Geldautomaten gehackt door criminelen

Vooralsnog alleen in Rusland en Oekraïne

08 juni 2009 | Merijn Gelens

Op geldautomaten in Rusland en Oekraïne is kwaadaardige software aangetroffen waarmee criminelen rekeninggegevens en bankkaartcodes kunnen afvangen. Ook kunnen zij geld uit de automaten halen. Dat meldt een forensisch computerexpert.

Ongeveer twintig automaten zijn op deze manier gehackt in de voormalige Sovjetlanden. Ook zijn er "vroege indicaties" dat er in de Verenigde Staten machines getroffen zijn, zegt Nicholas Percoco van Trustwave, een bedrijf dat databeveiliging en betaalkaartoplossingen biedt.

Percoco geeft leiding aan Spiderlabs van Trustwave. Hij zegt dat zijn forensisch team de malware op de betaalautomaten heeft aangetroffen. Hij vertelt verder niet waar de machines precies staan en hoe ze gebruikt worden.

Handlanger aan het werk
Iemand heeft de software handmatig moeten installeren. Percoco zegt in een telefonisch interview dat hij vermoedt dat een handlanger bij de bank of een verkoper van de machine heeft meegewerkt aan het plaatsen van de ongewenste software.

De machines, die allemaal gebruikmaken van Windows XP, bevatten een uitvoerbaar programma dat zich voordoet als een legitieme, door Windows beschermde opslagdienst. De malware kijkt naar alle gegevens die de machine verwerkt. Het bewaart de op de magnetische strip opgeslagen gegevens van de kaart die in de machine gestopt wordt, en slaat ook de versleutelde 'pinblokken' op die gegenereerd worden als iemand zijn code geeft.

Hoewel de bankkaartcode versleuteld is, kunnen criminelen mogelijk de encryptiesleutels afvangen die met de bank worden uitgewisseld. Die zijn vervolgens te gebruiken om de kaartcodes te ontcijferen.

Maximaal 430.000 euro
Als de malware een tijdje verborgen staat op de geldmachine, dan kunnen de criminelen met een speciale 'triggerkaart' controle over de machine krijgen. Vervolgens kunnen de gestolen gegevens direct van de machine afgedrukt worden, of kan de machine opdracht krijgen om de volledige geldvoorraad in de automaat uit te keren.

Geldmachines kunnen volgens Percoco bedragen tot 430.000 euro bevatten. De vroegste installatie van de malware is aangetroffen op een machine die al sinds juli 2007 is besmet.

Niet voor het eerst
Dit is niet de eerste keer dat er malware is ontdekt op geldautomaten, zegt Percoco, maar "het is waarschijnlijk de meest verfijnde malware die we ooit in een geldautomaat gevonden hebben. Uit de versies die we hebben gezien, maken we op dat de criminelen hun applicatie verbeteren terwijl ze ermee werken."

De laatste versie van de malware, die gevonden is op een paar machines, heeft functies om gestolen data direct naar de chip van een smartcard te schrijven. Percoco voegt daar meteen aan toe dat de functie niet lijkt te werken.

Michelle Genser, communicatiemanager bij Trustwave, zegt dat geen van de aangevallen geldmachines gebruikmaakt van de Payment Card Industry Data Security Standard (PCI-DSS). "Dit zijn machines die niet aan PCI voldoen, ze zijn niet goed beveiligd en ze draaien geen antivirus."

Hoewel de pinautomaten niet met internet verbonden zijn, zegt Genser dat Trustwave bewijzen heeft dat de malware ergens anders vandaan verspreid wordt. "Wij denken dat dit een test is, en dat het probleem zich gaat verspreiden", aldus Genser.

Lees meer artikels over : geldautomaat, beveiliging, security, infectie, malware

bron: ZDNet