Angriffe gegen Geldautomaten und Bezahlterminals seit 2017 mehr als verdoppelt

Im Jahr 2019 wurden Geldautomaten (ATMs) und Online-Bezahlterminals (PoS-Terminals) mehr als doppelt so häufig attackiert als noch 2017, wie eine aktuelle Langzeitanalyse von Kaspersky zeigt [1]. So identifizierten die Sicherheitsexperten im vergangenen Jahr mehr als 8.000 Geräte weltweit, die von ATM- oder PoS-Malware betroffen waren. Deutschland ist in Europa Spitzenreiter und wies 2019 insgesamt 228 angegriffene Geldautomaten oder Bezahlterminals auf – im Jahr 2017 waren es lediglich 58 [2]. Das ist vor allem deswegen problematisch, da Cyberkriminelle über ein kompromittiertes Gerät auch Zugang zur Infrastruktur – beispielsweise einer Bank – erhalten können.

Auch wenn weltweit die meisten betroffenen Geräte in Brasilien und Russland standen – beide Länder gelten als Hotspot für ATM-Schadprogramme und zielgerichtete Cyberangriffe auf Finanzinstitute und Banken –, gibt der steigende Trend von Angriffen gegen in Deutschland befindliche Automaten und Terminals Anlass zur Sorge. So entwickelt sich laut der Kaspersky-Analyse Malware im ATM- und PoS-Bereich ständig weiter – heutige Schadsoftware kann beispielweise ihre Spuren verwischen oder ein Video-Ausspäh-Tool beinhalten. Darüber hinaus sind Angreifer in der Lage, Geldautomaten dazu zu bringen, direkt Geld auszuspucken (Beispiel ATMJackpot oder den Hintermännern Remotezugang ins Netzwerk einer Bank zu gewähren.

Die Angriffswege derzeit:

• Port-Scanning: Zu Beginn suchen Cyberkriminelle oftmals nach offenen Ports, darauf laufenden Services und Schwachstellen dieser Services. Die gewonnenen Informationen ermöglichen es ihnen, einen wirksamen Angriffsvektor zu wählen.
• Brute-Force-Angriffe: Über ein aktives Remote-Desktop-Protokoll (RDP) auf einem Geldautomaten oder PoS-System können Cyberkriminelle Zugriff auf ein Gerät erhalten. Dabei versuchen sie, das richtige Passwort zu „erraten“, indem sie mehrere Zeichenkombinationen an den Dienst übermitteln.
• Denial-of-Service-Attacken: Durch das Versenden großer Datenmengen oder von Daten in einem Format, das von einer Anwendung nicht verarbeitet werden kann, kann ein Cyberkrimineller die Arbeit eines eingebetteten Geräts stoppen (Denial of Service).
• Netzwerkexploits: Cyberkriminelle nutzen nicht gepatchte Schwachstellen, um eine Infizierung einzuleiten.

„Geldautomaten sind in mehrerer Hinsicht das ideale Ziel für Cyberkriminelle, weil darauf häufig veraltete Systeme laufen, die von Angreifern relativ einfach ausgenutzt werden können und Zugang zu einer großen Menge Bargeld bieten“, erläutert Dmitry Bestuzhev, Sicherheitsforscher bei Kaspersky. „Der Anstieg von Cyberattacken im Bereich ATM und PoS wird sich vermutlich auch in diesem Jahr fortsetzen. Wir sehen zudem einen neuen gefährlichen Trend: So versucht eine Gruppe von Cyberkriminellen in Lateinamerika gerade ATM-Malware zu verkaufen, die spezifisch für jeden größeren Anbieter auf dem Markt im Rahmen eines Malware-as-a-Service-Models entwickelt wurde. Finanzorganisationen sollten daher besonders wachsam sein und ihre Threat Intelligence sowie ihre Systeme entsprechend auf Vordermann bringen.“

Kaspersky-Empfehlungen zum Schutz von Geldautomaten und PoS-Terminals

Mit der kürzlich aktualisierten Lösung Kaspersky Embedded Systems Security [2] können Geldautomaten, PoS-Systeme sowie andere Windows-basierte eingebettete Geräte vor Malware geschützt und auch in Gebieten mit schwacher Internetverbindung per Fernwartung verwaltet und aktualisiert werden. Darüber hinaus werden mit der neuen Network-Threat-Protection-Komponente Angriffe auf Netzwerkebene verhindert.

Des Weiteren sollten Geldautomaten wie folgt gesichert werden:

• Eine Evaluierung der Angriffsvektoren ermöglicht die Erstellung eines spezifischen Bedrohungsmodells. Das Gefahrenpotential hängt von der Netzwerkarchitektur und dem Ort ab, an dem ein Geldautomat installiert ist – so macht es einen Unterschied aus, ob ein ATM an der Straße oder in der Filiale mit Videoüberwachung aufgestellt ist.
• Durchführung einer Bewertung, welche ATMs veraltet sind oder welches Betriebssystem sie nutzen, das womöglich nicht mehr vom Anbieter mit Updates versorgt wird.
• Regelmäßige von Sicherheitsexperten wie Kaspersky durchgeführte Security-Bewertung oder Penetrationstests zeigen mögliche Cyberangriffswege auf.
• Regelmäßige Überprüfung der physischen Sicherheit von ATMs, um möglicherweise von Angreifern am Gerät angebrachte Elemente wie Scammer zu beseitigen.

PoS-Terminals erfordern neben einer (falls möglich) installierten Embedded-Sicherheitslösung folgende Maßnahmen:

• Im Vergleich zu einem durchschnittlichen Geldautomaten sind Windows-basierte PoS-Terminals oft leistungsfähiger, bieten mehr Spielraum für die Taktiken von Angreifern und mehr Möglichkeiten für den Einsatz moderner Malware und Hacker-Tools. Die Implementierung von mehrschichtigem IT-Schutz ist hier essenziell, um PoS-Terminals effektiv abzusichern.
• Bezahlterminals befinden sich zudem im öffentlichen Raum und sind allgemein weniger gepanzert als Geldautomaten. Daher sind sie auch anfälliger für direkte Angriffe über nicht autorisierte Geräten. Eine adäquat konfigurierte Gerätekontrolle auf Softwarebasis ist hier dringend empfohlen.
• Da PoS-Terminals häufig nicht nur in die finanzielle Datenverarbeitung, sondern auch in die Verarbeitung persönlicher Daten involviert sind, erhöht dies ihre Attraktivität für Cyberkriminelle. Daher sollte die Implementierung eines Monitoring-Systems für die Datenintegrität und eine Prüfung der Protokolle obligatorisch sein, vorzugsweise so, dass Änderungen auch offline verfolgt werden können.
• Eingebettete Systeme sollten nicht nur von einer Host-based-Security-Lösung geschützt werden, sondern auch von einer Applikation auf Netzwerkebene – beispielsweise über sichere Web-Gateways oder Next-Gen-Firewalls. Somit können unerwünschte Konfigurationen und nichtautorisierte Systeme, sowohl innerhalb als auch außerhalb der Netzwerkinfrastruktur einer Organisation entdeckt und unterbunden werden.

Die Analyse „A look at the ATM/PoS Malware lancscape from 2017 to 2019” ist unter https://securelist.com/atm-pos-malware-landscape-2017-2019/96750/ zu finden.

Weitere Informationen zu Kaspersky Embedded Systems Security finden sich unter https://www.kaspersky.de/enterprise-security/embedded-systems

[1] https://securelist.com/atm-pos-malware-landscape-2017-2019/96750/

[2] https://www.kaspersky.de/enterprise-security/embedded-systems

Nützliche Links:

• Kaspersky-Analyse „A look at the ATM/PoS Malware lancscape from 2017 to 2019”: https://securelist.com/atm-pos-malware-landscape-2017-2019/96750/
• Kaspersky Embedded Systems Security: https://www.kaspersky.de/enterprise-security/embedded-systems

Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter http://www.kaspersky.de/