Nieuwe versie van „Skimmer-Trojans“ verspreidt zich op pinautomaten

Pinautomaten zijn uit de financiële wereld niet meer weg te denken: even snel een paar flappen tappen is heel gewoon. Dat zulke apparaten niets anders zijn dan “gewone” computers en dus ook besmet kunnen raken met een virus, realiseert zich niet iedereen. Een Russische hackergroep gaat daarbij verraderlijk te werk.

Skimmers – sinds 7 jaar aktief

De veilgeheidsfirma Kaspersky ontdekte, op 10 duizenden bankautomaten wereldwijd, een nieuwe versie van de zogenaamde Skimmer-Trojan, welke voor het eerst in 2009 werd verspreid. Iedere Trojan kan onder andere creditcard-data uitlezen, welke dan weer op de zwarte markt doorverkocht worden.

Hoe komt Malware in een pin automaat?

Er zijn twee mogelijkheden:

1. De malware bevindt zich door bv. een hack al in het netwerk van een bank en kan daardoor ook de pinautomaat besturen. Helaas worden vele automaten nog bestuurd door het 15 jaar oude Windows XP systeem, dat bol staat van beveiligingslekken.

2. De Malware wordt met behulp van een USB stick direct op een pinautomaat geïnstalleerd. Sluwe criminelen hoeven alleen het slot op een automaat te kraken en de USB stick met de Malware, kort er in te plaatsen. Dit kost slechts 1 minuut tijd.

Waar komt die malware vandaan?

In 2009 doken de eerste versies van deze schadesoftware op, en vervolgens steeds verder ontwikkeld. Werkten de hackers aanvankelijk nog wat onstuimig, tegenwoordig zijn ze veel voorzichtiger: de Malware wordt slechts zeer kort op de zwarte markt aangeboden, de tijd vanaf de installatie op de pinautomaat tot het verkopen van de data is slechts enkele maanden.

Hoe gebruiken de hackers de malware?

Als deze is geïnstalleerd, gebeurt er nog niets. Voor de aansturing van de software hebben de hackers iets bijzonders bedacht: ze activeren of deactiveren bepaalde schadelijke functies met een speciale magneetkaart, die ze in de pinautomaat steken.

Na het invoeren van de magneetkaart heeft de hacker 60 seconden de tijd om de juiste pincode in te voeren, waarmee het keuze menu van de malware geopend wordt. Er verschijnen 21 verschillende opties, bijvoorbeeld het overdragen van de verzamelde creditcard data, uitbetalen van ongelooflijk veel geld (zelfs de geld cassette kan uitgekozen worden), of een update uitvoeren.

In de meeste gevallen wordt alleen de kaart data verzameld en op een blanco pasje geschreven, waarna ze vervolgens met de ene pinpas na de andere geld afhalen, dit om het risico van ontdekking zo klein mogelijk te houden.

Hoever is de malware verspreid?

De nieuwste versie stamt uit begin mei 2016 en ontdekt in meerdere test laboratoria. Onder andere Duitsland, De Verenigde Arabische Emiraten, Frankrijk, Amerika, Rusland, Macau, de Filipijnen, Spanje, Georgië, Polen, Brazilië en de Tsjechische republiek. Van de globale vorige Malware (47 versies) staan er nog 37 op de automaten van een fabrikant, die hier niet genoemd wordt. Het is onduidelijk het of deze op geldautomaten staan of bijvoorbeeld bij beveiligingsbedrijven of administratiekantoren.

Hoe kan ik me daarvoor beschermen?

Helaas heeft een klant van een bank weinig invloed op het besturingssysteem dat gebruikt wordt voor de pinautomaten en/ of over de veiligheid daarvan. Uiteraard kun je je bank er op attent maken dat Kaspersky gratis software ter beschikking stelt, waarmee de eigen pinautomaten gescand kunnen worden.

Sergey Golovanov, Principal Security Researcher van Kaspersky Lab, zegt daarover:

„Er bestaat een belangrijke tegenmaatregel die in deze speciale gevallen kan worden toegepast:: Backdoor.Win32.Skimmer wordt door bepaalde informatie, 9 speciale nummers, die op de magneetstrip van een kaart staan, geactiveerd. We hebben de activeringscodes, die door de malware gebruikt worden, ontdekt en stellen die voor banken beschikbaar. Als een bank in het bezit is van deze nummers, dan kunnen ze pro actief in hun beveiligingssysteem naar deze getallen op zoek gaan, mogelijk geïnfecteerde automaten opsporen ,Money Mules‘ ontdekken en iedere poging tot activering van de Malware blokkeren.“

Vooralsnog is het een optie, als je twijfelt aan de beveiliging van de pinautomaat, gewoon aan de kas contant geld op te nemen, om het risico van gestolen kaart data te minimaliseren.

Vertaling: Suzanne, mimikama.nl