:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Bankbetrug Geldautomaten mit Malware ausrauben
Erfinderische Bankbetrüger stellen Banken vor neue Sicherheitsherausforderungen. Eine neue Angriffsmethode infiziert Geldautomaten mit Malware und lässt sie das Bargeld auf Kommando ausspucken. Die Angriffe durch Malware ersetzen zunehmend klassischen Geldautomatenbetrug (Skimming), da so ein fast gefahrloser Bankraub möglich wird.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
In den letzten Monaten konnten weltweit zahlreiche Großangriffe auf Geldautomaten beobachtet werden, beispielsweise in Thailand, Indien, Lateinamerika, verschiedenen europäischen Ländern und anderen Ländern der Welt. Bei diesen Vorfällen konnten die Täter Millionen von Dollar aus vielen Geldinstituten erbeuten.
Überfälle auf Banken lassen sich in zwei Hauptkategorien unterteilen: Einerseits sind Kunden die Opfer, andererseits die Geldinstitute. Die erstgenannte und ältere Form sind Übergriffe auf Bankkunden und Online-Banking-Systeme. Zu den von den Tätern verwendeten Methoden zählen:
- Hijacking des Anmeldebildschirms beim Online-Banking
- Vermeiden oder Umgehen der Sicherheitsfunktionen wie virtuelle Tastaturen oder Zwei-Faktor-Authentifizierung
- Installieren einer angepassten Spyware per Remote-Zugriff auf dem infizierten Computer (eine sehr populäre Methode in Südamerika und Asien)
In diesem Artikel geht es um die zweite Kategorie: gezielte Angriffe auf Bankinstitute und deren interne Systeme, Computer und interne Netzwerke der Bankangestellten, wodurch Angreifer auf andere Bereiche der gesamten Infrastruktur zugreifen können, z. B. auf Zahlungsterminals (POS), Geldautomaten oder internationale Banküberweisungen und auf wichtige Protokolle.
Angreifer verwenden häufig APTs (Advanced Persistent Threats, gezielte Angriffe auf Institutionen), Social Engineering oder Spear-Phishing bei internen und externen Bankmitarbeitern, um Zugriff auf interne Systeme zu erhalten. In einigen Fällen können die Angreifer nur das interne Netzwerk des Geldautomaten attackieren und irgendwann einen Geldautomaten physisch angreifen und die Infektion auf alle anderen Rechner desselben Netzwerks auszudehnen. Einer der neuesten Angriffe dieser Art war eine Masseninfektion russischer Geldautomaten über das interne Netzwerk eines Geldinstituts. Laut den Informationen russischer Medien war der Angriff insbesondere deshalb interessant, da eine dateilose Malware verwendet wurde, die im Speicher des Rechners ausgeführt wird und immun gegen einen Betriebssystem-Neustart des infizierten Geldautomaten ist, das üblicherweise auf Windows basiert.
Anhand dieser Informationen ist davon auszugehen, dass die Malware gespeichert werden kann, beispielsweise im Master Boot Record (MBR) auf der Festplatte des Rechners, in der Firmware (BIOS/UEFI) oder als Poweliks-Malware (eine Malware, die sich üblicherweise in der Windows-Registry versteckt). Nach Eingabe eines bestimmten Codes gibt der infizierte Geldautomat das gesamte Geld über das erste Ausgabefach aus, bei dem die Banknoten mit dem höchsten Nennwert normalerweise gelagert sind. Diese Methode wird auch als „Jackpotting“ von Geldautomaten bezeichnet und wurde bereits mehrfach in der Vergangenheit verwendet. Infektionen von Geldautomaten nehmen zu und ersetzen allmählich das Skimming, bei dem die Angreifer ihre Vorrichtung an einem bestimmten Geldautomaten anbringen mussten, wodurch sie aber leicht entdeckt werden konnten.
Bankbetrug als Geschäft
Die berüchtigtsten Gruppen von Bankbetrügern sind Metel, GCMAN, Carbanak, Buhtrp/Cobalt und Lazarus. Diese Betrüger sind sehr geschickt und verfügen über Expertenwissen im Bereich Banktechnologie, Hacking und Programmierung. Sie verfügen wahrscheinlich über Verbindungen zur Schwarzmarktmafia sowie zu Geldwäschern und bestechlichen Bankmitarbeitern und Insidern. Ihre Arbeit ist sehr zeitintensiv und die Vorbereitung auf einen großen Coup kann monatelanges Überwachen, Eindringen in neue Systeme, Server und Netzwerke und Analysieren interner Systeme, Kontrollverfahren und sonstiger Regeln und Vorgaben in Anspruch nehmen. Jeder kleine Fehler der Bankbetrüger kann verhängnisvoll für sie sein und zur Aufdeckung ihrer verdächtigen Aktivitäten führen. Um sich während ihres entscheidenden Angriffs weiter zu schützen, beseitigen sie alle Spuren und Aufzeichnungen der illegalen Aktivitäten äußerst gründlich – ein wichtiger Schritt, der sorgfältig geplant werden muss.
Betrugsangriffe auf Banken werden immer häufiger und Angreifer verwenden ausgefeilte Methoden, um an das große Geld zu kommen. Jeder erfolgreiche Raub beschafft auch Geld zur Finanzierung der gesamten Betrugsinfrastruktur, der Entwicklung von Malware, dem Sammeln von Exploits, aber auch Zahlungen an Geldkuriere, Geldwäsche und Bestechen von Personen mit Bank-Insiderwissen. All diese Gruppen stehen seit vielen Jahren auf den Listen verschiedener Strafverfolgungsbehörden wie dem FBI oder Europol, aber die Drahtzieher und Mitglieder dieser Gruppen bleiben weiterhin in den Weiten des Internets und Darknets verborgen.
Obwohl Geldautomaten normalerweise vor physischen Angriffen gut geschützt sind, verwenden fast alle Windows als Betriebssystem (CE/2000/XP/7). Oftmals ist es unklar, ob bei den Betriebssystemen der Geldautomaten regelmäßig Updates und Patches eingespielt werden, und Geldautomaten sind wahrscheinlich auf die im internen Netzwerk installierte Sicherheitssoftware angewiesen. Ein Netzwerk ist nur so sicher wie sein schwächstes Glied; nachdem erst einmal in das interne Netzwerk eingedrungen wurde, sind die Geldautomaten im Netzwerk ein leichtes Ziel. Damit Banken ihre Geldautomaten und Systeme vor diesen Angriffen schützen können, müssen sie sich mehr auf ihre internen Sicherheitsrichtlinien und -technologien sowie auf die IT-Sicherheit ihrer Geldautomaten konzentrieren.
Die Zeiten haben sich geändert und es scheint einfacher zu sein, eine Bank auf elektronischem Wege auszurauben als über die bisherigen, gewaltsamen Methoden. Dadurch erhalten wir zwar physisch mehr Sicherheit, dies birgt jedoch neue Probleme und Herausforderungen, die die Banken angehen müssen.
Über den Autor: Michal Salat ist Director of Threat Intelligence bei Avast.
(ID:44810701)
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951732/original.jpg "HTML Smuggling umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. (Myst - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923700/1923707/original.jpg "Cyberkriminalität wird auch 2022 für Unternehmen und Behörden ein zentrales Thema bleiben, weshalb sie ihre Anstrengungen im Bereich IT-Security weiter intensivieren müssen. (©Ar_TH - stock.adobe.com)")