Interpol en Kaspersky waarschuwen voor pinautomaten geïnfecteerd met malware, waardoor miljoenen worden weggegeven, zonder het gebruik van een creditcard of bankpas.
Experts van Kaspersky Lab hebben een forensisch onderzoek uitgevoerd naar cyberaanvallen waarbij geldautomaten het doelwit zijn. Tijdens dit onderzoek ontdekten de onderzoekers van het bedrijf malware die geldautomaten infecteert en waarmee aanvallers de geldmachines via rechtstreekse manipulatie kunnen leegtrekken en zo miljoenen buitmaken. INTERPOL heeft de getroffen lidstaten gewaarschuwd en biedt assistentie bij lopende onderzoeken.
Ze opereren ’s nachts – alleen op zondag en maandag. Ze voeren een cijfercombinatie in met de toetsen van de geldautomaat zonder voorafgaand een creditcard in de sleuf van de automaat te steken, ze bellen voor verdere instructies van een operator, voeren nog een aantal cijfers in waarna de geldautomaat geld uit begint te geven, veel geld. En vervolgens gaan ze weg.
Waarom de aanvallen slaagden
De criminelen werken in twee fases. Eerst gaan ze fysiek naar de geldautomaat toe waar ze met behulp van een zelfstartende cd-rom de malware installeren – Kaspersky Lab heeft deze de codenaam Tyupkin gegeven. Vervolgens starten ze het systeem opnieuw op en hebben zij de controle over de geïnfecteerde geldautomaat.
Nadat het de criminelen gelukt is om de geldautomaat te infecteren, blijft de malware doorlopend actief en wacht deze op een opdracht. Om de fraude minder op te laten vallen, hebben ze de Tyupkin-malware zo ingesteld dat deze alleen opdrachten op specifieke tijden op zondag- en maandagnacht accepteert. Op die uren kunnen de criminelen geld stelen van de geïnfecteerde automaat.
Uit videobeelden van de beveiligingscamera’s van de geïnfecteerde geldautomaten wordt duidelijk welke methode gebruikt wordt om het geld van de automaten vrij te geven. Bij iedere sessie wordt opnieuw een unieke cijfercombinatie gegenereerd op basis van willekeurige cijfers. Hierdoor kan niemand buiten de bende per toeval profiteren van de fraude. De kwaadwillende operator ontvangt vervolgens telefonisch instructies van een ander lid uit de bende dat het algoritme kent en een sessiecode kan instellen op basis van de getoonde cijfers. Dit geeft aan dat de personen die het geld ophalen, niet alleen opereren.
Wanneer de cijfercombinatie correct wordt ingevoerd, toont de geldautomaat informatie over hoe veel geld er in iedere cassette zit en wordt de operator gevraagd te kiezen uit welke cassette hij geld wil stelen. Hierna geeft de geldautomaat 40 bankbiljetten per keer uit vanuit de gekozen cassette.
De Tyupkin-malware
Op verzoek van een financiële instelling heeft het Global Research and Analysis Team (GReAT) van Kaspersky Lab een forensisch onderzoek uitgevoerd naar deze cyberaanvallen. De ontdekte malware, die door Kaspersky Lab Backdoor.MSIL.Tyupkin wordt genoemd, is tot nu toe gesignaleerd bij geldautomaten in Latijns-Amerika, Europa en Azië.
“De afgelopen jaren hebben we een grote toename gezien in het aantal aanvallen op geldautomaten waarbij er gebruik werd gemaakt van skimapparatuur en schadelijke software. We zien nu dat deze bedreiging zich op natuurlijke wijze verder ontwikkelt en dat cybercriminelen een stapje verder gaan: ze vallen rechtstreeks financiële instellingen aan. Dit doen ze door zelf geldautomaten te infecteren of door rechtstreeks tegen banken een geavanceerde hardnekkige dreiging (APT) op te zetten. De Tyupkin-malware is een voorbeeld waarbij de aanvallers gebruik maken van zwakheden in de infrastructuur van geldautomaten,” aldus Vicente Diaz, Principal Security Researcher binnen het Global Research and Analysis Team van Kaspersky Lab.
“We raden banken ten zeerste aan de fysieke beveiliging van hun geldautomaten en de netwerkinfrastructuur te controleren en in hoogwaardige beveiligingsoplossingen te investeren,” voegt Diaz toe.
Sanjay Virmani, Directeur van het INTERPOL Digital Crime Centre, zegt het volgende over de kwestie: “Criminelen ontdekken steeds nieuwe manieren hoe ze misdaden kunnen begaan. Daarom is het van essentieel belang dat we de politie in onze lidstaten blijven betrekken en informeren over huidige trends en de werkwijzen van criminelen.”
Wat banken kunnen doen om het risico te verkleinen:
-De fysieke beveiliging van hun geldautomaten controleren en overwegen om te investeren in hoogwaardige beveiligingsoplossingen.
-Alle sloten en mastercodes in de bovenkap van de geldautomaten vervangen en fabrieksinstellingen wijzigen.
-Een alarm installeren en controleren of dit goed werkt. De cybercriminelen achter Tyupkin infecteerden alleen geldautomaten die niet waren voorzien van een beveiligingsalarm.
-Het standaard BIOS-wachtwoord wijzigen.
-Controleren of de anti-virusbescherming van de automaten up-to-date is.
Voor advies over hoe te controleren of geldautomaten geïnfecteerd zijn, kan men contact opnemen met Kaspersky Lab via intelreports@kaspersky.com. Om het systeem van de geldautomaat volledig te laten nakijken en het achterdeurtje te laten verwijderen, kunnen banken gebruik maken van de gratis Kaspersky Virus Removal Tool (download hier).