Solange es Geldautomaten gibt, wird es auch Hacker geben, die sie um ihr Geld bringen. Obwohl Malware, die auf Geldautomaten abzielt und diese dazu zwingt, Bargeld auszuspucken, schon seit einigen Jahren auf dem Vormarsch ist, nimmt eine neuere Variante dieses Schemas das Konzept wörtlich und verwandelt die Schnittstelle des Automaten in eine Art Spielautomat.
Wie von Kaspersky Lab beschrieben, befällt die so genannte WinPot-Malware eine, wie die Sicherheitsforscher sagen, „beliebte“ Geldautomatenmarke. Um WinPot zu installieren, benötigt ein Hacker entweder physischen oder Netzwerk-Zugang zu einem Geldautomaten; wenn man an der richtigen Stelle ein Loch schneidet, ist es einfach genug, einen seriellen Port anzuschließen. Sobald die Malware aktiviert ist, ersetzt sie die Standardanzeige des Geldautomaten durch vier Schaltflächen mit der Aufschrift „SPIN“ – eine für jede Kassette, d. h. die Geldausgabebehälter in einem Geldautomaten. Unter jeder dieser Schaltflächen werden die Anzahl der Banknoten in der jeweiligen Kassette sowie die Gesamtwerte angezeigt. Tippen Sie auf SPIN, und das Geld kommt heraus. Tippen Sie auf STOP, und Sie wissen schon. (Aber warum sollten Sie als Geldautomaten-Cyberdieb das tun?)
„Diese Leute haben einen Sinn für Humor und etwas Freizeit.“
Konstantin Zykov, Kaspersky Lab
Kaspersky begann im März letzten Jahres mit der Verfolgung der WinPot-Malware-Familie und hat in dieser Zeit einige technische Versionen des Themas gesehen. Tatsächlich scheint WinPot eine eigene Variante zu sein, die von einer beliebten ATM-Malware aus dem Jahr 2016 namens Cutlet Maker inspiriert wurde. Cutlet Maker zeigte ebenfalls detaillierte Informationen über den Inhalt seiner Opfer-Geldautomaten an, verwendete aber statt des Slot-Motivs das Bild eines stereotypen Kochs, der zwinkert und die Handgeste für „OK“ macht.“
Die Ähnlichkeiten sind ein Merkmal, kein Fehler. Die neuesten Versionen der „Cashout“-Software für Geldautomaten enthalten nur kleine Verbesserungen im Vergleich zu früheren Generationen“, sagt Konstantin Zykov, Senior Security Researcher bei Kaspersky Lab. „Diese Verbesserungen ermöglichen es den Kriminellen, den Jackpot-Prozess zu automatisieren, da Zeit für sie ein kritischer Faktor ist.“
Dies erklärt auch die absurdistische Haltung, die Geldautomaten-Hacker in letzter Zeit an den Tag gelegt haben – eine untypische Eigenschaft in einem Bereich, der sich der Geheimhaltung und dem Verbrechen verschrieben hat. ATM-Malware ist im Grunde genommen unkompliziert und kampferprobt, was ihren Besitzern Raum für kreatives Flair lässt. Die skurrile Neigung in WinPot und Cutlet Maker „ist normalerweise nicht in anderen Arten von Malware zu finden“, fügt Zykov hinzu. „Diese Leute haben einen Sinn für Humor und etwas Freizeit.“
Schließlich sind Geldautomaten in ihrem Kern Computer. Und nicht nur das, es sind Computer, auf denen oft veraltete, sogar nicht unterstützte Versionen von Windows laufen. Die Haupteinstiegshürde besteht darin, dass die meisten dieser Bemühungen einen physischen Zugang zum Automaten erfordern, was ein Grund dafür ist, dass ATM-Malware in den USA mit ihrer relativ ausgeprägten Präsenz der Strafverfolgungsbehörden nicht populärer geworden ist. Viele Geldautomaten-Hacker setzen so genannte Money Mules ein, also Personen, die das gesamte Risiko der Geldentnahme aus dem Gerät übernehmen und im Gegenzug einen Anteil an der Aktion erhalten.
Aber WinPot und Cutlet Maker haben eine noch wichtigere Eigenschaft als die der Gaunerei gemeinsam: Beide wurden im Dark Web zum Verkauf angeboten. Kaspersky fand heraus, dass man die neueste Version von WinPot für nur 500 Dollar erwerben kann. Das ist ungewöhnlich für Geldautomaten-Hacker, die ihre Arbeit bisher streng geheim gehalten haben.
„In jüngster Zeit sehen wir bei Malware wie Cutlet Maker und WinPot, dass dieses Angriffswerkzeug jetzt für relativ wenig Geld im Handel erhältlich ist“, sagt Numaan Huq, leitender Bedrohungsforscher bei Trend Micro Research, das sich 2016 mit Europol zusammengetan hat, um einen umfassenden Überblick über den Stand des Geldautomaten-Hackings zu geben. „
WinPot und Cutlet Maker stellen nur einen Teil des ATM-Malware-Marktes dar. Ploutus und seine Varianten haben seit 2013 Geldautomaten heimgesucht und können einen Geldautomaten dazu zwingen, in wenigen Minuten Tausende von Dollar auszuspucken. In einigen Fällen musste ein Hacker lediglich eine Textnachricht an ein kompromittiertes Gerät senden, um eine unerlaubte Abhebung vorzunehmen. Der in Russland verbreitete Typukin-Virus reagiert nur in bestimmten Zeitfenstern am Sonntag- und Montagabend auf Befehle, um die Wahrscheinlichkeit, entdeckt zu werden, zu minimieren. Prilex scheint in Brasilien entwickelt worden zu sein und ist dort weit verbreitet. Es geht immer weiter.
Es ist relativ einfach, diese Art von Malware zu stoppen: Die Hersteller können eine Whitelist mit zugelassener Software erstellen, die der Geldautomat ausführen darf, und alles andere blockieren. Gerätekontrollsoftware kann auch verhindern, dass unbekannte Geräte – wie ein Malware-haltiger USB-Stick – überhaupt angeschlossen werden. Denken Sie an den letzten Geldautomaten, den Sie benutzt haben, und daran, wie lange es her ist, dass er aktualisiert wurde.
Erwarten Sie also, dass das Hacken von Geldautomaten immer beliebter wird – und immer absurder. Im Moment ist es buchstäblich Spaß und Spiel. „Die Kriminellen haben einfach nur Spaß“, sagt Zykov. „Wir können nur spekulieren, dass sie, da die Malware selbst nicht so kompliziert ist, Zeit für diese ‚Spaß‘-Funktionen haben.“
More Great WIRED Stories
- Hacker-Lexikon: Was ist Credential Stuffing?
- Mein Leben online – ohne all die Metriken
- Warum sich eine Traube in der Mikrowelle in einen Feuerball verwandelt
- Sieh dir alle Tools und Tricks an, mit denen Nascar fährt
- Die Redditors, die r/FatPussy (und andere Subs) zurückerobert haben
- 👀 Suchst du die neuesten Gadgets? Dann schau dir unsere aktuellen Kaufratgeber und die besten Angebote für das ganze Jahr an
- 📩 Willst du mehr? Melden Sie sich für unseren täglichen Newsletter an und verpassen Sie nie wieder unsere neuesten und besten Artikel