Kwetsbaarheid in geldautomaten maakt fraude met opnames en stortingen mogelijk
Onderzoekers hebben in geldautomaten van verschillende fabrikanten kwetsbaarheden ontdekt waardoor een aanvaller met fysieke toegang tot de machine had kunnen frauderen met stortingen en opnames. De beveiligingslekken werden aangetroffen in de ProCash 2100xe USB ATM van Diebold Nixdorf en de SelfServ ATM van NCR.
In de automaten van NCR gaat het om drie kwetsbaarheden waardoor een aanvaller de automaat onder andere kan laten geloven dat er geld is gestort, terwijl dat niet het geval is. Het gaat om automaten waarbij gebruikers geldbiljetten kunnen invoeren, waarna het bedrag op hun rekening wordt gestort. In het geval van de NCR-automaten werden berichten tussen de "Bunch Note Acceptor" (BNA), waar de geldbiljetten worden ingevoerd, en de computer niet versleuteld, geauthenticeerd of geverifieerd.
Een aanvaller met fysieke toegang zou de berichten tussen de BNA en de computer kunnen onderscheppen en aanpassen, zoals het gestorte bedrag. Het aangepaste bedrag zou vervolgens naar de computer worden doorgestuurd. Op deze manier zou een aanvaller de computer kunnen laten denken dat er een veel groter bedrag was gestort dan in werkelijkheid het geval was. Vervolgens zou de aanvaller het opgegeven bedrag bij de geldautomaat van een andere bank moeten opnemen. Deze kwetsbaarheid was ook aanwezig in de geldautomaten van Diebold Nixdorf.
Verder bleek dat de encryptiesleutels die NCR voor het signeren van software-updates gebruikte eenvoudig waren te kraken, waardoor een aanvaller zijn eigen kwaadaardige software zou kunnen signeren. Op deze manier was het mogelijk om de BNA-software te updaten of applicatiewhitelisting te omzeilen. Uiteindelijk zou de aanvaller zo willekeurige code op de computer van de geldautomaat kunnen uitvoeren.
Een ander probleem met de controle van software-updates deed zich voor bij het herstarten van de NCR-geldautomaten. Het updateproces zocht dan naar CAB-bestanden op een usb-stick en voerde vervolgens een bepaald bestand uit zonder eerst de digitale handtekening te controleren. Op deze manier had een aanvaller zijn code met systeemrechten op de machine kunnen uitvoeren.
Twee andere kwetsbaarheden in de geldautomaten van NCR zorgden ervoor dat een aanvaller met fysieke toegang de communicatie tussen de computer en het uitgiftekanaal kon manipuleren. Zo had een aanvaller opdrachten aan de computer kunnen geven om geld uit te geven. Op deze manier had een aanvaller de geldcassettes van de automaat kunnen legen. Zowel Diebold Nixdorf als NCR hebben beveiligingsupdates voor de kwetsbaarheid uitgebracht.
Onlangs waarschuwde Diebold Nixdorf nog voor aanvallen gericht tegen geldautomaten in Europa waarbij criminelen via jackpotting-aanvallen de inhoud van geldcassettes wisten te legen.
Je moet er als kraker natuurlijk wel snel bij zijn en je buit cashen bij andere automaten. Ik kan me voorstellen dat banken het snel doorhebben als iemand ineens 100.000 euro probeert te storten :-)
(is weer zo'n nutteloze melding ala "een kraker met de sleutel van de kluis zou misschien de kluis open kunnen maken")
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
Maar dan wel gedoseerd, want de electronica moet het blijven doen. Dus dan blijft de hele gevel opblazen toch gemakkelijker.
Je moet er als kraker natuurlijk wel snel bij zijn en je buit cashen bij andere automaten. Ik kan me voorstellen dat banken het snel doorhebben als iemand ineens 100.000 euro probeert te storten :-)
Ik vind de eerste kwetsbaarheid juist het minst spannend. Als je fysieke toegang hebt, kan je het geld ook uit de BNA wegnemen. Dan ben je afhankelijk van de hoeveelheid geld in de automaat, maar je laat minder sporen achter. En met fysieke toegang kan je zoveel meer doen. Wat dacht je van de hele BNA vervangen? Of bepaalde onderdelen in de BNA? Uiteindelijk kan je met fysieke toegang ook de hele geldautomaat vervangen.
Zoals je zelf al opmerkt, bij de bedragen die jij noemt zullen automatisch de alarmbellen op het fraude dashboard afgaan.
Interessanter (gevaarlijker) zijn de kwetsbaarheden waarmee je malware op de machines kan krijgen.
Het is mogelijk om wanneer je fysieke toegang hebt de geldcassettes mee te nemen. Die zijn niet makkelijk open te maken en, volgens persberichten, voorzien van kraakbeveiliging die het geld in de cassette bij gewelddadig openen onbruikbaar maakt.
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
Verder: nooit een losse geldautomaat in winkels zien staan? Dan zou ik maar wat vaker de stad/het dorp in gaan, je vind die dingen overal.
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
Het valt zo 'mee' dat de geldautomaten massaal weggehaald worden omdat de plof/ramkraken een risico voor de buurt vormen.
Verder: nooit een losse geldautomaat in winkels zien staan? Dan zou ik maar wat vaker de stad/het dorp in gaan, je vind die dingen overal.
Je ziet ze hier 'ook wel' . In een hoop landen zijn dergelijke 'losse' automaten in winkeltjes de norm - en dan, zo op het oog, minder dichte kasten dan de losse ING automaten die je hier dan nog wel ziet.
(van andere banken/instellingen heb ik in NL eigenlijk nooit een losstaande automaat gezien ).
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
De criminaliteit van het fysiek toegang krijgen tot een geldautomaat en er dan allerlei hacks op uitvoeren wellicht wel.
Maar de criminaliteit van het opblazen van geldautomaten om het geld er uit te jatten daarvan is Nederland juist een centrum, men rijdt van hieruit zelfs naar buurlanden toe om daar de automaten op te blazen. Meestal in snelle gestolen auto's. Gelukkig wil men zich nog wel eens te pletter rijden op die overmoedige rit. Als de politie er achter komt weten ze meestal te vluchten want die zet hier geen radicale middelen in om dat soort auto's te stoppen.
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
Verder: nooit een losse geldautomaat in winkels zien staan? Dan zou ik maar wat vaker de stad/het dorp in gaan, je vind die dingen overal.
Waarom eigenlijk? Geld opnemen in de winkel (met de bankpas) en dan bij de kassa met dat geld contant betalen.....
Ga dan gewoon pinnen als je toch een pas bij je hebt.
In het kader van "kijk maar er zit geen geld in" staan hier bij de lokale supermarkt de automaten gewoon open.
In landen met minder criminele cultuur dan Nederland staan geldautomaten los in winkeltjes.
Hoewel het bericht best de schijn heeft van 'onderzoeker met machine buit hype maximaal uit' is het niet overal theoretisch.
Verder: nooit een losse geldautomaat in winkels zien staan? Dan zou ik maar wat vaker de stad/het dorp in gaan, je vind die dingen overal.
Waarom eigenlijk? Geld opnemen in de winkel (met de bankpas) en dan bij de kassa met dat geld contant betalen.....
Ga dan gewoon pinnen als je toch een pas bij je hebt.
Het is niet gezegd dat je precies in de winkel met de automaat met geld betaalt dat je net opgenomen hebt.
Deels gewoon een klantenservice - mensen moeten ergens hun contante geld halen dat ze soms willen hebben.
zo'n losse automaat moet ook weer niet op straat staan (afgezien van criminelen - waterdicht, stroomaansluiting) etc.
Ik weet niet of de winkelier moet betalen dan wel betaald wordt voor het huisvesten van een ATM. Ik gok dat de winkelier betaald wordt.
In elk geval zijn er een stuk meer winkeltjes dan bankkantoren, dus een bank die een redelijke automaat-dichtheid wil hebben kan dat op die manier bereiken.
In het kader van "kijk maar er zit geen geld in" staan hier bij de lokale supermarkt de automaten gewoon open.
Een openstaande geldautomaat, thats a first for me. Mag ik vragen waar deze staat?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.