Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Europol: leden gearresteerd van bende die pinautomaten leegde via banknetwerk

Door , 43 reacties

Europol meldt dat zijn European Cybercrime Centre, oftewel EC3, heeft bijgedragen aan de arrestatie van vijf leden van een internationale bende. Zij drongen banknetwerken binnen en wisten op die manier geld te stelen uit pinautomaten.

europolVolgens de organisatie ging het om 'zeer geavanceerde aanvallen', die ervoor zorgden dat de pinautomaten hun volledige geldvoorraad uitgaven. Om dat te bereiken, verstuurden de criminelen eerst gerichte phishingmails met daarin malware. Op die manier wisten zij vervolgens het interne netwerk van een bank binnen te dringen en controle te verkrijgen over het netwerk van pinautomaten.

Daarnaast gebruikte de bende speciale software om zijn sporen uit te wissen. De arrestaties vonden plaats door de Roemeense, Taiwanese en Wit-Russische politie. In sommige van deze gevallen was de politie in staat om een deel van het gestolen geld terug te halen.

Europol meldt verder dat het onderzoek naar de criminelen in 2016 begon en dat de groepsleden online gerekruteerd werden. Zij beschikten over verschillende nationaliteiten, waardoor zij eenvoudig konden reizen tussen landen. De schade bij de banken zou zijn opgelopen tot drie miljoen euro.

Europol ondersteunt regelmatig internationale acties van verschillende politiediensten. Een jaar geleden was de organisatie betrokken bij de arrestatie van een bende die eveneens geldautomaten leeghaalde. Dit deed de groep met de zogenaamde Tyupkin-malware en niet via het interne banknetwerk.

Reacties (43)

Wijzig sortering
lekker alles aan internet hangen.. voor het gemak..
De zwakste schakel blijkt toch weer het personeel die klikt op links en bijlages.
Het klinkt als spearphishing, daar is nou eenmaal erg weinig aan te doen.

Bij spearphishing heb je het niet over algemene emails naar tienduizenden mensen in de hoop dat iemand hem open maakt (Check nude pics of Ariane Grande!!!111 in ariane.exe). Je hebt het over gerichte emails aan een specifiek uitgezocht persoon met veel kennis van het doelwit. Als jij op je werk email (waar je vriendin jou wel vaker op emailt, weet de aanvaller) een emailtje krijgt afkomstig van het emailadres van je vriendin, in het Nederlands, met de vraag of je na je werk even iets van [phishing link die lijkt op mediamarkt.nl] mee kunt nemen, ben je dan ook nog zo achterdochtig? De meeste mensen niet.

Er zijn zelfs experimenten geweest met spearphishing aanvallen op mensen uit de cybersecurity community en zelfs daar is de successrate veel hoger dan je zou willen. Als je cyber security experts al om de tuin kunt leiden...

[Reactie gewijzigd door Maurits van Baerle op 27 januari 2017 18:40]

Is de moraal van het verhaal dan niet dat je je werk-emailadres niet moet uitdelen aan je privécontacten? Want dan ben je automatisch veel minder vatbaar voor dit verschijnsel. Je vriendin kan makkelijk emailen op je privéadres. Haar dat werkadres geven is nergens voor nodig.
Nee, de moraal is dat phishing steeds geniepiger wordt. Vriendin is maar een voorbeeld, maar een mailtje van je baas, die net in het buitenland zit, waarin een phishing link zit komt ook al voor. Namen, emailadressen, agenda's vaak allemaal bekend bij personen die ze op het oog hebben. En laten we eerlijk zijn, zo moeilijk maken we ze het ook weer niet met alle sociale media.
Het hoeft nog geeneens zo ingewikkeld. Je kunt ook denken aan zogenaamde mails van bijvoorbeeld bedrijven die seminars organiseren. Via diverse bronnen kan je vinden wie daar geweest zijn, en vervolgens stuur je heel gericht namens die organisatie phishingmails. Dat duurt ook wel even voordat IT dat doorheeft en de boel blokkeert.
Ze moesten het nog wel effe "analoog" ophalen ...
Hoe moet ik me dat eigenlijk voorstellen? Met je bivak muts voor de pinautomaat. Dan B100 achter de computer bellen. B100 drukt op enter en de geldmachine spuugt al z'n inhoud uit?
Op een manier dat een ingevoerd bedrag van bv 20¤ gezien werd als uitbetaling 200.000¤
Van de rekening 'netjes' - 20¤, maar alle briefjes rammelden uit de geldlades

* FreshMaker had nog zo'n artikel gelezen, maar kan het niet meer terugvinden :|

Ze hadden de interne mechanische aansturing softwarematige aangepast, zodat de tellers verkeerd uitlazen.
Eigenlijk best slim dus :) De gedupeerde heeft niks in de gaten, maar zij zijn duizenden euro's rijker.
Eigenlijk best slim dus :) De gedupeerde heeft niks in de gaten, maar zij zijn duizenden euro's rijker.
Ik ben bang dat de CEO van de bank dit niet uit eigen zak zal betalen ....
Het komt dus op het bordje van de aandeelhouders ( minder uitbetalen ) wat weer uitwerking heeft in de kosten van de banken .... de 'gebruiker'
En zoals de laatste jaren gebeurde, een bail-out door de overheid - de belastingbetaler
Afhankelijk van welke banken gedupeerd zijn hebben ze gewoonlijk miljarden winst per jaar, die 3 miljoen zullen ze dan ook niet verhalen op de overheid lijkt mij, misschien zijn ze ervoor verzekerd?
Bovendien zijn ze zelf verantwoordelijk voor hun beveiligingsbeleid.
Maar nietemin is dit weer een uitgekookt plan van een groep criminelen, die dit zonder inside information niet hebben kunnen plannen.
Verzekerd ?
Ja, maar een verzekering is ook een gedeeld medium.
Moet een verzekeraar veel uitkeren, gaan de premies omhoog.

Die 3 miljoen is misschien wel weinig op de miljarden, maar gemist geld is pijnlijk, dus wordt verhaald op de rekeninghouders.
Op de rekeninghouders? Dat lijkt me sterk, hoor. Het wordt gewoon ingeschreven als een verlies voor de bank.
inderdaad, een bank die 3 miljoen veel vindt is tegenwoordig die naam niet meer waardig
Hoe moet ik me dat eigenlijk voorstellen? Met je bivak muts voor de pinautomaat. Dan B100 achter de computer bellen. B100 drukt op enter en de geldmachine spuugt al z'n inhoud uit?
Google naar "Jackpotting ATM". Hier is een Black Hat presentatie uit 2011 (gegeven door de inmiddels overleden Barnaby Jack; bij mijn beste weten de eerste die hier onderzoek naar heeft gedaan). Als je geen zin hebt in de hele uitleg eromheen, op 28 min en 32 minuten is de demo.
Ook nog een interessante presentatie afgelopen CCC congres: https://www.youtube.com/watch?v=qPwirrZKJIY
Dit zullen wel die gasten zijn die toen met honderden ingezette studenten tegelijk aan het pinnen waren.

*edit: deze site is wat twijfelachtig qua betrouwbare naam maar volgens mij was deze het: http://www.boevennieuws.nl/nieuws/hacken-van-geldautomaten/

[Reactie gewijzigd door Dennisdn op 28 januari 2017 08:49]

Dit soort aanvallen werkt ook als iets niet aan internet hangt. Je valt de beheerder aan die de software moet updaten, en via een USB-stick of zo komt dan de 'verkeerde' software ergens terecht.

Overigens kan je malware dan tegengaan middels gesignde software. Maar voor configuraties is dat al moeilijker.

En dan nog, als iemand weet in te breken in het ontwikkel- of signing gedeelte is dit ook te corrumperen.
de meeste apparaten draaien dan ook nog op nt4
Fout! De meeste pinautomaten draaien op Windows XP (link). Windows nt4 komt nog uit hetzelfde tijdperk als Windows 95.
Het gaat dan wel om de Embedded versie van XP.
Draaien vaak XPe (of Windows 2009) welke beide nog steeds updates gepushed krijgen via Microsoft Updates.

Sterker nog, wanneer je XP opnieuw installeert en met regedit aanpast dat je os als XPe wordt herkent kan je nog steeds activeren en deze updates binnenhalen.
Heb ook regelmatig XP windowtjes gezien op 'hangende' automaten. ( ben oud genoeg om met beide gewerkt te hebben dus herken ze snel genoeg). Geen idee of dat per bank verschilt of wat het meest geprefereerde OS is verder maar echt bij de tijd zijn ze niet nee. 😂
XPe doet wat het moet doen, bevat security updates en de machines zitten in principe niet 'op internet' . In het buitenland zou het anders kunnen zijn maar in NL zijn de vaste GEA's niet direct benaderbaar via internet. Intern zijn de geldautomaten slechts zeer beperkt te configureren. Daarvoor zul je fysiek toegang moeten hebben tot het inwendige van de automaat.
Als je Microsoft hoort dan is Windows 7 uit een ander tijdperk en fundamenteel niet veilig (te maken) voor gebruik. Microsoft adviseert dus enkel Windows 10.

Nou als Windows 7 al niet veilig meer is volgens de fabrikant, dan zal Windows XP Embedded dat ook wel niet meer zijn hoor. Updates krijgen voor bekende exploits is niet hetzelfde als er gewoon bestand tegen zijn :)
Ze hangen niet aan internet, dus de bedreigingen zijn iets anders. Zoals XP voor non-internet gebruik ook nog veilig genoeg is.
Fout! De meeste pinautomaten draaien op Windows XP (link). Windows nt4 komt nog uit hetzelfde tijdperk als Windows 95.
ik zal even een screenshot magen de volgende keer. ik weet het verschil tussen nt4 en xp :P ik kom ze in ieder geval nog regelmatig tegen.
Ik heb er nog gezien met win 2k :+ machine vroeg om te herstarten, heb dat maar gedaan O-)
Het is natuurlijk verre van netjes dat pinautomaten nog op Windows XP draaien maar vergeet niet dat kasten zelf waar wij onze pas en code op invoeren niet de daadwerkelijke processing doet. Dit gebeurd "gewoon" op de backend servers van de bank in kwestie, dat is waar de meeste "interessante" dingen gebeuren. Het zou anders ook wel een erg enge bedoeling zijn geweest als ieder pinautomaat zelf instaat was om de autorisaties te doen.
Dat was 2 jaar geleden...
De abn heeft dat nog bij mijn weet
En als het niet aan het internet hing dan was je er misschien pas over 2 jaar achter gekomen?...
Dus, toch op je werk dat 7z-zipje openen met een payload erachter of die onschuldig ogende PDF. Wordt het niet eens tijd dat mails slechts geopend worden in een dichtgetimmerde VM-omgeving?
Dus, toch op je werk dat 7z-zipje openen met een payload erachter of die onschuldig ogende PDF. Wordt het niet eens tijd dat mails slechts geopend worden in een dichtgetimmerde VM-omgeving?
Kun je me updaten over wat er gevaarlijk is aan een PDF? Mijn naïeviteit (en gebrek aan kennis) zegt me dat een PDF uitsluitend gelezen wordt door je OS en niet kan schrijven/executen naar wat dan ook?

Of heeft PDF een soort van MSword macro functie die standaard aan staat?
Uit mijn blote knar heeft de API (corrigeer mij gerust mensen, graag zelfs) die een PDF inleest toegang tot grotere rechten en via een exploit kan je code uitvoeren op de computer. Bijv. eentje die via je registry steeds een bestand download via een ftp en steeds opstart.

Daar zit hem het probleem. Ik weet het fijne er ook niet van, maar ook in een PDF kan een payload zitten.

[Reactie gewijzigd door SkyStreaker op 28 januari 2017 06:30]

Net als in Office-documenten zoals doc en xsl. Maar volgens mij is het wel redelijk dicht te timmeren als je pdf geen url's laat uitvoeren, en Office geen macro's, dacht ik.
De pdf zelf doet niet veel maar is slechts de carier / stub van de payload. De payload is uiteindelijk de kwaadwillende code en draait na activeren (klikklik) onafhankelijk van de pdf
Inmiddels vrij oud filmpje maar daarom niet minder relevant:
https://www.youtube.com/watch?v=Ss_RWctTARU

Barnaby Jack - Jackpotting Automated Teller Machines Redux

Erg goede presentatie - RIP Barnaby Jack
Ach ja, is in ieder geval beter voor de consument want bij hem/haar wordt alleen het bedrag afgeschreven wat op de display gepinned is.

Scheelt een hoop gezeik met proberen te bewijzen dat je geskimmed bent en je niet je pas aan jan en alleman afgegeven hebt.
Dezelfde les uit 1996 : niet email openen met html erin, en helemaal niet als je niet om de email gevraagd hebt.

Maar ja. 20 jaar later is het dus nog steeds hetzelfde. Het boeit niemand dat hun klanten de pineut zijn.
5 leden, 3 miljoen euro schade. Netto-inkomsten voor fraudeurs veel lager.

Met zo'n skills hadden ze beter legaal gewerkt.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*