Europol pakt bende op die geldautomaten leeghaalde met malware

Europol heeft in samenwerking met onder andere de Roemeense politie een bende opgepakt die Europese geldautomaten infecteerde met malware. Daardoor was de bende in staat om de automaten leeg te halen. De arrestaties vonden plaats in Roemenië en Moldavië.

Pinnen atm geldautomaat pinautomaat betaalautomaat bank bankenDe bende infecteerde de geldautomaten met de zogenaamde Tyupkin-malware. Deze vorm van malware maakt het mogelijk om via het nummerblok van de automaat een bepaalde toetsencombinatie in te voeren waarna de geldcassettes van de automaat zich legen. De bendes gebruiken daarvoor doorgaans geldezels die de code per sms ontvangen en vervolgens het geld meenemen. In 2014 waren er ook al berichten dat deze vorm van malware door bendes werd ingezet.

Europol laat weten dat er de afgelopen jaren steeds meer aanvallen via malware worden uitgevoerd op Europese geldautomaten. Criminelen zouden voortdurend nieuwe manieren bedenken om de automaten te kraken en daarom is het belangrijk dat er internationale samenwerking bestaat tussen de verschillende politiediensten. Europols EC3 in Den Haag heeft richtlijnen opgesteld over deze vorm van aanvallen op geldautomaten.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 07-01-2016 16:58
82 • submitter: AntonV

07-01-2016 • 16:58

82

Submitter: AntonV

Lees meer

Nederlandse politie arresteert zeventien 'geldezels' in WhatsApp-fraudezaak
Nederlandse politie arresteert zeventien 'geldezels' in WhatsApp-fraudezaak Nieuws van 26 augustus 2019
Europese actie tegen webwinkelfraude levert 42 arrestaties op
Europese actie tegen webwinkelfraude levert 42 arrestaties op Nieuws van 31 oktober 2016
Europol en EUIPO richten organisatie op om piraterij en namaak te bestrijden
Europol en EUIPO richten organisatie op om piraterij en namaak te bestrijden Nieuws van 12 juli 2016
Europol krijgt bevoegdheid om informatie met bedrijven uit te wisselen
Europol krijgt bevoegdheid om informatie met bedrijven uit te wisselen Nieuws van 11 mei 2016
Skimmers onderscheppen gegevens via utp-kabels van pinautomaten
Skimmers onderscheppen gegevens via utp-kabels van pinautomaten Nieuws van 10 februari 2016
'Nederlandse internetgebruikers hebben kleinste kans op virussen'
'Nederlandse internetgebruikers hebben kleinste kans op virussen' Nieuws van 8 februari 2016
Europol opent nieuw antiterrorismecentrum in Den Haag
Europol opent nieuw antiterrorismecentrum in Den Haag Nieuws van 25 januari 2016
'Malwareaanval op Oekraïens vliegveld komt uit Rusland'
'Malwareaanval op Oekraïens vliegveld komt uit Rusland' Nieuws van 18 januari 2016
Hackers stelen honderden miljoenen via onder meer Nederlandse banken - update
Hackers stelen honderden miljoenen via onder meer Nederlandse banken - update Nieuws van 15 februari 2015
Criminelen stelen miljoenen via malware voor betaalsystemen
Criminelen stelen miljoenen via malware voor betaalsystemen Nieuws van 22 december 2014
Criminelen stalen met malware geld uit Oost-Europese geldautomaten
Criminelen stalen met malware geld uit Oost-Europese geldautomaten Nieuws van 7 oktober 2014
Onderzoekers: aanvallers stalen met malware cash uit geldautomaten
Onderzoekers: aanvallers stalen met malware cash uit geldautomaten Nieuws van 27 december 2013
Twee Nederlanders krijgen vier jaar cel in Duitsland wegens internetfraude
Twee Nederlanders krijgen vier jaar cel in Duitsland wegens internetfraude Nieuws van 15 november 2013
Schade door fraude internetbankieren en skimmen is gehalveerd
Schade door fraude internetbankieren en skimmen is gehalveerd Nieuws van 4 september 2013
Hackers stelen 45 miljoen dollar van twee banken
Hackers stelen 45 miljoen dollar van twee banken Nieuws van 10 mei 2013
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (82)

-Moderatie-faq
82
74
46
1
0
7
Wijzig sortering

Sorteer op:

Weergave:
Muz1ekje 7 januari 2016 17:03
Volgens de 2de link moet er eerst fysiek toegang zijn tot een automaat om deze opnieuw op te starten waarmee de malware wordt geactiveerd. Is zo'n automaat daar niet tegen beveiligd? Onder het mom: security breach, deactivate en await system restore?
DR!5EQ @Muz1ekje7 januari 2016 17:37
Nog nooit een windows Xp boot screen op een pin automaat gezien?
barchettanl @DR!5EQ7 januari 2016 20:23
Nee, wel Windows NT 4
Clifdon @DR!5EQ8 januari 2016 07:16
Wel ooit een bsod. Toen moest ik lachen en was ik tegelijkertijd een beetje verdrietig.
Muz1ekje @DR!5EQ8 januari 2016 11:20
Wat maakt het uit of er Windows op draait en of die wel of niet boot. Er wordt in principe onbeheerd geld in een kast geduwd en er is blijkbaar niemand die kijkt of de kast dicht blijft gedurende bedrijfstijd?

Al zou er Linux op staan of een geheel eigen bank OS, je hebt het over ik-weet-niet-hoeveel geld wat er in die automaten zit. Je zou verwachten dat ze daar zorgvuldig mee omgaan. Er zijn toch ook geldtransportwagens? security is as strong as the weakest link, zou jammer zijn als dat het eindstation is, toch?
DR!5EQ @Muz1ekje8 januari 2016 11:31
Het punt dat ik wou maken met de vraag die ik stelde, is totaal niet gerelateerd aan wat jij zojuist hebt gezegd.
Muz1ekje @DR!5EQ8 januari 2016 11:37
het punt dat ik maakte met de fysieke toegang tot een automaat is totaal niet gerelateerd aan het OS dat er op een automaat staat. Wat heeft een OS (specifiek het bootscherm) te maken met toegang tot een ruimte?
Z80 @DR!5EQ8 januari 2016 12:50
en hoeveel kun jij met een bootscherm en een numeriek toetsenbord?
zolang je niet met je klauwen aan de computer kan komen heb je er totaal niets aan. en zodra je er wel aan kan komen kun je ongeacht het OS hier wel een bug in vinden voor de malware.
TheGhostInc @Muz1ekje7 januari 2016 17:13
Stroom eraf?

De meeste automaten zitten in dingen als een supermarkt. Beetje social engineering en je kunt erbij.
aCCuReRaS @TheGhostInc7 januari 2016 17:28
In NL misschien, maar in BE is dat zeker niet het geval. Hier zit het merendeel van de automaten in de muur van een bankkantoor.
tweakery @aCCuReRaS7 januari 2016 18:37
Maar we hebben het hier niet over NL of BE. We praten hier over Rusland en India waar dit gebeurd is en ik betwijfel of de automaten daar wel allemaal beveiligd in een muur zitten.
loki504 @tweakery7 januari 2016 19:59
Maar we hebben het hier niet over NL of BE. We praten hier over Rusland en India waar dit gebeurd is en ik betwijfel of de automaten daar wel allemaal beveiligd in een muur zitten.
Europol heeft in samenwerking met onder andere de Roemeense politie een bende opgepakt die Europese geldautomaten infecteerde met malware

Sinds wanneer is NL en BE niet meer in europa? Of Rusland en India in europ. Leuk dat het in rusland en india nog veel vaker gebeurt. Feit dat het zo gemakkelijk in europa gaat is toch wel erg. Gaat blijkbaar nergen in de bank een belletje rinkelen als een automaat een reboot krijgt. Dan wel zo makkelijk toegang tot krijgen.
defixje @tweakery7 januari 2016 23:05
Er staat toch echt
The criminals used Tyupkin ATM malware which allowed the attackers to manipulate ATMs across Europe and illegally empty ATM cash cassettes.
tweakery @defixje8 januari 2016 06:42
Ik zeg ook niet dat het niet in Europa is gebeurd, maar er wordt niks gezegd over NL en BE in de tweede link.
ArcticLight @tweakery8 januari 2016 08:08
Net zo min als over Rusland of India
tweakery @ArcticLight8 januari 2016 12:49
Jawel, kijk maar naar deze diagram: http://www.kaspersky.com/...y-By-Country10-251547.jpg op deze pagina: http://www.kaspersky.com/...ware-atm-security-malware

Sorry voor de linkjes maar mijn telefoon doet raar.
Verwijderd @tweakery8 januari 2016 13:47
"Maar we hebben het hier niet over NL of BE. We praten hier over Rusland en India waar dit gebeurd is en ik betwijfel of de automaten daar wel allemaal beveiligd in een muur zitten."

Je zegt dus wel dat het niet in Europa is gebeurd...
tweakery @Verwijderd9 januari 2016 11:56
Rusland en India zijn een van de landen waar dit is gebeurd. Ik zeg nergens dat het niet in Europa gebeurd, want dat is wel degelijk zo. Bijv. Frankrijk.
sprankel 7 januari 2016 17:19
Omdat er weer veel onzin over de geldautomaten geschreven gaat worden:

De computer die in de geldautomaat zit heeft maar 2 doelen: interactie met de klant en al de mechaniek aansturen die in de automaat verwerkt zit. Dit zijn vaak afgedankte computers van bankbedienden die hiervoor gebruikt worden.

Die computers zijn terminals ofwel een simpel doorgeef luik van informatie. De computer is niet in staat om je pincode te controleren of om te weten hoeveel geld er op je rekening staat. Dat word in de back end gedaan, de automaat presenteert het enkel.

Het andere doel is alle mechaniek bedienen, er zitten redelijk veel motortjes, tandwielen, etc die aangestuurd word door de computer. Eenmaal je controle hebt over de computer kan je gewoon die mechaniek bedienen waarmee je vervolgens simpelweg al het geld laat uitspugen.

De automaten zitten in een aparte totaal afgeschermde VLAN die volledig dicht getimmerd is en gescheiden van al de rest. Ze aanvallen over het netwerk is dus onbegonnen werk.

Echter draaien deze doorgaans een outdated OS dat geen updates krijgt (XP bv), eenmaal fysieke toegang zijn deze machines een vogel voor de kat. Echter het enige wat men kan doen is de mechaniek bedienen van de automaat wat de gevolgen beperkt houd waardoor het voor de banken simpelweg niet opweegt om er iets aan te doen (kosten wegen niet op tegen het baten)
Odie @sprankel7 januari 2016 17:37
Afgedankte computers van bankbedienden gaan in geldautomaten? Probeer je nou een geintje te maken of meen je dit serieus :-)?
Verwijderd @Odie7 januari 2016 17:56
Hopelijk een geintje, want ik ken toevallig iemand die jarenlang pinautomaten heeft beheerd, en daar zit behoorlijke hard en software achter.

Waar het fout gaat (zoals sprankel ook al eindigt) is dat de software veelal voor Windows XP en 2000 is geschreven (en de backwards compatibility functionaliteit in Windows is 'te eng/wazig' voor zulke omgevingen), en die Windows versies zijn vandaag de dag niet echt meer veilig te noemen.
kaaas @Verwijderd7 januari 2016 18:49
Ik zou het geen behoorlijke hard en software noemen als je dit gezien/gelezen hebt.
https://www.youtube.com/watch?v=Ss_RWctTARU
http://www.wired.com/2010/07/atms-jackpotted/
Barnaby Jack (rip) legt uit hoe vatbaar atms zijn.
Damic @kaaas7 januari 2016 20:00
Op Def con is er ook zo 1 geweest en die "infecteerde" de machines via de usb interface voorraan :9
ArcticLight @kaaas8 januari 2016 08:12
Zonder het filmpje bekeken te hebben: gaat dit over Nederlandse pinautomaten, of zit daar verschil in met de Amerikaanse ATM's?
kaaas @ArcticLight8 januari 2016 15:06
Ik denk Australische want het is een Australier zo uit mijn hoofd.
Dit artikel gaat ook niet over Nederlandse pin automaten.
Alhoewel ik me kan herinneren dat ik wel eens een win98 BOD heb gezien op de pin automaat in nl. Wat nou ook niet echt veel vertrouwen geeft.
sprankel @Odie7 januari 2016 18:57
Ik kan niet spreken voor de hele sector maar een geintje is het zeker niet. Op zich maakt de ouderdom van de hardware zelf ook niet echt uit gezien zelf die oude computer meer dan power genoeg heeft om die automaat aan te sturen.

[Reactie gewijzigd door sprankel op 23 juli 2024 03:07]

Odie @sprankel7 januari 2016 19:17
Ik denk haast met zekerheid te kunnen beweren dat in geldautomaten geen afgedankte desktops van bankmedewerkers worden geplaatst. Dat het niet altijd state of the art spullen zijn en dat het vaak XP (Embedded) draait : ja. Refurbished, not so much.
Damic @Odie7 januari 2016 20:01
NT4 heb ik ook al gezien en dat was in 2008 :)
nullbyte @Odie7 januari 2016 19:20
Dat is een aanname, mother of all fuckups.
carlo @sprankel7 januari 2016 22:11
Dit zijn vaak afgedankte computers van bankbedienden die hiervoor gebruikt worden.
Zonder verdere onderbouwing is dit een belachelijke uitspraak waarmee je voor de rest van je post ook alle geloofwaardigheid wegneemt.

Een betaalautomaat kost een hoop geld en zal minstens 10 jaar mee moeten gaan. In zo'n apparaat ga je dan niet een paar tientjes hardware bezuinigen door oude computers van alle mogelijke merken en types in te bouwen. Je onderhoudskosten zullen dan vele malen de besparing overstijgen.
Het enige wat ik me eventueel kan voorstellen is dat er voor de lokale bediening een eenvoudige terminal nodig is, d.w.z. een toetsenbord + monitor om teksten weer te geven. Daarvoor zou elke oude afgedankte computer gebruikt kunnen worden maar dit opent wel security problemen dus lijkt me onwaarschijnlijk dat ze dat (nog) zo doen.
sprankel @carlo9 januari 2016 04:01
"Een betaalautomaat kost een hoop geld en zal minstens 10 jaar mee moeten gaan"

Klopt maar dit is de mechanica, zo een automaat is meer een robot dan iets anders. De computer is heel simpel uit te halen en te wisselen, althans voor de technieker die hem gaat vervangen.

"oude computers van alle mogelijke merken en types in te bouwen"

Aangezien je duizenden computers hebt voor je duizenden end users zijn die allemaal al van hetzelfde type, je wilt immers geen 100 verschillende soorten desktops. De afgedankte zijn dus allemaal hetzelfde type. Overigens afgedankt = 3 tot 4 jaar oud om dan nog een jaar of 3 dienst te doen in een automaat.

En je wilt onderbouwing? Van waar denk je dat ik al die info heb? Van op café? Nee hoor, ik heb er gewerkt maar niemand luistert hier. Die computers bedienen enkel de automaat dus het maakt niet uit dat het oude machines zijn. Deze verwerken 0 komma 0 financiele gegevens, dat gebeurd allemaal in de backend op IBM I systems om precies te zijn. Gewoon lastig als de bios batterij er van tussen knijpt of de HD de geest geeft, valt wel nogal is voor.
Gomez12 7 januari 2016 19:16
Maar wat ik even niet snap is waarvoor die geldezels nou exact zijn?

Voor het installeren van de malware moet er al iemand lokaal aan die automaat gaan frunniken om er een cd in te stoppen, dus als er al omgevingscamera's zijn dan sta je daar redelijk op lijkt me. Dus kan je net zo goed het geld meenemen.

Maar nee, je gaat weer weg en sms'ed een geldezel de code zodat die voor de automaat kan staan (waar jij er net achter stond) en kan gaan pinnen. Op omgevingscameras sta je nu allebei en ik zou toch vermoeden dat een achterkant van een pinautomaat nog meer camera's heeft dan een voorkant.
disheaver @Gomez127 januari 2016 22:56
Beelden worden niet oneindig lang bewaard. Ik neem aan dat er een behoorlijke tijd tussen de crack en leegroof kan zitten
Durandal @Gomez128 januari 2016 01:52
Als je de video bekijkt die hierboven al gepost is
https://www.youtube.com/watch?v=Ss_RWctTARU
dan zal je zien dat de geldautomaat via de telefoon of internet kan infecteren, en alles laten doen wat je wilt. Inclusief alle bankpas data + pincodes die langsgekomen zijn opslaan en terugsturen.
Die geldezels zijn dus eigenlijk niet eens nodig, behalve om met een gereproduceerde kopie van zo'n bankpas bij een andere ongehackte ATM ergens ter wereld geld te halen. Je kan dus bijna alles doen vanuit je luie stoel.
raymon_56 7 januari 2016 17:57
Ik denk dat het alleen maar gemakkelijker word, om een geldautomaat leeg te halen door middel van een hack.

Ik snap vooral niet waarom ze ooit over zijn gestapt van OS2 naar windows. En snap vooral niet dat de banken investeren in het laten maken van een OS die alleen op geldapparaten draait.
B0MBACI @raymon_567 januari 2016 18:03
Ik denk dat het een kosten baten afweging is. Het volledig digtimmeren van geldautomaten kost geld, geldautomaat leeg roven middels malware kost natuurlijk ook geld, zolang dit minder kost is dit natuurlijk goedkoper dus de betere beslissing :)
darknessblade 7 januari 2016 17:46
doet me er aan herdenken dat enkele oude pcs nog een sim-kaart-reader/writer hebben.

zou het dan niet mogelijk zijn op die manier om de malware op het systeem te krijgen en een forced reboot te veroorzaken waardoor er malware op komt die de geld-output aanzet.
defixje 7 januari 2016 22:58
Deze vorm van malware maakt het mogelijk om via het nummerblok van de automaat een bepaalde toetsencombinatie in te voeren...
Niet helemaal juist, de toetsencombinatie werd ook nog eens geaccepteerd alleen op specifieke tijden en dagen.

Zie bron:
Tyupkin malware only accepts commands at specific times on Sunday and Monday nights. It is during those times that the cyber criminals are able to steal money from the infected machine.
Hier is dus erg goed over nagedacht.

Ik weet dat het natuurlijk illegaal is, maar heb er stiekem toch wel bewondering voor, hoe goed hier over nagedacht is.

[Reactie gewijzigd door defixje op 23 juli 2024 03:07]

Nibbz 7 januari 2016 17:03
Dus door een bepaalde toetsencombinatie in te voeren, help je de automaat op hol? Fikse security breach..
De bende infecteerde de geldautomaten met de zogenaamde Tyupkin-malware. Deze vorm van malware maakt het mogelijk om via het nummerblok van de automaat een bepaalde toetsencombinatie in te voeren waarna de geldcassettes van de automaat zich legen
Is deze combinatie bij elke automaat dan hetzelfde? Omdat er hierna nog staat:
De bendes gebruiken daarvoor doorgaans geldezels die de code per sms ontvangen en vervolgens het geld meenemen.
Verwijderd @Nibbz7 januari 2016 17:05
Eerst de malware dan de cijfercode om cassettes te legen.
Toet3r @Nibbz7 januari 2016 17:23
De combinatie is 1337 :+
Nibbz @Toet3r7 januari 2016 18:23
dan zou hij elke keer als ik pin geld moeten spugen ;)
DonJunior @Nibbz7 januari 2016 19:08
Dat doet ie toch ook hoop ik? Kost je alleen wel wat saldo .. :P
manvanstaal 7 januari 2016 17:50
Ik dacht ... 73837737 8)7
marcelkraan 7 januari 2016 18:01
knappe actie hoor
mastered000 8 januari 2016 06:31
Met een speciaal bankpasje en pincode kom je in een heel menu van de pinautomaat waarmee je de lades ook zo leeg hebt.
De malware zal zorgen dat je het pasje niet meer nodig heb.
Dit werkt bij de abn in iedere geval.
Zit nt of xp op.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq