Hacker sagen, dass “Jackpotting”-Fehler beliebte Geldautomaten dazu gebracht haben, Bargeld auszuspucken

@zackwhittaker/9:00 am PDT – August 6, 2020

Bildnachweis: Victor J. Blue/Bloomberg / Getty Images

Im Jahr 2010 hackte der inzwischen verstorbene Barnaby Jack, ein weltbekannter Sicherheitsforscher, auf der Black Hat-Konferenz live auf der Bühne einen Geldautomaten, indem er den Geldautomaten dazu brachte, einen Strom von Dollarscheinen auszuspucken. Diese Technik wurde passenderweise “Jackpotting” genannt.

Ein Jahrzehnt nach Jacks bahnbrechender Vorführung präsentieren Sicherheitsforscher zwei neue Schwachstellen in Nautilus-Geldautomaten, wenn auch virtuell, dank der Coronavirus-Pandemie.

Die Sicherheitsforscher Brenda So und Trey Keown von der New Yorker Sicherheitsfirma Red Balloon sagen, dass sie mit Hilfe der beiden Schwachstellen einen beliebten, eigenständigen Geldautomaten für den Einzelhandel, der üblicherweise in Geschäften und nicht in Banken zu finden ist, dazu bringen konnten, auf ihren Befehl hin Bargeld auszugeben.

Ein Hacker müsste sich im selben Netzwerk wie der Geldautomat befinden, was einen erfolgreichen Jackpotting-Angriff erschwert. Die Ergebnisse zeigen jedoch, dass Geldautomaten oft Schwachstellen haben, die jahrelang schlummern – in einigen Fällen seit ihrer Herstellung.

Barnaby Jack, der verstorbene Sicherheitsforscher, dem die ersten Jackpotting-Angriffe auf Geldautomaten zugeschrieben werden. Jetzt, 10 Jahre später, haben zwei Sicherheitsforscher zwei neue Angriffe auf Geldautomaten entdeckt. Credit: YouTube

So und Keown erklärten, dass ihre neuen Schwachstellen auf die dem Nautilus-Geldautomaten zugrunde liegende Software abzielen, eine zehn Jahre alte Version von Windows, die von Microsoft nicht mehr unterstützt wird. Zunächst kauften die beiden einen Geldautomaten, um ihn zu untersuchen. Da es jedoch nur wenig Dokumentation gab, musste das Duo die Software im Inneren zurückentwickeln, um zu verstehen, wie sie funktionierte.

Die erste Schwachstelle wurde in einer Softwareschicht gefunden, die als XFS (Extensions for Financial Services) bekannt ist und über die der Geldautomat mit seinen verschiedenen Hardwarekomponenten wie dem Kartenleser und der Geldausgabeeinheit kommuniziert. Der Fehler lag nicht in XFS selbst, sondern in der Art und Weise, wie der Geldautomatenhersteller die Softwareschicht in seine Geldautomaten implementierte. Die Forscher fanden heraus, dass das Senden einer speziell gestalteten bösartigen Anfrage über das Netzwerk den Geldautomaten auslösen und das darin befindliche Bargeld abwerfen konnte, so Keown gegenüber TechCrunch.

Die zweite Schwachstelle wurde in der Fernverwaltungssoftware des Geldautomaten gefunden, einem eingebauten Tool, mit dem die Besitzer ihre Geldautomatenflotte verwalten können, indem sie die Software aktualisieren und überprüfen, wie viel Bargeld noch vorhanden ist. Wird der Fehler ausgelöst, kann ein Hacker auf die Einstellungen eines verwundbaren Geldautomaten zugreifen.

So erklärte gegenüber TechCrunch, es sei möglich, den Zahlungsprozessor des Geldautomaten mit einem bösartigen, von einem Hacker kontrollierten Server zu tauschen, um Bankdaten abzuschöpfen. “Indem wir einen Geldautomaten auf einen böswilligen Server verweisen, können wir Kreditkartennummern extrahieren”, sagte sie.

Bloomberg berichtete erstmals über die Schwachstellen im vergangenen Jahr, als die Forscher ihre Erkenntnisse privat an Nautilus weitergaben. Etwa 80.000 Nautilus-Geldautomaten in den USA waren vor der Behebung der Schwachstelle verwundbar, berichtete Bloomberg. Ein Sprecher von Nautilus wollte die Zahl nicht bestätigen.

Erfolgreiche Jackpotting-Angriffe sind selten, aber nicht unbekannt. In den letzten Jahren haben die Hacker eine Reihe von Techniken eingesetzt. Im Jahr 2017 wurde eine aktive Jackpotting-Gruppe entdeckt, die in ganz Europa tätig war und Millionen von Euro in bar erbeutete.

In jüngerer Zeit haben Hacker proprietäre Software von Geldautomatenherstellern gestohlen, um ihre eigenen Jackpotting-Tools zu entwickeln.

Senden Sie Tipps sicher über Signal und WhatsApp an +1 646-755-8849 oder senden Sie eine verschlüsselte E-Mail an: [email protected]

{{Titel}}

{{Datum}}{{Autor}}

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.