Cybercrime07.10.2014

Zo wordt dus zonder gebruik van creditcard miljoenen gestolen uit bankautomaten


Kaspersky Lab en INTERPOL waarschuwen voor geïnfecteerde geldautomaten

Interpol en Kaspersky waarschuwen voor pinautomaten geïnfecteerd met malware, waardoor miljoenen worden weggegeven, zonder het gebruik van een creditcard of bankpas. 

Experts van Kaspersky Lab hebben een forensisch onderzoek uitgevoerd naar cyberaanvallen waarbij geldautomaten het doelwit zijn. Tijdens dit onderzoek ontdekten de onderzoekers van het bedrijf malware die geldautomaten infecteert en waarmee aanvallers de geldmachines via rechtstreekse manipulatie kunnen leegtrekken en zo miljoenen buitmaken. INTERPOL heeft de getroffen lidstaten gewaarschuwd en biedt assistentie bij lopende onderzoeken.

Ze opereren ’s nachts – alleen op zondag en maandag. Ze voeren een cijfercombinatie in met de toetsen van de geldautomaat zonder voorafgaand een creditcard in de sleuf van de automaat te steken, ze bellen voor verdere instructies van een operator, voeren nog een aantal cijfers in waarna de geldautomaat geld uit begint te geven, veel geld. En vervolgens gaan ze weg.

Waarom de aanvallen slaagden

De criminelen werken in twee fases. Eerst gaan ze fysiek naar de geldautomaat toe waar ze met behulp van een zelfstartende cd-rom de malware installeren – Kaspersky Lab heeft deze de codenaam Tyupkin gegeven. Vervolgens starten ze het systeem opnieuw op en hebben zij de controle over de geïnfecteerde geldautomaat.

Nadat het de criminelen gelukt is om de geldautomaat te infecteren, blijft de malware doorlopend actief en wacht deze op een opdracht. Om de fraude minder op te laten vallen, hebben ze de Tyupkin-malware zo ingesteld dat deze alleen opdrachten op specifieke tijden op zondag- en maandagnacht accepteert. Op die uren kunnen de criminelen geld stelen van de geïnfecteerde automaat.

Uit videobeelden van de beveiligingscamera’s van de geïnfecteerde geldautomaten wordt duidelijk welke methode gebruikt wordt om het geld van de automaten vrij te geven. Bij iedere sessie wordt opnieuw een unieke cijfercombinatie gegenereerd op basis van willekeurige cijfers. Hierdoor kan niemand buiten de bende per toeval profiteren van de fraude. De kwaadwillende operator ontvangt vervolgens telefonisch instructies van een ander lid uit de bende dat het algoritme kent en een sessiecode kan instellen op basis van de getoonde cijfers. Dit geeft aan dat de personen die het geld ophalen, niet alleen opereren.

Wanneer de cijfercombinatie correct wordt ingevoerd, toont de geldautomaat informatie over hoe veel geld er in iedere cassette zit en wordt de operator gevraagd te kiezen uit welke cassette hij geld wil stelen. Hierna geeft de geldautomaat 40 bankbiljetten per keer uit vanuit de gekozen cassette.

De Tyupkin-malware

Op verzoek van een financiële instelling heeft het Global Research and Analysis Team (GReAT) van Kaspersky Lab een forensisch onderzoek uitgevoerd naar deze cyberaanvallen. De ontdekte malware, die door Kaspersky Lab Backdoor.MSIL.Tyupkin wordt genoemd, is tot nu toe gesignaleerd bij geldautomaten in Latijns-Amerika, Europa en Azië.

“De afgelopen jaren hebben we een grote toename gezien in het aantal aanvallen op geldautomaten waarbij er gebruik werd gemaakt van skimapparatuur en schadelijke software. We zien nu dat deze bedreiging zich op natuurlijke wijze verder ontwikkelt en dat cybercriminelen een stapje verder gaan: ze vallen rechtstreeks financiële instellingen aan. Dit doen ze door zelf geldautomaten te infecteren of door rechtstreeks tegen banken een geavanceerde hardnekkige dreiging (APT) op te zetten. De Tyupkin-malware is een voorbeeld waarbij de aanvallers gebruik maken van zwakheden in de infrastructuur van geldautomaten,” aldus Vicente Diaz, Principal Security Researcher binnen het Global Research and Analysis Team van Kaspersky Lab.

“We raden banken ten zeerste aan de fysieke beveiliging van hun geldautomaten en de netwerkinfrastructuur te controleren en in hoogwaardige beveiligingsoplossingen te investeren,” voegt Diaz toe.

Sanjay Virmani, Directeur van het INTERPOL Digital Crime Centre, zegt het volgende over de kwestie: “Criminelen ontdekken steeds nieuwe manieren hoe ze misdaden kunnen begaan. Daarom is het van essentieel belang dat we de politie in onze lidstaten blijven betrekken en informeren over huidige trends en de werkwijzen van criminelen.”

Wat banken kunnen doen om het risico te verkleinen:

-De fysieke beveiliging van hun geldautomaten controleren en overwegen om te investeren in hoogwaardige beveiligingsoplossingen.

-Alle sloten en mastercodes in de bovenkap van de geldautomaten vervangen en fabrieksinstellingen wijzigen.

-Een alarm installeren en controleren of dit goed werkt. De cybercriminelen achter Tyupkin infecteerden alleen geldautomaten die niet waren voorzien van een beveiligingsalarm.

-Het standaard BIOS-wachtwoord wijzigen.

-Controleren of de anti-virusbescherming van de automaten up-to-date is.

Voor advies over hoe te controleren of geldautomaten geïnfecteerd zijn, kan men contact opnemen met Kaspersky Lab via intelreports@kaspersky.com. Om het systeem van de geldautomaat volledig te laten nakijken en het achterdeurtje te laten verwijderen, kunnen banken gebruik maken van de gratis Kaspersky Virus Removal Tool (download hier).

...

Verder lezen over Malware

Het allerbelangrijkste gereedschap van cybercriminelen is JOUW browser!

Het allerbelangrijkste gereedschap van cybercriminelen draait al gewoon op jouw desktop, laptop of notebook. Ik heb het natuurlijk over de browser software die jij gebruikt, zoals Microsoft Edge, Google Chrome, Mozilla Firefox, etc. In de meeste gevallen zijn het namelijk browsers die cybercriminelen toegang verschaffen tot persoonlijke data of bankrekeningen.

Cybercrime11.10.2024

Het allerbelangrijkste gereedschap van cybercriminelen is JOUW browser!

Gebruik daarom liever apps op tablets of smartphones voor de allergevoeligste gegevens
Google Play bevat al jarenlang malware genaamd Mandrake

Wist je dat er al jaren malware in de Play Store van Google staat? Het is zelfs 'bekende' malware, genaamd Mandrake.

Cybercrime31.07.2024

Google Play bevat al jarenlang malware genaamd Mandrake

Temu wordt nu zelfs bestempeld als gevaarlijke malware

Een nieuwe rechtszaak tegen Temu stelt dat het Chinese platform er aantoonbaar ver in gaat: het zou je tekstberichten op je telefoon meelezen.

Cybercrime01.07.2024

Temu wordt nu zelfs bestempeld als gevaarlijke malware

5 tips om online veilig te zijn

Heb jij wel eens een bericht ontvangen, met een eis om nu te betalen of je foto’s zullen online worden gezet? Of je krijgt een telefoontje en je hoort een tape van een of andere officiële instelling zoals Interpol, met de mededeling dat jouw identiteit is betrokken bij een fraudezaak en met de te nemen stappen.

Online20.05.2024

5 tips om online veilig te zijn

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

Cybercrime15.05.2024

App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties

En dat in slechts 4 jaar tijd
Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Fortinet heeft een nieuwe editie van het Global Threat Landscape Report uitgebracht. In deze nieuwe editie van dit halfjaarlijkse rapport zien we de trends uit de periode van juli tot en met december 2023.

Cybercrime08.05.2024

Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden

Zo blijkt uit nieuw Global Threat Landscape Report van Fortinet
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

In heel Nederland, maar ook in de rest van Europa, zorgen de toenemende kosten van levensonderhoud en de inflatie voor sombere economische vooruitzichten voor het komende jaar. Met als logisch gevolg dat we wat meer gaan...

Cybercrime05.02.2024

Consumenten bezuinigen op kosten, maar helaas ook op privacy en security

Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro

Volgens de Fraudehelpdesk hebben in 2023 maar liefst 494 mensen aangifte gedaan van datingfraude, waarvan 264 mensen ook flink schade hebben geleden. De totale schade als gevolg van datingfraude in 2023 bedraagt €7.644...

Online29.01.2024

Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro

75% meer dan in 2022