Langzeitanalyse: Das sind die besten Abwehrmaßnahmen gegen ATM- und PoS-Malware

Die Gefahr nimmt zu: Im Jahr 2019 wurden Geldautomaten (ATMs) und Online-Bezahlterminals (PoS-Terminals) mehr als doppelt so häufig angegriffen wie noch 2017. Das zeigt eine jetzt vorgestellte Langzeitanalyse der IT-Security-Experten von Kaspersky. Dabei fanden sich im vergangenen Jahr mehr als 8.000 Geräte weltweit, die von ATM- oder PoS-Malware betroffen waren. Unfreiwilliger Spitzenreiter ist dabei europaweit Deutschland – insgesamt 228 angegriffene Geldautomaten oder Zahlterminals wurden hier ausgemacht, was verglichen mit 58 im Jahr 2017 ein beachtlicher Anstieg ist, der Banken und Sparkassen aufhorchen lassen sollte. Das ist vor allem auch deswegen problematisch, weil Cyber-Kriminelle über ein kompromittiertes Gerät auch Zugang zur Infrastruktur – beispielsweise einer Bank – erhalten können.

Es ist wenig tröstlich, wenn die meisten betroffenen Geräte im Bereich der ATMs und PoS-Zahlungssysteme in Brasilien und Russland standen. Beide Länder gelten als traditioneller Hotspot für ATM-Schadprogramme und zielgerichtete Cyber-Angriffe auf Finanzinstitute und Banken. Dennoch gibt den deutschen Banken und Sparkassen der steigende Trend von Angriffen gegen in Deutschland befindliche Automaten und Terminals Anlass, sich Sorgen zu machen.

So entwickelt sich laut der Kaspersky-Analyse Malware im ATM- und PoS-Bereich ständig weiter: Beispielsweise ist aktuelle Schadsoftware bereits in der Lage, ihre Spuren zu verwischen oder kann ein Video-Ausspäh-Tool enthalten. Darüber hinaus sind Angreifer in der Lage, Geldautomaten dazu zu bringen, direkt Geld auszuspucken (Beispiel ATMJackpot) oder den Hintermännern Remotezugang ins Netzwerk einer Bank zu gewähren.

Das sind aktuell die gängigsten Angriffswege bei ATM-Malware

1. Port-Scanning: Zu Beginn suchen Cyber-Kriminelle oftmals nach offenen Ports, darauf laufenden Services und Schwachstellen dieser Services. Die gewonnenen Informationen ermöglichen es ihnen, einen wirksamen Angriffsvektor zu wählen.
2. Brute-Force-Angriffe: Über ein aktives Remote-Desktop-Protokoll (RDP) auf einem Geldautomaten oder PoS-System können Cyber-Kriminelle Zugriff auf ein Gerät erhalten. Dabei versuchen sie, das richtige Passwort zu “erraten”, indem sie mehrere Zeichenkombinationen an den Dienst übermitteln.
3. Denial-of-Service-Attacken: Durch das Versenden großer Datenmengen oder von Daten in einem Format, das von einer Anwendung nicht verarbeitet werden kann, kann ein Cyber-Krimineller die Arbeit eines eingebetteten Geräts stoppen (Denial of Service).
4. Netzwerkexploits: Cyber-Kriminelle nutzen nicht gepatchte Schwachstellen, um eine Infizierung einzuleiten.

Geldautomaten sind in mehrerer Hinsicht das ideale Ziel für Cyber-Kriminelle, weil darauf häufig veraltete Systeme laufen, die von Angreifern relativ einfach ausgenutzt werden können und Zugang zu einer großen Menge Bargeld bieten.“

Dmitry Bestuzhev, Sicherheitsforscher bei Kaspersky

Er sieht daher auch in Zukunft aller Voraussicht nach mehr Cyber-Attacken im Bereich ATM und PoS – und einen weiteren Trend: So versucht eine Gruppe von Cyber-Kriminellen in Lateinamerika gerade, ATM-Malware zu verkaufen, die spezifisch für jeden größeren Anbieter auf dem Markt im Rahmen eines Malware-as-a-Service-Models entwickelt wurde. „Finanzorganisationen sollten daher besonders wachsam sein und ihre Threat Intelligence sowie ihre Systeme entsprechend auf Vordermann bringen.“

Kaspersky-Empfehlungen zum Schutz von Geldautomaten und PoS-Terminals

Mit der kürzlich aktualisierten Lösung Kaspersky Embedded Systems Security [2] können Geldautomaten, PoS-Systeme sowie andere Windows-basierte eingebettete Geräte vor Malware geschützt und auch in Gebieten mit schwacher Internetverbindung per Fernwartung verwaltet und aktualisiert werden. Darüber hinaus werden mit der neuen Network-Threat-Protection-Komponente Angriffe auf Netzwerkebene verhindert.

Das Unternehmen rät zur nachhaltigen Absicherung von Geldautomaten.
– Eine Evaluierung der Angriffsvektoren ermöglicht die Erstellung eines spezifischen Bedrohungsmodells. Das Gefahrenpotenzial hängt von der Netzwerkarchitektur und dem Ort ab, an dem ein Geldautomat installiert ist – so macht es einen Unterschied aus, ob ein ATM an der Straße oder in der Filiale mit Videoüberwachung aufgestellt ist.
– Durchführung einer Bewertung, welche ATMs veraltet sind oder welches Betriebssystem sie nutzen, das womöglich nicht mehr vom Anbieter mit Updates versorgt wird.
– Regelmäßige von Sicherheitsexperten wie Kaspersky durchgeführte Security-Bewertung oder Penetrationstests zeigen mögliche Cyber-Angriffswege auf.
– Regelmäßige Überprüfung der physischen Sicherheit von ATMs, um möglicherweise von Angreifern am Gerät angebrachte Elemente wie Scammer zu beseitigen.

PoS-Terminals erfordern neben einer (falls möglich) installierten Embedded-Sicherheitslösung folgende Maßnahmen:

– Im Vergleich zu einem durchschnittlichen Geldautomaten sind Windows-basierte PoS-Terminals oft leistungsfähiger, bieten mehr Spielraum für die Taktiken von Angreifern und mehr Möglichkeiten für den Einsatz moderner Malware und Hacker-Tools. Die Implementierung von mehrschichtigem IT-Schutz ist hier essenziell, um PoS-Terminals effektiv abzusichern.
– Bezahlterminals befinden sich zudem im öffentlichen Raum und sind allgemein weniger gepanzert als Geldautomaten. Daher sind sie auch anfälliger für direkte Angriffe über nicht autorisierte Geräte. Eine adäquat konfigurierte Gerätekontrolle auf Softwarebasis ist hier dringend empfohlen.
– Da PoS-Terminals häufig nicht nur in die finanzielle Datenverarbeitung, sondern auch in die Verarbeitung persönlicher Daten involviert sind, erhöht dies ihre Attraktivität für Cyber-Kriminelle. Daher sollte die Implementierung eines Monitoring-Systems für die Datenintegrität und eine Prüfung der Protokolle obligatorisch sein, vorzugsweise so, dass Änderungen auch offline verfolgt werden können.
– Eingebettete Systeme sollten nicht nur von einer Host-based-Security-Lösung geschützt werden, sondern auch von einer Applikation auf Netzwerkebene – beispielsweise über sichere Web-Gateways oder Next-Gen-Firewalls. Somit können unerwünschte Konfigurationen und nichtautorisierte Systeme, sowohl innerhalb als auch außerhalb der Netzwerkinfrastruktur einer Organisation entdeckt und unterbunden werden.

Die Analyse “A look at the ATM/PoS Malware lancscape from 2017 to 2019” steht zum kostenlosen Downaload bereit. tw