Wenn Sie wissen was Geldautomaten-Skimmer sind — andernfalls sollten Sie zuerst diesen Artikel lesen — dann wissen Sie wahrscheinlich auch, was Sie tun müssen, um Ihre Bankkarte zu schützen. Sie sollten auf verdächtige Vorrichtungen an Geldautomaten achten und keine Geräte nutzen, die Ihnen suspekt vorkommen. Aber was, wenn es gar keine Vorrichtung gibt? Was wenn der Skimmer vollkommen unsichtbar ist?
https://media.kasperskydaily.com/wp-content/uploads/sites/96/2020/06/30171415/atm-infector-fb.png
Ist das überhaupt möglich?
Leider ja. Und das war genau der Fall bei einer Bankomatinfektion durch eine Gruppe von Cyberkriminellen, die von unserem globalen Recherche- und Analyseteam (GReAT) in Zusammenarbeit mit unserem Penetration-Testing-Team aufgedeckt wurde. Die Mitglieder dieser russischsprachigen Cyberbande sind im Stande, Geldautomaten selbst in Skimmer zu verwandeln.
Doppelter Gewinn
Allem Anschein nach findet die Idee des kollaborativen Konsums auch bei Cyberkriminellen großen Anklang: warum zusätzliche Skimmer-Geräte an Geldautomaten anbringen, wenn die gesamte Hardware, die sie benötigen, bereits vorhanden ist? Alles was sie tun müssen, ist Geldautomaten mit einer speziellen Malware namens Skimer zu infizieren. Danach können sie die Kartenleser und die PIN-Tastenblöcke der Geldautomaten benutzen, um alle notwendigen Bankdaten zu stehlen.
Now you know how they do their criminal business on ATMs and will never fall for the trick: https://t.co/y58IvQSBQw pic.twitter.com/Dj8otixjg3
— Eugene Kaspersky (@e_kaspersky) January 22, 2015
Und das ist noch lange nicht alles bezüglich der gemeinsamen Nutzung von Ressourcen. Sobald Kriminelle den Geldautomaten infiziert haben, können sie noch einen Schritt weiter gehen und nicht nur die PIN-Tastenblöcke und die Kartenlesegeräte kontrollieren, sondern auch die Geldausgabe. Sie stehlen also nicht nur die Zugangsdaten der Karten, sondern senden auch einen Befehl, damit das gesamte Geld, das im Ausgabedepot des Geldautomaten vorhanden ist, ausgezahlt wird.
Die Kriminellen, die hinter dieser Cyberoffensive stehen, verwischen ihre Spuren sehr sorgfältig. Genau genommen benutzen sie gerade deswegen diese Doppeltaktik. Obwohl sie bestimmt zu jedem beliebigen Zeitpunkt alle Geldautomaten, denen sie den Befehl zur Geldausgabe gegeben haben, auf einmal abkassieren könnten, würde das garantiert Verdacht erregen und wahrscheinlich zu umfangreichen Untersuchungen führen. Deswegen ist es ihnen lieber, wenn die Malware auf den infizierten Geldautomaten unentdeckt bleibt, so dass sie still und heimlich weitere Kartendaten sammeln können und sich die zweite Option — die sofortige Geldausgabe — für die Zukunft aufheben.
Wie Kriminelle bei der Infektion der Geldautomaten vorgehen
In einem unserer letzten Blogbeiträge haben wir Ihnen erklärt, dass der Schutz der Geldautomaten vom physischen Standpunkt aus sehr imposant wirkt, aber viele dieser zarten Maschinen im Cyberbereich nichtsdestoweniger sehr verwundbar sind. In diesem speziellen Fall infizieren Kriminelle Geldautomaten entweder über physischen Zugriff oder über das interne Banknetzwerk.
Nachdem die Malware Skimer auf dem System selbst installiert wurde, infiziert sie den computerisierten Kern des Geldautomaten, und somit gelangen die Kriminellen an die volle Kontrolle über die Geräte und verwandeln sie in Skimmer. Danach bleibt die Malware inaktiv bis sich die Kriminellen entscheiden, die infizierten Geldautomaten zu nutzen.
7 reasons why it’s oh so easy for bad guys to hack an #ATM https://t.co/7H7znX1REt #security pic.twitter.com/SPNqm7vXJk
— Kaspersky (@kaspersky) February 17, 2016
Um die Malware im Geldautomaten zu aktivieren, nutzen die Kriminellen eine eigens angefertigte Karte, auf deren Magnetstreifen bestimmte Daten gespeichert sind. Nachdem die gespeicherten Daten gelesen wurden, kann die Malware Skimer entweder einen vorprogrammierten Befehl ausführen oder Befehlen eines speziellen Menüs folgen, das durch die Karte aktiviert werden.
Wenn der Kriminelle die Karte entnimmt und in weniger als 60 Sekunden den richtigen Sitzungsschlüssel über den Tastenblock eingibt, erscheint die grafische Benutzeroberfläche von Skimer auf dem Display. Mithilfe dieses Menüs kann der Kriminelle 21 verschiedene Befehle aktivieren, einschließlich:
- Geld ausgeben (40 Banknoten aus der angegebenen Kassette)
- Informationen einer eingeführten Karte aufzeichnen
- Selbstlöschen
- Update (der aktualisierte Malwarecode ist auf der Karte eingebettet)
- Datei mit Karten- und PIN-Daten auf dem Chip der angefertigten Karte speichern
- oder gesammelte Karteninformationen auf dem Kontoauszugspapier des Geldautomaten ausdrucken
Wie Sie sich schützen können
In ihrem Blogbeitrag auf Securelist stellen unsere Experten Banken Empfehlungen zur Verfügung, nach welchen Dateien sie in ihren Systemen suchen sollten. Der gesamte Bericht über die Offensive zur Infizierung von Geldautomaten wurde zuvor mit einer geschlossenen Gruppe geteilt, deren Mitglieder Strafvollzugsbehörden, CERTs (Computer Emergency Response Team) und Finanzinstitutionen angehören oder Kunden unserer Kaspersky Security Intelligence Services sind.
Für normale Nutzer wie Sie und mich ist dieser Fall der infizierten Geldautomaten sehr beängstigend: es gibt keine Möglichkeit festzustellen, ob ein Geldautomat infiziert ist, ohne dessen Software zu überprüfen, da er von außen normal aussieht und auch normal zu funktionieren scheint.
Banken sehen normalerweise die PIN-Eingabe als Beweis an, dass die Transaktion vom Kartenbesitzer selbst durchgeführt wurde oder der Kartenbesitzer selbst dafür verantwortlich ist, wenn seine PIN in fremde Hände gelangt ist. Es wäre schwierig die Entscheidung der Banken anzufechten und es ist sehr wahrscheinlich, dass Sie Ihr Geld niemals zurückbekommen werden.
Criminal business on #ATMs, part 2: https://t.co/qCWhTm2ALD pic.twitter.com/46zP035BBE
— Kaspersky (@kaspersky) January 30, 2015
Grundsätzlich können Sie Ihre Karte nicht zu 100 Prozent vor Geldautomaten-Malware schützen, aber es gibt dennoch ein paar Tipps, die Ihnen helfen können, zumindest den größten Teil Ihres Geldes zu behalten.
- Abgesehen von der Tatsache, dass Sie infizierte Bankautomaten nicht identifizieren können, können Sie das Risiko minimieren, indem Sie Geldausgabeautomaten verwenden, die sich an weniger verdächtigen Orten befinden. Die beste Option ist, Geldautomaten in Geschäftsstellen von Banken zu verwenden — es ist für Kriminelle schwieriger diese Geräte zu infizieren und zudem werden sie wahrscheinlich häufiger von den technischen Wartungsteams der Banken inspiziert.
- Überprüfen Sie fortwährend alle Transaktionen, die mit Ihrer Karte getätigt werden. Der beste Weg hierfür ist das SMS-Benachrichtigungssystem zu nutzen: sofern Ihre Bank diesen Service anbietet, sollten Sie unbedingt davon Gebrauch machen.
- Wenn Sie eine Transaktion sehen, die Sie nicht getätigt haben — setzen Sie sich umgehend mit Ihrer Bank in Verbindung und blockieren Sie die betroffene Karte. Erledigen Sie das umgehend. Je schneller Sie reagieren, desto wahrscheinlicher ist es, dass Sie zumindest einen großen Teil Ihres Geldes retten können.