Jackpotting: Geldautomaten in Deutschland mit USB-Stick ausgeräumt

Seit 2010 ist das Plündern von Geldautomaten per USB-Stick bekannt. In Deutschland wurde nun erstmals ein Täter dabei gefilmt, wie er zwei Automaten an einem Tag ausräumte.

Artikel veröffentlicht am ,
Der Täter vor dem Ausräumen des Geldautomaten in Berlin
Der Täter vor dem Ausräumen des Geldautomaten in Berlin (Bild: Polizei Berlin)

Was der legendäre Hacker Barnaby Jack vor fünf Jahren auf der Black-Hat-Konferenz präsentierte, wird von Kriminellen auch in Deutschland weiter praktiziert: das Ausräumen von Geldautomaten mit Hilfe eines USB-Sticks. Zuletzt gelang es einem bislang unbekannten Täter, an einem Tag an zwei weit voneinander entfernten Orten in Deutschland zwei Automaten zu plündern. Sein Pech: Er wurde von Überwachungskameras beim sogenannten Jackpotting gefilmt.

Stellenmarkt
  1. IT-Projektleiter (m/w/d)
    STEMMER IMAGING AG, Puchheim
  2. Spezialist*in Supportmanagement (m/w/d)
    Stadtwerke München GmbH, München
Detailsuche

Nach Angaben der Berliner Polizei erleichterte der Unbekannte am 6. August dieses Jahres gegen 6.50 Uhr zunächst den Automaten einer Kreissparkasse im baden-württembergischen Esslingen um einen größeren Geldbetrag. Etwa 14 Stunden später, gegen 21 Uhr, betrat er eine Postbankfiliale im Berliner Ortsteil Hermsdorf. Auch dort gelang ihm die Manipulation eines Automaten.

Täter brauchte eine halbe Stunde

Wie die Berliner Zeitung berichtet, soll er sich in beiden Fällen rund eine halbe Stunde lang in der Filiale aufgehalten haben. Dabei habe er einen Teil der Automatenabdeckung abgeschraubt und einen USB-Anschluss freigelegt. Der Mann habe dann einen USB-Stick in die Buchse gesteckt und ein Programm überspielt, das jegliche Sperren im Gerät außer Betrieb gesetzt habe. Zu guter Letzt habe er ein paar Tasten am Gerät gedrückt und das Geld sei aus dem Gerät gefallen. Während der Manipulation der Automaten soll er mit seinem Handy telefoniert haben. Die Berliner Polizei wollte auf Anfrage von Golem.de den Bericht nicht bestätigen und sich nicht zu Details des Diebstahls äußern.

Der vor zwei Jahren gestorbene Barnaby Jack hatte auf der Black-Hat-Konferenz im Jahr 2010 mehrere Verfahren zum Hacken von Geldautomaten präsentiert. Dabei hatte er unter anderem eine Schwachstelle in der standardmäßig aktivierten Fernwartungsfunktion ausgenutzt, um eine präparierte Firmware zu installieren. Ein Geldautomat des Herstellers Triton hatte eine Sicherheitslücke, die sich über einen Standardschlüssel ausnutzen ließ, der im Internet zum Kauf stand. Danach akzeptierte der Geldautomat die Hackersoftware als autorisiertes Update.

Vier erfolgreiche Fälle in Deutschland

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    04.-07.07.2022, virtuell
Weitere IT-Trainings

Nach Angaben der Berliner Polizei wurden den Ermittlern bislang vier erfolgreiche Geldautomaten-Hackings in Deutschland gemeldet, davon zwei in Berlin. Dem Zeitungsbericht zufolge wurde die Methode bisher 20 Mal in Europa angewandt. Die Software für den Diebstahl soll in Russland entwickelt worden sein. Auch von Softwareexperten aus China sei die Rede.

Unklar bleibt, welche Sicherheitslücke von Hackern ausgenutzt wurde. Spätestens seit der Präsentation auf der Black Hat sind den Geldautomaten-Herstellern wie Wincor Nixdorf oder Triton die Probleme bekannt. Eine Sprecherin des Bundesverbands deutscher Banken konnte auf Anfrage von Golem.de zunächst nicht sagen, ob es in Deutschland gescheiterte Versuche von Jackpotting gab. Sollte die Methode so einfach umzusetzen sein, erscheint die Zahl der erfolgreichen Fälle recht gering. Bislang erhielt die Berliner Polizei trotz der Veröffentlichung der Fahndungsfotos noch keinen erfolgversprechenden Hinweis auf den Täter.

Nachtrag vom 29. Oktober 2015, 15:20 Uhr

Nach Angaben des Bankenverbands sind keine weiteren Fälle von Jackpotting bei privaten Geldinstituten in Deutschland bekanntgeworden. Eine Sprecherin sagte auf Anfrage von Golem.de, dass nicht alle Geldautomaten überhaupt über einen USB-Port verfügten. Zudem seien die entsprechenden Zugänge vielfach nicht zu erreichen. Dies hänge auch davon ab, wie die Geräte eingebaut seien. Manche Geldautomaten seien nur über eine gesonderte Zugangstür zu öffnen, die entsprechend gesichert sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


dschu 02. Nov 2015

Ja, gibt es: http://youtu.be/0c08EYv4N5A Ist schon etwas älter. Ich mag die CCC Vorträge. <3

dschu 02. Nov 2015

Schaut euch mal den CCC Vortrag an wo sie eine Jackpotting-Software Revers-Engineeren...

Rulf 01. Nov 2015

xp?...da läuft häufig noch 2000 oder gar noch älteres...aber richtig eingerichtet sollten...

2ge 01. Nov 2015

Ist doch relativ offensichtlich. China und Russland haben ein relativ gutes...



Aktuell auf der Startseite von Golem.de
Forschung
Blaualge versorgt Computer sechs Monate mit Strom

Ein Forschungsteam hat einen Mikroprozessor sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit.

Forschung: Blaualge versorgt Computer sechs Monate mit Strom
Artikel
  1. EC-Karte: Trotz Kartensperre können Diebe stundenlang Geld abheben
    EC-Karte
    Trotz Kartensperre können Diebe stundenlang Geld abheben

    Eine Sperre der Girocard wird nicht immer sofort aktiv. Verbraucher können sich bereits im Vorfeld schützen.

  2. Swisscom-Chef: Vermasselt habe ich nichts
    Swisscom-Chef
    "Vermasselt habe ich nichts"

    Urs Schaeppi gibt den Chefposten bei Swisscom auf. Sein Rückblick auf neun Jahre Konzernführung fällt ungewöhnlich offen aus.

  3. Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
    Raspberry Pi
    Besser gießen mit Raspi und Xiaomi-Pflanzensensor

    Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
    Eine Anleitung von Thomas Hahn

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV (2021) 77" günstig wie nie: 1.771,60€ statt 4.699€ • Grakas günstig wie nie (u. a. RTX 3080Ti 1.285€) • Samsung SSD 1TB (PS5-komp.) + Heatsink günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsdeals MediaMarkt • Bosch Prof. bis 53% günstiger[Werbung]
    •  /