Veel geldautomaten kunnen, al dan niet met behulp van malware, relatief eenvoudig worden leeggeroofd. Dat meldt ict-beveiligingsbedrijf Kaspersky Lab. Volgens het bedrijf is deze kwetsbaarheid het gevolg van verouderde en onveilige software, fouten in de netwerkconfiguratie en gebrek aan beveiliging van essentiële hardware.
In 2014 ontdekten onderzoekers van Kaspersky Lab Tyupkin, een van de eerste voorbeelden van wijdverspreide malware in geldautomaten. Vervolgens werd in 2015 de Carbanak-bende ontmaskerd, die onder andere bancaire infrastructuren misbruikte om automaten leeg te halen. Beide gevallen bleken mogelijk door slim gebruik te maken van een aantal tekortkomingen in de technologie van betaalautomaten en de ondersteunende infrastructuur.
Volgens Kaspersky is dit slechts het topje van de ijsberg. In een poging om alle veiligheidsvraagstukken voor geldautomaten in kaart te brengen, hebben de ‘penetration testing specialists’ van Kaspersky Lab onderzoek gedaan op basis van strafrechtelijk onderzoek naar recente aanvallen en de security assessments van diverse internationale banken. Hierbij kwamen twee belangrijke beveiligingskwesties naar voren: software en fysieke beveiliging.
Oude besturingssystemen
Alle geldautomaten zijn in feite pc’s die draaien op oude versies van besturingssystemen als Windows XP. Dit maakt de systemen kwetsbaar voor pc-malware en aanvallen via exploits. De software die de pc met de bancaire infrastructuur en de hardware-units laat communiceren en de creditcards en bankbiljetten verwerkt is in de meeste gevallen gebaseerd op de XFS-standaard.
Deze oude en onveilige standaard is ooit ontwikkeld om alle software voor geldautomaten te standaardiseren, zodat het op alle gebruikte platformen zou werken. Het probleem is dat de XFS-standaard geen autorisatie vereist voor de te verwerken commando’s, wat betekent dat elke app die op de pc wordt losgelaten commando’s naar alle hardware-eenheden kan sturen, met inbegrip van de kaartlezer en de unit die de bankbiljetten uitbetaalt. Bij succesvolle infectie neemt de malware het systeem vrijwel volledig over: het pin-toetsenbord en de kaartlezer kunnen worden getransformeerd tot een ‘native’ skimmer en de hacker kan met één commando al het opgeslagen geld opnemen.
Black box
Daarnaast stellen de onderzoekers van Kaspersky Lab vast dat bij veel betaalautomaten de fysieke beveiliging ontbreekt. Vaak zijn de automaten dusdanig geconstrueerd en geïnstalleerd dat derden gemakkelijk toegang kunnen krijgen tot de pc of de netwerkkabel die de automaat verbindt met internet. Zelfs gedééltelijke fysieke toegang kan genoeg zijn om een zogenaamde black box aan de automaat te koppelen, een speciaal geprogrammeerd computertje dat de criminelen op afstand toegang tot de automaat verschaft.
Of de automaat kan worden aangesloten op een ‘rogue processing center’ – software die betalingsdata verwerkt en identiek is aan de software van de bank. Zodra de betaalautomaat wordt doorgesluisd naar deze valse software, kunnen de aanvallers iedere opdracht geven die ze maar willen, en de automaat zal gehoorzamen.
Voorkomen
Volgens het bedrijf kan een verbinding met zo’n vals processing center op verschillende manieren worden voorkomen, bijvoorbeeld door een hardware- of software-vpn, ssl/tls-codering, een firewall of MAC-authenticatie, geïmplementeerd in XDC-protocollen. Dikwijls worden deze maatregelen echter niet genomen, en als het wél gebeurt, dan worden ze niet zelden verkeerd geconfigureerd – wat wellicht pas boven water komt bij een security assessment – en is de automaat nog even kwetsbaar. Criminelen hoeven de hardware dan niet eens te manipuleren, maar profiteren van de manco’s in de netwerkcommunicatie tussen de betaalautomaat en de bancaire infrastructuur.