Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 82 reacties
Submitter: AntonV

Europol heeft in samenwerking met onder andere de Roemeense politie een bende opgepakt die Europese geldautomaten infecteerde met malware. Daardoor was de bende in staat om de automaten leeg te halen. De arrestaties vonden plaats in RoemeniŽ en MoldaviŽ.

Pinnen atm geldautomaat pinautomaat betaalautomaat bank bankenDe bende infecteerde de geldautomaten met de zogenaamde Tyupkin-malware. Deze vorm van malware maakt het mogelijk om via het nummerblok van de automaat een bepaalde toetsencombinatie in te voeren waarna de geldcassettes van de automaat zich legen. De bendes gebruiken daarvoor doorgaans geldezels die de code per sms ontvangen en vervolgens het geld meenemen. In 2014 waren er ook al berichten dat deze vorm van malware door bendes werd ingezet.

Europol laat weten dat er de afgelopen jaren steeds meer aanvallen via malware worden uitgevoerd op Europese geldautomaten. Criminelen zouden voortdurend nieuwe manieren bedenken om de automaten te kraken en daarom is het belangrijk dat er internationale samenwerking bestaat tussen de verschillende politiediensten. Europols EC3 in Den Haag heeft richtlijnen opgesteld over deze vorm van aanvallen op geldautomaten.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (82)

Volgens de 2de link moet er eerst fysiek toegang zijn tot een automaat om deze opnieuw op te starten waarmee de malware wordt geactiveerd. Is zo'n automaat daar niet tegen beveiligd? Onder het mom: security breach, deactivate en await system restore?
Nog nooit een windows Xp boot screen op een pin automaat gezien?
Nee, wel Windows NT 4
Wel ooit een bsod. Toen moest ik lachen en was ik tegelijkertijd een beetje verdrietig.
Wat maakt het uit of er Windows op draait en of die wel of niet boot. Er wordt in principe onbeheerd geld in een kast geduwd en er is blijkbaar niemand die kijkt of de kast dicht blijft gedurende bedrijfstijd?

Al zou er Linux op staan of een geheel eigen bank OS, je hebt het over ik-weet-niet-hoeveel geld wat er in die automaten zit. Je zou verwachten dat ze daar zorgvuldig mee omgaan. Er zijn toch ook geldtransportwagens? security is as strong as the weakest link, zou jammer zijn als dat het eindstation is, toch?
Het punt dat ik wou maken met de vraag die ik stelde, is totaal niet gerelateerd aan wat jij zojuist hebt gezegd.
het punt dat ik maakte met de fysieke toegang tot een automaat is totaal niet gerelateerd aan het OS dat er op een automaat staat. Wat heeft een OS (specifiek het bootscherm) te maken met toegang tot een ruimte?
en hoeveel kun jij met een bootscherm en een numeriek toetsenbord?
zolang je niet met je klauwen aan de computer kan komen heb je er totaal niets aan. en zodra je er wel aan kan komen kun je ongeacht het OS hier wel een bug in vinden voor de malware.
Stroom eraf?

De meeste automaten zitten in dingen als een supermarkt. Beetje social engineering en je kunt erbij.
In NL misschien, maar in BE is dat zeker niet het geval. Hier zit het merendeel van de automaten in de muur van een bankkantoor.
Maar we hebben het hier niet over NL of BE. We praten hier over Rusland en India waar dit gebeurd is en ik betwijfel of de automaten daar wel allemaal beveiligd in een muur zitten.
Maar we hebben het hier niet over NL of BE. We praten hier over Rusland en India waar dit gebeurd is en ik betwijfel of de automaten daar wel allemaal beveiligd in een muur zitten.
Europol heeft in samenwerking met onder andere de Roemeense politie een bende opgepakt die Europese geldautomaten infecteerde met malware

Sinds wanneer is NL en BE niet meer in europa? Of Rusland en India in europ. Leuk dat het in rusland en india nog veel vaker gebeurt. Feit dat het zo gemakkelijk in europa gaat is toch wel erg. Gaat blijkbaar nergen in de bank een belletje rinkelen als een automaat een reboot krijgt. Dan wel zo makkelijk toegang tot krijgen.
Er staat toch echt
The criminals used Tyupkin ATM malware which allowed the attackers to manipulate ATMs across Europe and illegally empty ATM cash cassettes.
Ik zeg ook niet dat het niet in Europa is gebeurd, maar er wordt niks gezegd over NL en BE in de tweede link.
Net zo min als over Rusland of India
Jawel, kijk maar naar deze diagram: http://www.kaspersky.com/...y-By-Country10-251547.jpg op deze pagina: http://www.kaspersky.com/...ware-atm-security-malware

Sorry voor de linkjes maar mijn telefoon doet raar.
"Maar we hebben het hier niet over NL of BE. We praten hier over Rusland en India waar dit gebeurd is en ik betwijfel of de automaten daar wel allemaal beveiligd in een muur zitten."

Je zegt dus wel dat het niet in Europa is gebeurd...
Rusland en India zijn een van de landen waar dit is gebeurd. Ik zeg nergens dat het niet in Europa gebeurd, want dat is wel degelijk zo. Bijv. Frankrijk.
Omdat er weer veel onzin over de geldautomaten geschreven gaat worden:

De computer die in de geldautomaat zit heeft maar 2 doelen: interactie met de klant en al de mechaniek aansturen die in de automaat verwerkt zit. Dit zijn vaak afgedankte computers van bankbedienden die hiervoor gebruikt worden.

Die computers zijn terminals ofwel een simpel doorgeef luik van informatie. De computer is niet in staat om je pincode te controleren of om te weten hoeveel geld er op je rekening staat. Dat word in de back end gedaan, de automaat presenteert het enkel.

Het andere doel is alle mechaniek bedienen, er zitten redelijk veel motortjes, tandwielen, etc die aangestuurd word door de computer. Eenmaal je controle hebt over de computer kan je gewoon die mechaniek bedienen waarmee je vervolgens simpelweg al het geld laat uitspugen.

De automaten zitten in een aparte totaal afgeschermde VLAN die volledig dicht getimmerd is en gescheiden van al de rest. Ze aanvallen over het netwerk is dus onbegonnen werk.

Echter draaien deze doorgaans een outdated OS dat geen updates krijgt (XP bv), eenmaal fysieke toegang zijn deze machines een vogel voor de kat. Echter het enige wat men kan doen is de mechaniek bedienen van de automaat wat de gevolgen beperkt houd waardoor het voor de banken simpelweg niet opweegt om er iets aan te doen (kosten wegen niet op tegen het baten)
Afgedankte computers van bankbedienden gaan in geldautomaten? Probeer je nou een geintje te maken of meen je dit serieus :-)?
Hopelijk een geintje, want ik ken toevallig iemand die jarenlang pinautomaten heeft beheerd, en daar zit behoorlijke hard en software achter.

Waar het fout gaat (zoals sprankel ook al eindigt) is dat de software veelal voor Windows XP en 2000 is geschreven (en de backwards compatibility functionaliteit in Windows is 'te eng/wazig' voor zulke omgevingen), en die Windows versies zijn vandaag de dag niet echt meer veilig te noemen.
Ik zou het geen behoorlijke hard en software noemen als je dit gezien/gelezen hebt.
https://www.youtube.com/watch?v=Ss_RWctTARU
http://www.wired.com/2010/07/atms-jackpotted/
Barnaby Jack (rip) legt uit hoe vatbaar atms zijn.
Op Def con is er ook zo 1 geweest en die "infecteerde" de machines via de usb interface voorraan :9
Zonder het filmpje bekeken te hebben: gaat dit over Nederlandse pinautomaten, of zit daar verschil in met de Amerikaanse ATM's?
Ik denk Australische want het is een Australier zo uit mijn hoofd.
Dit artikel gaat ook niet over Nederlandse pin automaten.
Alhoewel ik me kan herinneren dat ik wel eens een win98 BOD heb gezien op de pin automaat in nl. Wat nou ook niet echt veel vertrouwen geeft.
Ik kan niet spreken voor de hele sector maar een geintje is het zeker niet. Op zich maakt de ouderdom van de hardware zelf ook niet echt uit gezien zelf die oude computer meer dan power genoeg heeft om die automaat aan te sturen.

[Reactie gewijzigd door sprankel op 7 januari 2016 18:59]

Ik denk haast met zekerheid te kunnen beweren dat in geldautomaten geen afgedankte desktops van bankmedewerkers worden geplaatst. Dat het niet altijd state of the art spullen zijn en dat het vaak XP (Embedded) draait : ja. Refurbished, not so much.
NT4 heb ik ook al gezien en dat was in 2008 :)
Dat is een aanname, mother of all fuckups.
Dit zijn vaak afgedankte computers van bankbedienden die hiervoor gebruikt worden.
Zonder verdere onderbouwing is dit een belachelijke uitspraak waarmee je voor de rest van je post ook alle geloofwaardigheid wegneemt.

Een betaalautomaat kost een hoop geld en zal minstens 10 jaar mee moeten gaan. In zo'n apparaat ga je dan niet een paar tientjes hardware bezuinigen door oude computers van alle mogelijke merken en types in te bouwen. Je onderhoudskosten zullen dan vele malen de besparing overstijgen.
Het enige wat ik me eventueel kan voorstellen is dat er voor de lokale bediening een eenvoudige terminal nodig is, d.w.z. een toetsenbord + monitor om teksten weer te geven. Daarvoor zou elke oude afgedankte computer gebruikt kunnen worden maar dit opent wel security problemen dus lijkt me onwaarschijnlijk dat ze dat (nog) zo doen.
"Een betaalautomaat kost een hoop geld en zal minstens 10 jaar mee moeten gaan"

Klopt maar dit is de mechanica, zo een automaat is meer een robot dan iets anders. De computer is heel simpel uit te halen en te wisselen, althans voor de technieker die hem gaat vervangen.

"oude computers van alle mogelijke merken en types in te bouwen"

Aangezien je duizenden computers hebt voor je duizenden end users zijn die allemaal al van hetzelfde type, je wilt immers geen 100 verschillende soorten desktops. De afgedankte zijn dus allemaal hetzelfde type. Overigens afgedankt = 3 tot 4 jaar oud om dan nog een jaar of 3 dienst te doen in een automaat.

En je wilt onderbouwing? Van waar denk je dat ik al die info heb? Van op cafť? Nee hoor, ik heb er gewerkt maar niemand luistert hier. Die computers bedienen enkel de automaat dus het maakt niet uit dat het oude machines zijn. Deze verwerken 0 komma 0 financiele gegevens, dat gebeurd allemaal in de backend op IBM I systems om precies te zijn. Gewoon lastig als de bios batterij er van tussen knijpt of de HD de geest geeft, valt wel nogal is voor.
Maar wat ik even niet snap is waarvoor die geldezels nou exact zijn?

Voor het installeren van de malware moet er al iemand lokaal aan die automaat gaan frunniken om er een cd in te stoppen, dus als er al omgevingscamera's zijn dan sta je daar redelijk op lijkt me. Dus kan je net zo goed het geld meenemen.

Maar nee, je gaat weer weg en sms'ed een geldezel de code zodat die voor de automaat kan staan (waar jij er net achter stond) en kan gaan pinnen. Op omgevingscameras sta je nu allebei en ik zou toch vermoeden dat een achterkant van een pinautomaat nog meer camera's heeft dan een voorkant.
Beelden worden niet oneindig lang bewaard. Ik neem aan dat er een behoorlijke tijd tussen de crack en leegroof kan zitten
Als je de video bekijkt die hierboven al gepost is
https://www.youtube.com/watch?v=Ss_RWctTARU
dan zal je zien dat de geldautomaat via de telefoon of internet kan infecteren, en alles laten doen wat je wilt. Inclusief alle bankpas data + pincodes die langsgekomen zijn opslaan en terugsturen.
Die geldezels zijn dus eigenlijk niet eens nodig, behalve om met een gereproduceerde kopie van zo'n bankpas bij een andere ongehackte ATM ergens ter wereld geld te halen. Je kan dus bijna alles doen vanuit je luie stoel.
Ik denk dat het alleen maar gemakkelijker word, om een geldautomaat leeg te halen door middel van een hack.

Ik snap vooral niet waarom ze ooit over zijn gestapt van OS2 naar windows. En snap vooral niet dat de banken investeren in het laten maken van een OS die alleen op geldapparaten draait.
Ik denk dat het een kosten baten afweging is. Het volledig digtimmeren van geldautomaten kost geld, geldautomaat leeg roven middels malware kost natuurlijk ook geld, zolang dit minder kost is dit natuurlijk goedkoper dus de betere beslissing :)
doet me er aan herdenken dat enkele oude pcs nog een sim-kaart-reader/writer hebben.

zou het dan niet mogelijk zijn op die manier om de malware op het systeem te krijgen en een forced reboot te veroorzaken waardoor er malware op komt die de geld-output aanzet.
Deze vorm van malware maakt het mogelijk om via het nummerblok van de automaat een bepaalde toetsencombinatie in te voeren...
Niet helemaal juist, de toetsencombinatie werd ook nog eens geaccepteerd alleen op specifieke tijden en dagen.

Zie bron:
Tyupkin malware only accepts commands at specific times on Sunday and Monday nights. It is during those times that the cyber criminals are able to steal money from the infected machine.
Hier is dus erg goed over nagedacht.

Ik weet dat het natuurlijk illegaal is, maar heb er stiekem toch wel bewondering voor, hoe goed hier over nagedacht is.

[Reactie gewijzigd door defixje op 7 januari 2016 22:59]

Dus door een bepaalde toetsencombinatie in te voeren, help je de automaat op hol? Fikse security breach..
De bende infecteerde de geldautomaten met de zogenaamde Tyupkin-malware. Deze vorm van malware maakt het mogelijk om via het nummerblok van de automaat een bepaalde toetsencombinatie in te voeren waarna de geldcassettes van de automaat zich legen
Is deze combinatie bij elke automaat dan hetzelfde? Omdat er hierna nog staat:
De bendes gebruiken daarvoor doorgaans geldezels die de code per sms ontvangen en vervolgens het geld meenemen.
Eerst de malware dan de cijfercode om cassettes te legen.
De combinatie is 1337 :+
dan zou hij elke keer als ik pin geld moeten spugen ;)
Dat doet ie toch ook hoop ik? Kost je alleen wel wat saldo .. :P
Ik dacht ... 73837737 8)7
knappe actie hoor
Met een speciaal bankpasje en pincode kom je in een heel menu van de pinautomaat waarmee je de lades ook zo leeg hebt.
De malware zal zorgen dat je het pasje niet meer nodig heb.
Dit werkt bij de abn in iedere geval.
Zit nt of xp op.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True