Kaspersky: geldautomaten eenvoudig te hacken
Softwareproblemen
Geldautomaten draaien op zeer oude versies van besturingssystemen als Windows XP. Dit maakt de systemen kwetsbaar voor pc-malware en aanvallen via exploits. De software die de pc met de bancaire infrastructuur en de hardware-units laat communiceren en de creditcards en bankbiljetten verwerkt is in de meeste gevallen gebaseerd op de XFS-standaard. Deze oude en onveilige standaard is ooit ontwikkeld om alle software voor geldautomaten te standaardiseren, zodat het op alle gebruikte platformen zou werken. Het probleem is dat de XFS-standaard geen autorisatie vereist voor de te verwerken commando's, wat betekent dat elke app die op de pc wordt losgelaten commando’s naar alle hardware-eenheden kan sturen, met inbegrip van de kaartlezer en de unit die de bankbiljetten uitbetaalt. Bij succesvolle infectie neemt de malware het systeem vrijwel volledig over: het PIN-toetsenbord en de kaartlezer kunnen worden getransformeerd tot een ‘native’ skimmer en de hacker kan met één commando al het opgeslagen geld opnemen, meldt Kaspersky Lab.
Fysieke beveiliging
In veel gevallen die door de onderzoekers van Kaspersky Lab onder de loep zijn genomen, kwam er helemaal geen malware aan te pas om in het netwerk van de bank te komen. Fysieke beveiliging ontbreekt vaak bij pinautomaten. Vaak kunnen derden gemakkelijk toegang krijgen tot de pc of de netwerkkabel die de automaat verbindt met internet. Zelfs gedééltelijke fysieke toegang kan genoeg zijn om een zogenaamde black box aan de automaat te koppelen, een speciaal geprogrammeerd computertje dat de criminelen op afstand toegang tot de automaat verschaft. Ook kan de automaat worden aangesloten op een ‘rogue processing center’ - software die betalingsdata verwerkt en identiek is aan de software van de bank. Zodra de betaalautomaat wordt doorgesluisd naar deze valse software, kunnen de aanvallers iedere opdracht geven die ze maar willen.
Verbinding met zo’n valse processing center kan op verschillende manieren worden voorkomen, bijvoorbeeld door een hardware- of software-VPN, SSL/TLS-codering, een firewall of MAC-authenticatie, geïmplementeerd in XDC-protocollen. Vaak worden deze maatregelen echter niet genomen, en als het wél gebeurt, dan worden ze niet zelden verkeerd geconfigureerd, waardoor de automaat nog even kwetsbaar is.
Banken niet goed voorbereid
"De uitkomsten van ons onderzoek laten zien dat, ondanks de ontwikkeling van geldautomaten met sterke beveiligingsfuncties, veel banken nog steeds werken met oude, onveilige modellen”, zegt Olga Kochetova, beveiligingsexpert bij de afdeling Penetration Testing van Kaspersky Lab. “Hierdoor zijn ze niet voorbereid op de activiteiten van criminelen. Deze activiteiten, die banken én hun klanten iedere dag veel geld kosten, zijn volgens ons het resultaat van het aloude misverstand dat cybercriminelen alleen zijn geïnteresseerd in internetbankieren. De realiteit is dat ze juist steeds meer brood zien in het exploiteren van de zwakheden van betaalautomaten, omdat dit een veel kortere weg is naar contant geld.”
Fabrikanten van geldautomaten kunnen volgens de onderzoekers drie maatregelen nemen om het risico van aanvallen op hun producten te verkleinen:
- Herzie de XFS-standaard, met de nadruk op beveiliging, en introduceer two-factor-authenticatie tussen hardware en legitieme software. Dit zal de kans op ongeautoriseerde geldopnames met behulp van Trojaanse paarden verkleinen, net als het verkrijgen van volledige controle over de geldautomaten door criminelen.
- Implementeer ‘authenticated dispensing’ om de valse processing centers buitenspel te zetten.
- Pas cryptografische beveiliging en integriteitscontrole toe op de datatransmissies tussen alle hardware-eenheden en pc’s in de geldautomaat.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee