Montag, 16.12.2019
 
Seit 09:10 Uhr Europa heute
StartseiteComputer und KommunikationTrojaner als Innentäter20.04.2013

Trojaner als Innentäter

Kriminelle greifen mit Skimming-Software Kreditkarteninformationen direkt am Geldautomaten ab

Noch vor nicht allzu langer Zeit manipulierten Kriminelle die Hardware von Geldautomaten, um an die Daten von fremden EC- oder Kreditkarten zu gelangen. Heute funktioniert diese als "Skimming" bekannte Straftat auch virtuell – mithilfe eines Trojaners.

Von Peter Welchering

Die deutschen Banken und Sparkassen sehen sich gegen Skimming-Trojaner gut gewappnet. (AP)
Die deutschen Banken und Sparkassen sehen sich gegen Skimming-Trojaner gut gewappnet. (AP)
Mehr bei deutschlandradio.de

Links bei dradio.de:

Tückisches Plastikgeld
60 Millionen Euro Schaden

"Viele Kreditkarten-Authentifizierungsmechanismen arbeiten mit Onlineverbindungen, und da ist es sozusagen im Restrisiko des Bankbetreibers zu sagen, ich brauche eine Internetverbindung oder nicht. Und es ist halt in der Regel wirklich so, dass immer mehr Terminals eine Onlineverbindung haben. Früher hat man eben eine Kamera installiert, hat man noch einen zweiten Kartenlese- Schacht davor geflanscht, vor dieses Terminal, um eben diese Kreditkarteninformation oder EC-Karteninformationen zu klauen. Deswegen funktioniert eben heute das ganze auch virtuell über einen Virus."

Manfred Kloiber: Das sagt Rolf Haas, Virenexperte bei McAfee. Haas und Kollegen haben einen Trojaner namens VSkimming gefunden, der sich in Geldautomaten und Kreditkartenterminals einnistet und dort die Karteninformationen einfach stiehlt. Die russische Sicherheitsfirma Group IB hat zeitgleich eine Schadsoftware namens "Dump Memory Grabber" nachgewiesen, die Karten an Kassenterminals und Geldautomaten ausspioniert. Müssen wir jetzt eigentlich ständig mit Computerviren in Geldautomaten rechnen, die unsere Kartendaten einfach abgreifen, Peter Welchering?

Peter Welchering: Wir müssen zur Kenntnis nehmen, dass die Gefahr größer geworden ist. Und wir müssen zur Kenntnis nehmen, dass die Zahl der Viren, also der Schadsoftware, die auf Geldautomaten und Kassenterminals eingeschleust wird, um die Konten der Kreditkarten- oder Kundenkarteninhaber zu plündern, ganz massiv ansteigt. Und das macht den Experten Sorgen. Zwei Trends sind dabei besonders wichtig: Zum einen wird die Skimming-Software für die Geldautomaten und die Terminals immer billiger. Und inzwischen bieten – das ist der zweite Trend – sogar zumindest fünf Organisationen die komplette Infrastruktur, also die komplette IT-Infrastruktur für den Kartenraub am Geldautomaten sogar auf Provisionsbasis an. Also die Schadsoftware, die über Wartungsschnittstellen oder Onlineverbindungen auf die Geldautomaten oder Kassenterminals gebracht wird. Dann auch die Kontrollserver, an die die geklauten Karteninformationen geschickt werden. Das kann man alles mieten und lässt dann dem Vermieter eine Provision. Und das lässt eine Welle von Karten-Skimming für die nächsten Monate und Jahre erwarten.

Kloiber: In den guten alten Zeiten haben die Kriminellen für das Skimming von Kreditkarten noch einen Zusatzleseschacht am Geldautomaten und eine kleine Kamera über der Tastatur angebracht, um eben diese Kontoinformationen und Geheimzahl abgreifen zu können. Heute schleusen sie einfach einen Computervirus ein und lassen sich die Informationen bequem auf ihren Server zu Hause schicken.

Beginn Beitrag:

Die ersten Trojaner auf Geldautomaten hat der Virenexperte Vanja Svaczer bereits im Jahr 2009 nachgewiesen. Damals waren überwiegend Geldautomaten des Herstellers Diebold betroffen. Die Trojaner wurden dort über eine Wartungsschnittstelle eingeschleust. Nachdem eine Sicherheitslücke in der Wartungsschnittstelle beseitigt wurde, glaubten Banken und Sparkassen, die Bedrohung durch sogenannte Skimming-Trojaner abgewehrt zu haben. Sie wähnten sich selbst dann noch auf der sicheren Seite, als ab Frühjahr 2010 immer wieder Meldungen aufkamen, dass Kartenterminals im Einzelhandel von einer Schadsoftware befallen seien, die Kreditkarteninformationen von Kunden ausspioniert und an Server der organisierten Kriminalität weitersendet.

Doch seit einigen Tagen steht nach übereinstimmenden Analysen mehrerer Sicherheitsunterunternehmen fest: In den Betriebssystemen von Kreditkartenterminals, in Geldautomaten und in Geschäften ist in gleich mehreren Ländern eine Spionagesoftware nachgewiesen worden, die Kreditkarteninformationen ausspäht. Rolf Haase, Sicherheitsexperte bei McAfee, erläutert, welche Details die Virenanalysten herausgefunden haben:

"Also in diesem konkreten Fall, ist es so, dass die SVC-Host, das ist eine zentrale DLL des Betriebssystems Windows, hier manipuliert wurde und eben auch noch weiterer Code hiermit zugespielt wird, temporär, über das Nachladen dieses Trojaners aus dem Netz. Und dieser Mechanismus arbeitet ebenso, dass zum einen Log-Informationen benötigt werden, die das System selbst erzeugt, zum anderen aber auch Daten sozusagen on the fly, wenn die Karten live am Kartenlesegerät eingespielt werden, genutzt werden und sofort übertragen werden, weil nichts ist wichtiger für diese Angreifer, als diese Informationen sofort weiter zu verwenden."

Die Schadsoftware hat sich also tief in das Betriebssystem von Geldautomaten und Kartenterminals eingenistet. Bei oberflächlichen Sicherheitschecks ist sie gar nicht aufgefallen. Erst sehr aufwendige Analysen brachten die Bedrohung an den Tag. Wie hoch die Schäden sind, die durch das virale Ausspähen von Kreditkarteninformationen allein während der vergangenen Wochen entstanden sind, kann im Augenblick niemand abschätzen. Der Skimming-Trojaner nutzt dabei Sicherheitslücken des Betriebssystems Windows aus. Rolf Haas.

"Das Ganze basiert in der Regel komplett auf Windows. Meistens ist es sogar noch ein Windows NT, in sehr vielen Fällen, gerade im Ausland noch. Wir in Deutschland haben sehr viele Unternehmen umgerüstet, da läuft mittlerweile schon ein embedded Windows 7 drauf. Aber das Ganze basiert erst einmal auf Windows, und darauf aufgeflanscht ist nicht nur dieses kleine Stück Software oder dieses Softwareelement, was diese Karten sauber adressiert und ausliest. Die Intelligenz besteht eigentlich darin, nicht nur Information herauszulesen, sondern möglicherweise auch Log-Files oder andere Daten, die temporär abgespeichert werden von diesen Systemen, um sie dann weiter zu nutzen."

Auf diese Weise werden nicht nur Kreditkarteninformationen erbeutet. In einigen Fällen wurden auch EC-Karten manipuliert. Dahinter stecken hochgerüstete kriminelle Organisationen, die über technisches Insider-Wissen der Geldautomatenhersteller und Terminalausrüster verfügen und sich so über LAN, über drahtlose lokale Netzwerke Zugang zu den Rechnernetzen der Banken und Kreditkartenorganisationen verschaffen. Rolf Haas:

"Viele dieser Terminals, gerade auch im Ausland, sind nicht so gut abgesichert. Ich denke jetzt einfach an das Szenario: Wir als Deutsche gehen irgendwohin in Urlaub, gehen dort dann einen EC-Automaten, Kreditkartenautomaten, diese Systeme sind häufig nicht so gut abgesichert und dort kann ich dann als Angreifer durchaus noch über USB oder ähnliche Schnittstellen seriell oder auch über WLAN das System infizieren."

Nachgewiesen wurden solche Skimming-Trojaner bisher in den USA, in Russland, in der Ukraine, in Spanien und Portugal, der Türkei und auf der arabischen Halbinsel. Und in Thailand - vor allen Dingen in den Touristenhochburgen. Die deutschen Banken und Sparkassen hingegen sehen sich gegen diese Skimming-Trojaner gut gewappnet. Thomas Baum von der Kreissparkasse Ludwigsburg.

"In der Tat ist der beschriebene Trojaner bei deutschen Sparkassen noch unbekannt, und es ist aus Sicht unseres Rechenzentrums, der Finanzinformatiker, auch nicht zu erwarten, dass da etwas passiert. Wir haben im Sparkassenumfeld durch diverse Schutzmechanismen Vorkehrungen getroffen, dass es gerade nicht passieren kann, dass über diese Wartungsschnittstelle ein Zugriff Externer erfolgen kann. Die Details kann ich Ihnen aus Sicherheitsgründen nicht sagen."

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk