Angriffe gegen Bezahlterminals mehr als verdoppelt

Ein Artikel von red | 15.05.2020 - 06:34

Deutschland ist in Europa Spitzenreiter und wies 2019 insgesamt 228 angegriffene Geldautomaten oder Bezahlterminals auf - im Jahr 2017 waren es lediglich 58. Das ist vor allem deswegen problematisch, da Cyberkriminelle über ein kompromittiertes Gerät auch Zugang zur Infrastruktur - beispielsweise einer Bank - erhalten können.

GI_news__22134613_7bedfe28fc.jpg

Frau an Geldautomat einer Bank © MEV-Verlag, Germany

Auch wenn weltweit die meisten betroffenen Geräte in Brasilien und Russland standen - beide Länder gelten als Hotspot für ATM-Schadprogramme und zielgerichtete Cyberangriffe auf Finanzinstitute und Banken -, gibt der steigende Trend von Angriffen gegen in Deutschland befindliche Automaten und Terminals Anlass zur Sorge. So entwickelt sich laut der Kaspersky-Analyse Malware im ATM- und PoS-Bereich ständig weiter - heutige Schadsoftware kann beispielweise ihre Spuren verwischen oder ein Video-Ausspäh-Tool beinhalten. Darüber hinaus sind Angreifer in der Lage, Geldautomaten dazu zu bringen, direkt Geld auszuspucken (Beispiel ATMJackpot oder den Hintermännern Remotezugang ins Netzwerk einer Bank zu gewähren. 

Die Angriffswege derzeit

  • Port-Scanning: Zu Beginn suchen Cyberkriminelle oftmals nach offenen Ports, darauf laufenden Services und Schwachstellen dieser Services. Die gewonnenen Informationen ermöglichen es ihnen, einen wirksamen Angriffsvektor zu wählen.
  • Brute-Force-Angriffe: Über ein aktives Remote-Desktop-Protokoll (RDP) auf einem Geldautomaten oder PoS-System können Cyberkriminelle Zugriff auf ein Gerät erhalten. Dabei versuchen sie, das richtige Passwort zu "erraten", indem sie mehrere Zeichenkombinationen an den Dienst übermitteln.
  • Denial-of-Service-Attacken: Durch das Versenden großer Datenmengen oder von Daten in einem Format, das von einer Anwendung nicht verarbeitet werden kann, kann ein Cyberkrimineller die Arbeit eines eingebetteten Geräts stoppen (Denial of Service).
  • Netzwerkexploits: Cyberkriminelle nutzen nicht gepatchte Schwachstellen, um eine Infizierung einzuleiten.

Empfehlungen zum Schutz von Geldautomaten und PoS-Terminals

Mit der kürzlich aktualisierten Lösung Kaspersky Embedded Systems Security können Geldautomaten, PoS-Systeme sowie andere Windows-basierte eingebettete Geräte vor Malware geschützt und auch in Gebieten mit schwacher Internetverbindung per Fernwartung verwaltet und aktualisiert werden. Darüber hinaus werden mit der neuen Network-Threat-Protection-Komponente Angriffe auf Netzwerkebene verhindert.

Des Weiteren sollten Geldautomaten wie folgt gesichert werden

  • Eine Evaluierung der Angriffsvektoren ermöglicht die Erstellung eines spezifischen Bedrohungsmodells. Das Gefahrenpotential hängt von der Netzwerkarchitektur und dem Ort ab, an dem ein Geldautomat installiert ist - so macht es einen Unterschied aus, ob ein ATM an der Straße oder in der Filiale mit Videoüberwachung aufgestellt ist.
  • Durchführung einer Bewertung, welche ATMs veraltet sind oder welches Betriebssystem sie nutzen, das womöglich nicht mehr vom Anbieter mit Updates versorgt wird.
  • Regelmäßige von Sicherheitsexperten wie Kaspersky durchgeführte Security-Bewertung oder Penetrationstests zeigen mögliche Cyberangriffswege auf.
  • Regelmäßige Überprüfung der physischen Sicherheit von ATMs, um möglicherweise von Angreifern am Gerät angebrachte Elemente wie Scammer zu beseitigen.

PoS-Terminals erfordern folgende Maßnahmen

  • Im Vergleich zu einem durchschnittlichen Geldautomaten sind Windows-basierte PoS-Terminals oft leistungsfähiger, bieten mehr Spielraum für die Taktiken von Angreifern und mehr Möglichkeiten für den Einsatz moderner Malware und Hacker-Tools. Die Implementierung von mehrschichtigem IT-Schutz ist hier essenziell, um PoS-Terminals effektiv abzusichern.
  • Bezahlterminals befinden sich zudem im öffentlichen Raum und sind allgemein weniger gepanzert als Geldautomaten. Daher sind sie auch anfälliger für direkte Angriffe über nicht autorisierte Geräten. Eine adäquat konfigurierte Gerätekontrolle auf Softwarebasis ist hier dringend empfohlen.
  • Da PoS-Terminals häufig nicht nur in die finanzielle Datenverarbeitung, sondern auch in die Verarbeitung persönlicher Daten involviert sind, erhöht dies ihre Attraktivität für Cyberkriminelle. Daher sollte die Implementierung eines Monitoring-Systems für die Datenintegrität und eine Prüfung der Protokolle obligatorisch sein, vorzugsweise so, dass Änderungen auch offline verfolgt werden können.
  • Eingebettete Systeme sollten nicht nur von einer Host-based-Security-Lösung geschützt werden, sondern auch von einer Applikation auf Netzwerkebene - beispielsweise über sichere Web-Gateways oder Next-Gen-Firewalls. Somit können unerwünschte Konfigurationen und nichtautorisierte Systeme, sowohl innerhalb als auch außerhalb der Netzwerkinfrastruktur einer Organisation entdeckt und unterbunden werden.