Kloiber: Reden wir über den Secret Service – und zwar jenen Geheimdienst, der einst aus dem amerikanischen Finanzministerium hervorgegangen ist. Dessen Herkunft merkt man immer noch daran, dass sich seine Analytiker sehr stark mit Informationstechnik für Banken beschäftigen. Und so hat der US-Secret-Service seit Anfang dieses Jahres mindestens drei Warnungen an die Hersteller von Geldautomaten herausgegeben. Es ist nämlich gerade mal wieder Schadsoftware für Jackpotting-Angriffe auf Geldautomaten unterwegs, und diese Schadsoftware kommt auch gerade nach Europa. Was sind denn Jackpotting-Angriffe, Peter Welchering?
Welchering: Bei diesen Angriffen wird der Geldautomat so programmiert, dass e alle seine Geldscheine ausspuckt. Der Begriff stammt von Barnaby Jack. Der hat 2010 seinen Angriff auf Geldautomaten mit "Jackpotting Automated Teller Machines" überschrieben. Und Barnaby Jack hat darauf hingewiesen, dass mit seiner Schadsoftware Geldautomaten das machen, was sonst nur Spielautomaten machen, wenn man den Jackpot geknackt hat, nämlich: viel Geld ausstoßen.
Geldautomaten mit Windows-Betriebssystem betroffen
Kloiber: Welche Schadsoftware wird für diese Jackpotting-Angriffe auf Geldautomaten eingesetzt?
Welchering: Die bekannteste Software wurde von Sicherheitsforschern Ploutus getauft. Davon gibt es verschiedene Varianten, die seit 2013 bekannt sind. Die jetzt aufgetauchte Variante greift Geldautomaten unter dem Betriebssystemen Windows XP und Windows 7 an. Bei Windows XP gibt es auch keine Sicherheitspatches mehr. Deshalb raten die Behörden den Banken auch, auf Windows 7 umzusteigen.
Kloiber: Wie gelangt die Schadsoftware auf die Geldautomaten?
Welchering: Über die USB-Schnittstelle. Entweder wird an die USB-Schnittstelle ein Laptop angeschlossen, und von dem wird die Schadsoftware dann heruntergeladen, oder sie wird von einem Stick heruntergeladen. Gegenwärtig werden dafür auch Smartphones eingesetzt. Ein Smartphone wird also an die USB-Schnittstelle des Geldautomaten gehängt. Und dann reichen zwei SMS aus, um den Automaten auszuräumen.#
Angriff auf die Geldautomaten-Software
Kloiber: Bankraub per SMS klingt schon etwas schräg. Wie funktioniert das?
Welchering: Mit einer erste SMS wird die Ploutus-Schadsoftware installiert. Und eine zweite SMS gibt dann den Befehl, dass der Automat sein gesamtes Geld auszahlen soll. Dabei wird die SMDS an das Smartphone geschickt, das mit dem Geldautomaten verbunden ist. Das Smartphone sendet den per SMS empfangenen Befehl als TCP-Datenpäckchen oder UDP-Datenpäckchen weiter. Dabei spielt das Modul, das Netzwerk Paket Monitor genannt wird, eine ganz entscheiden Rolle. Denn dieses Modul empfängt das TCP-Paket oder das UDP-Paket und setzt es in einen gültigen Geldautomaten-Befehl um, nämlich in den Auszahlbefehl.
Dafür muss die Geldautomaten-Software erfolgreich angegriffen werden. Das ist bei proprietärer Software aufwendig. Bei Geldautomaten, die die herstellerunabhängige Software Kalignite einsetzen, wird diese Software dann direkt angegriffen. Und deshalb gehen Experten davon aus, dass die Geldautomaten von 40 Herstellern weltweit mit einem solchen Jackpot-Angriff geleert werden können. Wenn das per Laptop gemacht wird, muss der Automatenräuber am Geldautomaten stehen bleiben. Beim Automatenraub per SMS bringt ein Mitarbeiter der organisierten Kriminalität das Smartphone am Geldautomaten an, ein zweiter sendet die SMS, und ein Dritter sammelt dann das Geld ein. Die SMS-Methode ist die effizientere.
Kloiber: Peter Welchering über leichte Beute am Geldautomaten. Danke!