Abo
  • Services:
Anzeige
Kriminelle nutzen den EMV-Chip von Karten, um mit der Malware zu kommunizieren.
Kriminelle nutzen den EMV-Chip von Karten, um mit der Malware zu kommunizieren. (Bild: Martin Wolf/Golem.de)

Ripper: Geldautomaten-Malware gibt bis zu 40 Scheine aus

Kriminelle nutzen den EMV-Chip von Karten, um mit der Malware zu kommunizieren.
Kriminelle nutzen den EMV-Chip von Karten, um mit der Malware zu kommunizieren. (Bild: Martin Wolf/Golem.de)

Sicherheitsforscher haben eine Schadsoftware entdeckt, die Geldautomaten gleich dreier Hersteller infizieren soll. Vieles deutet darauf hin, dass Kriminelle mit Hilfe der Malware in Thailand Geld im Wert von mehr als 300.000 Euro entwenden konnten.

Forscher der Sicherheitsfirma Fireeye haben eine neue Malware entdeckt, die Geldautomaten infiziert. Die Schadsoftware Ripper kann dabei nach Angaben der Forscher Automaten von drei weltweit aktiven Herstellern befallen. Möglicherweise wurde die Software bei einem Angriff in Thailand genutzt, bei dem eine organisierte Bande innerhalb weniger Stunden thailändische Baht im Wert von mehr als 300.000 Euro abgehoben hatte.

Anzeige

Angreifer brauchen physischen Zugang zu dem Gerät, um dieses zu infizieren. Über den genauen Infektionsweg gibt es noch keine Informationen, doch sie können sich bei der Malware mit speziell präparierten EMV-fähigen Karten authentifizieren. Die Schadsoftware ist in der Lage, die Statusinformationen des Geldautomaten auszulesen, um zum Beispiel festzustellen, wie viele Geldscheine einer bestimmten Sorte vorhanden sind.

Außerdem kann das Netzwerk-Interface der Automaten deaktiviert werden, um eine Intervention der Bank zu verhindern. Zudem soll das Programm in der Lage sein, forensische Spuren zu vernichten und so die Beweissicherung zu erschweren.

Authentifizierung über EMV-Chip

Entdeckt die Malware eine von den Angreifern entsprechend manipulierte Karte, kann dieser nach Ablauf eines Timers über das Pin-Feld Befehle eingeben, um Geld abzuheben. Das Limit ist auf maximal 40 Scheine egal welcher Notierung eingestellt, die höchste vom Hersteller vorgesehene Menge.

Bei einem Angriff in Thailand vergangene Woche hatte eine Gruppe illegal mehr als 12 Millionen Baht abgehoben, etwa 310.000 Euro. Fireeye sieht eine Verbindung zwischen der Malware und dem erfolgreichen Hack, da die Software unter anderem auch die bei dem Angriff verwendeten NCR-Automaten befallen könne. Außerdem sei ein Sample der Malware kurz vor dem Angriff bei Virustotal aufgetaucht, hochgeladen von einer IP-Adresse aus Thailand. Die betroffene staatliche Bank Government Savings bank (GSB) hatte als Reaktion auf den Hack mehr als 3.300 einzelnstehende Geldautomaten außer Betrieb gesetzt.

Kriminelle greifen immer häufiger die Infrastruktur von Banken direkt an und nicht mehr die Einlagen einzelner Nutzer. In Russland gelang es einer Bande, das Upstream-Zahlungsgateway von Banken zu manipulieren, in Japan wurden mehrere Millionen über manipulierte Karten einer südafrikanischen Bank abgehoben.


eye home zur Startseite
M. 31. Aug 2016

Dass eigentlich ein System gibt, über das Transaktionen an Fremdautomaten im In- oder...

Lasse Bierstrom 31. Aug 2016

+1 Wieviele server (Linux) stehen offen da und werden nach Belieben mit anderem Zeugs...

vlad_tepesch 30. Aug 2016

Gibts eigentlich Studien/Versuche/Hacks in denen den Automaten direkt per manipulierter...

Apfelbrot 30. Aug 2016

Aber immerhin eine USV und Wachgoldfische!



Anzeige

Stellenmarkt
  1. Infokom GmbH, Karlsruhe
  2. Prime Capital AG, Frankfurt am Main
  3. Daimler AG, Fellbach
  4. Amprion GmbH, Dortmund


Anzeige
Hardware-Angebote
  1. 281,99€
  2. 819,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Prozessor

    Lightroom CC 6.9 exportiert deutlich schneller

  2. Telia

    Schwedischer ISP muss Nutzerdaten herausgeben

  3. Nokia

    Deutlich höhere Datenraten durch LTE 900 möglich

  4. Messenger

    Facebook sagt "Daumen runter"

  5. Wirtschaftsministerin

    Huawei wird in Bayern Netzwerkausrüstung herstellen

  6. Overwatch

    Blizzard will bessere Beschwerden

  7. Mobilfunk

    Nokia nutzt LTE bei 600 MHz erfolgreich

  8. Ohne Flash und Silverlight

    Netflix schließt HTML5-Umzug ab

  9. Mass Effect Andromeda im Technik-Test

    Frostbite für alle Rollenspieler

  10. Hannover

    Die Sommer-Cebit wird teuer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
BSI: Schützt euer Owncloud vor Feuer und Wasser!
BSI
Schützt euer Owncloud vor Feuer und Wasser!
  1. VoIP Deutsche Telekom hatte Störung der IP-Telefonie
  2. Alte Owncloud und Nextcloud-Versionen Parteien und Ministerien nutzen unsichere Cloud-Dienste
  3. NFC Neuer Reisepass lässt sich per Handy auslesen

"Mehr Breitband für mich": Was wurde aus dem FTTH-Ausbau der Telekom für Selbstzahler?
"Mehr Breitband für mich"
Was wurde aus dem FTTH-Ausbau der Telekom für Selbstzahler?
  1. 50 MBit/s Dobrindt glaubt weiter an bundesweiten Ausbau bis 2018
  2. Breitbandgipfel 2.000 Euro für FTTH im Gewerbegebiet sind akzeptiert
  3. Breitbandgipfel Telekom hält 100 MBit/s für "im Moment ausreichend"

Vernetztes Fahren: Die Pseudo-Tests auf der Autobahn 9
Vernetztes Fahren
Die Pseudo-Tests auf der Autobahn 9
  1. Autonomes Fahren Die Ära der Kooperitis
  2. Neue Bedienungssysteme im Auto Es kribbelt in den Fingern
  3. Amazon Alexa im Auto, im Kinderzimmer und im Kühlschrank

  1. Re: Irgendwas mache ich wohl falsch...

    bjs | 19:11

  2. Re: "Derzeit sind kein Geräte geplant, die das...

    Geistesgegenwart | 19:09

  3. Re: Keine Ahnung warum die Leute Probleme haben.....

    Neuro-Chef | 19:07

  4. Re: Golem hat Tomaten auf den Augen

    baltasaronmeth | 19:07

  5. Re: Intel kann bald einpacken...

    baltasaronmeth | 19:05


  1. 18:26

  2. 18:18

  3. 18:08

  4. 17:39

  5. 16:50

  6. 16:24

  7. 15:46

  8. 14:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel