aber auch Zahlungen an Geldkuriere, Geldwäsche und Bestechen von Personen mit Bank-Insiderwissen. All diese Gruppen stehen seit vielen Jahren auf den Listen verschiedener Strafverfolgungsbehörden wie dem FBI oder Europol, aber die Drahtzieher und Mitglieder dieser Gruppen bleiben weiterhin in den Weiten des Internets und Darknets verborgen.

Obwohl Geldautomaten normalerweise vor physischen Angriffen gut geschützt sind, verwenden fast alle Windows als Betriebssystem (CE/2000/XP/7). Oftmals ist es unklar, ob bei den Betriebssystemen der Geldautomaten regelmäßig Updates und Patches eingespielt werden, und Geldautomaten sind wahrscheinlich auf die im internen Netzwerk installierte Sicherheitssoftware angewiesen. Ein Netzwerk ist nur so sicher wie sein schwächstes Glied; nachdem erst einmal in das interne Netzwerk eingedrungen wurde, sind die Geldautomaten im Netzwerk ein leichtes Ziel. Damit Banken ihre Geldautomaten und Systeme vor diesen Angriffen schützen können, müssen sie sich mehr auf ihre internen Sicherheitsrichtlinien und -technologien sowie auf die IT-Sicherheit ihrer Geldautomaten konzentrieren.

Die Zeiten haben sich geändert und es scheint einfacher zu sein, eine Bank auf elektronischem Wege auszurauben als über die bisherigen, gewaltsamen Methoden. Dadurch erhalten wir zwar physisch mehr Sicherheit, dies birgt jedoch neue Probleme und Herausforderungen, die die Banken angehen müssen.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.