Abo
  • Services:

Geldautomaten: Skimming an der Netzwerkbuchse

Skimming ist ein bekanntes Problem - Kriminelle verwenden nachgebaute Tastaturfelder und Magnetkartenleser, um Kundendaten an Geldautomaten zu kopieren. Jetzt warnt der Hersteller NCR vor neuen Gefahren.

Artikel veröffentlicht am ,
Kriminelle versuchen offenbar zunehmend, den Netzwerkverkehr von Geldautomaten abzugreifen.
Kriminelle versuchen offenbar zunehmend, den Netzwerkverkehr von Geldautomaten abzugreifen. (Bild: Brian Krebs)

Der Geldautomatenhersteller NCR warnt vor externen Skimming-Geräten an den Netzwerkschnittstellen der Geldautomaten. In letzter Zeit seien vermehrt Berichte aufgetaucht, dass Geldautomaten von NCR und Diebold mit externen Geräten angegriffen worden seien, die den Datenverkehr der Automaten mitschneiden, um so vertrauliche Kundendaten abzugreifen, wie der Sicherheitsforscher Brian Krebs schreibt.

Stellenmarkt
  1. OTTO JUNKER GmbH, Simmerath
  2. ING-DiBa AG, Frankfurt

Die Angriffe sollen vor allem an freistehenden Geldautomaten vorgenommen worden sein - bei Geräten in Banken sind die Netzwerkkabel meist besser vor dem Zugriff Unbefugter geschützt. Sind die Schnittstellen eines Geldautomaten von außen zugänglich, handelt der Betreiber natürlich grob fahrlässig. NCR schreibt in einem an Kunden versandten Sicherheits-Advisory, dass die Angreifer mit der neuen Masche Anti-Skimming-Technologien umgehen wollen, die mittlerweile immer häufiger am Kartenslot von Geldautomaten installiert werden. Gefälschte Keypads oder Kameras würden aber weiterhin genutzt, um die PIN-Eingabe der Kunden zu überwachen. Die abgefangene PIN werde dann meist kabellos an das netzwerkfähige Skimming-Gerät übertragen.

Sicherheitsstandards werden erst später eingeführt

Die Überwachung des Netzwerkverkehrs von Geldautomaten ist nur deshalb erfolgversprechend, weil der für die Sicherheitsstandards von Banken zuständige Payment Card Industry Security Standard Council weiterhin den Einsatz unsicherer Protokolle wie SSL zulässt. Eigentlich sollte die Umstellung auf TLS, mindestens in der Version 1.1, bis Mitte dieses Jahres abgeschlossen gewesen sein. Doch im Dezember verlängerte der Verband die Frist zur Umstellung bis Juni 2018. Zur Begründung hieß es damals, dass die Finanzhäuser derzeit mit der Einführung von EMV in den USA und der Migration von SHA-1 auf sicherere Verfahren sehr beschäftigt seien. "Einige Zahlungsdienstleister bedienen mehrere Tausend internationaler Kunden, von denen alle unterschiedliche SSL- und TLS-Konfigurationen nutzen", sagte Troy Leach, der Chief Security Officer der Organisation in einem Statement [PDF].



Anzeige
Hardware-Angebote
  1. und Vive Pro vorbestellbar
  2. 127,75€ + Versand

DatLicht 15. Sep 2016

Nein, der Admin ist nicht "der globale Buhmann", keine Frage. Aber wenn in einem...

tingelchen 17. Feb 2016

Es muss nicht unbedingt Beton sein ;) Es reicht, wenn der Automat in einer Metallhülle...

theWhip 17. Feb 2016

Der Dieb klaut ja nicht das Geld der Bank.... sondern deins, leider. Deswegen dürfen die...

theWhip 17. Feb 2016

XP auf etwas anderes um...? Viele, viel zu viele Automaten laufen doch weiterhin mit...

M.P. 17. Feb 2016

Das, was markiert ist, ist "unnormal", und der Rest ist "reguläres Zubehör" des...


Folgen Sie uns
       


Strihl wechselt Leuchtmittel per Drohne (Light and Building 2018)

Strihl präsentiert auf der Light + Building sein Wartungssystem für Straßenleuchten per Drohne.

Strihl wechselt Leuchtmittel per Drohne (Light and Building 2018) Video aufrufen
Klimaschutz: Unter der Erde ist das Kohlendioxid gut aufgehoben
Klimaschutz
Unter der Erde ist das Kohlendioxid gut aufgehoben

Die Kohlendioxid-Emissionen steigen und steigen. Die auf der UN-Klimakonferenz in Paris vereinbarten Ziele sind so kaum zu schaffen. Fachleute fordern daher den Einsatz von Techniken, die Kohlendioxid in Kraftwerken abscheiden oder sogar aus der Luft filtern.
Ein Bericht von Daniel Hautmann

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

    •  /