Prilex blockiert NFC-Transaktionen

Die neue Version der Prilex-Malware, die zum Angriff von POS-Terminals genutzt wird, kann jetzt NFC-Transaktionen blockieren.

Ein Kunde hält sein Gerät an das POS-Terminal – aber das kontaktlose Bezahlen funktioniert nicht. Woran liegt das? Vielleicht ist das Gerät selbst beschädigt oder der Chip des NFC-Lesegeräts defekt. Es könnte aber auch etwas anderes dahinterstecken: Das POS-Terminal könnte mit der Schadsoftware Prilex infiziert sein, die auf Bankkarten Jagd macht und nun in der Lage ist, kontaktlose Transaktionen zu blockieren.

Was ist Prilex und warum blockiert sie NFC-Transaktionen?

Prilex ist eine cyberkriminelle Gruppe, die bereits seit 2014 Jagd auf Bankkartendaten macht. In letzter Zeit hat sie sich auf Angriffe über POS-Terminals konzentriert. Ende letzten Jahres führten die Experten unseres Kaspersky Global Research and Analysis Teams (GReAT) eine detaillierte Studie über die Entwicklung dieser Malware durch und kamen zu dem Schluss, dass Prilex eine der ersten Gruppen ist, die gelernt hat, Kreditkartentransaktionen zu klonen, sogar solche, die durch Chip-and-PIN-Technologie geschützt sind.

Und Prilex entwickelt sich weiter: Bei einer Vorfallsanalyse stießen unsere Experten auf neue Muster dieser Malware. Eine der Neuigkeiten ist ihre Fähigkeit, Transkationen via NFC zu blockieren. NFC-basierte Transaktionen können eine eindeutige Kennung generieren, die nur für eine einzige Transaktion gültig ist – eine für Betrüger sehr unattraktive Eigenschaft. Indem sie die kontaktlose Zahlung verhindern, versuchen die Angreifer deshalb, den Kunden dazu zu bringen, die Karte in das Gerät zu stecken.

Wie infiziert Prilex POS-Terminals und auf wen hat es die Malware abgesehen?

Unserem Expertenbericht zufolge verwenden die Angreifer Social-Engineering-Methoden, um ein Endgerät zu infizieren. In der Regel versuchen sie, die Mitarbeiter der Einzelhandelsfiliale davon zu überzeugen, dass sie die Software des Terminals dringend aktualisieren müssen. Zu diesem Zweck sind sie bereit, „technische Experten“ direkt in die Filialen zu schicken oder sie zumindest zu bitten, die AnyDesk-Software zu installieren, um einen Fernzugriff zu ermöglichen.

Die Prilex-Gruppe ist an Unternehmen interessiert, die im Einzelhandel tätig sind, d.h. POS-Terminals verwenden. Von besonderem Interesse für sie sind Geräte, die in belebten Einkaufszentren in Großstädten eingesetzt werden und tausende von Karten täglich durchlaufen.

Die Aktivitäten von Prilex werden hauptsächlich in Lateinamerika beobachtet. Allerdings borgen sich moderne Cyberkriminelle oft die Tools anderer, weshalb es möglich ist, dass dieselbe Malware auch in anderen Regionen eingesetzt wird. Tatsächlich gibt es Hinweise darauf, dass die gleiche Malware (oder zumindest die gleiche Technologie) bereits in Deutschland eingesetzt wurde.

Wie können Sie sich schützen?

Einzelhändler, die feststellen, dass ihr Terminal kontaktlose Zahlungen ablehnt, sollten sich an ihr IT-Personal wenden (liegt das Problem an der Hardware, wird es behoben; liegt eine Infektion vor, werden Experten für Informationssicherheit oder Dritte hinzugezogen).

Für Einzelhandelsunternehmen (insbesondere große Ketten mit vielen Filialen) ist es wichtig, interne Regeln zu entwickeln und allen Mitarbeitern genau zu erklären, wie der technische Support und/oder die Wartungsteams arbeiten sollen. Dies sollte zumindest den unbefugten Zugriff auf POS-Terminals verhindern. Darüber hinaus ist es immer eine gute Idee, das Bewusstsein der Mitarbeiter für die neuesten Cyberbedrohungen zu stärken: So sind diese weniger anfällig für neue Social-Engineering-Maschen.

Tipps