Mit Hilfe einer Schadsoftware haben Hacker Geldautomaten so manipulieren können, dass sie Beträge in Millionenhöhe erbeuten konnten. Die Täter spielten die Software über das CD-Laufwerk der Automaten auf, berichtet das Sicherheitsunternehmen Kaspersky. Interpol soll die Ermittlungen aufgenommen und die betroffenen Staaten informiert haben.
Manipuliert wurden laut Kaspersky die Geldautomaten eines großen Herstellers, die nicht mit Alarmanlagen ausgestattet sind. Geldautomaten bestehen aus zwei getrennten Einheiten: Im unteren Tresor sind die Geldkassetten, üblicherweise drei bis vier, gesichert. Im separaten oberen Teil befindet sich der Steuerungs-PC mit Tastatur.
Bilder von Überwachungskameras zeigen, wie die Täter die Geldautomaten öffnen und eine bootfähige CD in das CD-Laufwerk einlegen. So können sie die Schadsoftware "Tyupkin" auf das System der Automaten aufspielen. Nach einem Neustart des Systems ist der infizierte Automat unter der Kontrolle der Täter.
Automat gibt jeweils 40 Scheine aus
Die Schadsoftware kann dann über eine Erweiterung für Finanzdienste – die Standardbibliothek MSXFS.dll – mit den infizierten Geldautomaten kommunizieren. Sie startet eine Endlosschleife und wartet auf Eingaben des Nutzers.
Nach Eingabe eines korrekten Schlüssels zeigt ein manipulierter Geldautomat an, wie viel Bargeld in jeder Geldkassette verfügbar ist und fordert dazu auf, eine Kassette auszuwählen. Anschließend gibt der Geldautomat jeweils 40 Banknoten der ausgewählten Kassette aus.
Auszahlung nur zu bestimmten Zeiten
Um die Manipulation zu verschleiern, sind Eingaben nur Sonntag- und Montagnacht möglich – Zeiten, zu denen Geldautomaten wenig frequentiert sind. Damit nicht zufällig Unbeteiligte von der Manipulation profitieren können, werden für jede Sitzung neue Kombinationen aus zufälligen Zahlen generiert. Auf Basis der Nummern wird ein Schlüssel für die Ausgabe des Geldes erstellt, die die Täter am Automaten eingeben müssen.
Die Attacke sei einer der umfassendsten Hackerangriffe ihrer Art, sagte Vicente Diaz, Sicherheitsanalyst bei Kaspersky. Betroffen seien Geldautomaten in Europa, den USA und Asien. Banken und Finanzinstitute sollten dringend die physische Sicherheit ihrer Automaten überprüfen, denn die Täter sind weiterhin aktiv.