'Oost-Europese criminelen kraken Amerikaanse betaalautomaten'

Beveiligingsonderzoekers hebben ontdekt dat criminelen het hebben gemunt op zogenoemde point of sale-systemen en pinautomaten, om nummers van creditcards te ontvreemden. Honderden apparaten zouden met de malware zijn geïnfecteerd.

De honderden geïnfecteerde apparaten hebben ertoe geleid dat creditcard-gegevens van klanten van verschillende grote Amerikaanse banken, waaronder Chase en Citibank, zijn ontvreemd. Dat schrijft SecurityWeek. De gekraakte systemen zijn pinautomaten en systemen die worden gebruikt voor het afrekenen, zogenoemde point of sale-automaten.

De meeste aanvallen die de onderzoekers van beveiligingsbedrijf Group-IB ontdekten waren uitgevoerd met hulp van binnenuit, meestal door medewerkers die verantwoordelijk waren voor het onderhouden en updaten van de systemen. Een aantal systemen die Windows XP en Windows Embedded draaiden, werd op afstand gekraakt door op de apparaten in te loggen via remote-desktop of VNC. Ook werd er ingebroken op de netwerken waarop de apparaten waren aangesloten.

De in C++ geschreven malware onderschept creditcardnummers en uploadt deze data via ftp naar een command-and-control-server. Deze server zou op naam staan van een Russische internetprovider. De groep die achter de aanval zit, zou ook op commando ddos-aanvallen uitvoeren voor 2 dollar per uur. Veel leden van de groep zijn volgens Group-IB jonger dan 23 jaar en afkomstig uit Oost-Europa. Hoe Group-IB dat te weten is gekomen, is onbekend.

Reacties (36)

benurk! 28 maart 2013 17:19

Een aantal systemen die Windows XP en Windows Embedded draaiden, werden op afstand gekraakt door op de apparaten in te loggen via remote-desktop of VNC.

Ligt het dan niet gewoon aan oude software? hoewel er nog veel bedrijven XP draaien omdat de software niet ondersteunt wordt op andere platformen.

OverSoft @benurk! • 28 maart 2013 17:24

Dat die systemen uberhaupt draaien met RDP of VNC, erg vreemd. Die automaten horen dicht getimmerd te zijn. Een aantal jaar geleden heb ik al eens een demo gezien (volgens mij bij DEFCON) van iemand die een aantal automaten had gekraakt, lokaal en remote. Nu wordt het dus ook daadwerkelijk gebruikt.

Cobalt @OverSoft • 28 maart 2013 17:47

Dit is volgens mij het filmpje waar je naar verwijst.
Defcon 18 - Jackpotting Automated Teller Machines Redux ( http://www.youtube.com/watch?v=w1KfSSDh3gU )

OverSoft @Cobalt • 30 maart 2013 16:34

Die bedoelde ik idd.

Damic @OverSoft • 28 maart 2013 21:02

Aan dat filmpje (dat Cabalt gepost heeft) moest ik ook ineens denken. Simpel remote hack

Dan0sz @benurk! • 28 maart 2013 18:04

Sowieso, hulp op afstand lijkt me wel iets wat je uit zet als 't gaat om 'n pin automaat.

Damic @Dan0sz • 28 maart 2013 21:01

Maneejt er heeft altijd wel iemand hulp nodig om aan zijn geld te geraken

Yoshi @benurk! • 28 maart 2013 20:18

ligt dat niet aan het feit dat er mensen van binnenuit meededen? ik denk dat daar eerder de fout ligt dan het gebruikte OS. Als je dan ook meetelt dat ze daar een beetje achterlopen op gebied van veiligheid en gebruikte methodes denk ik eerder dat ze daar moeten aan werken. En niet een zogezegd veiliger OS gebruiken.

Of ze nu hulp of afstand openzetten op een winsysteem of ze zetten bepaalde dingen open bij een UNIX systeem.... Het maakt niet veel uit denk ik dan.

[Reactie gewijzigd door Yoshi op 23 juli 2024 12:29]

Armin

Netwerk en systeembeheer

@benurk! • 28 maart 2013 20:23

Ligt het dan niet gewoon aan oude software? hoewel er nog veel bedrijven XP draaien omdat de software niet ondersteunt wordt op andere platformen.

Als het een inside job is, zoals gesteld, kunnen zelfs volledig gepatchde systemen gekraakt worden. Immers het zijn mensen die toegang behoren te hebben, die die rommel geinstalleerd hebben.

Soppyscroll @benurk! • 28 maart 2013 21:54

Bij ons op werk met kassasysteem etc werkt hier allemaal op Windows server 2003 en kassa's ook allemaal. Niks mis mee toch?

jcamps 28 maart 2013 18:20

Aanbevolen literatuur: Kingpin van Kevin Poulsen. (editor van Wired)

In dit boek staat deze methodiek letterlijk in beschreven. Gekraakte PoS systemen zijn een belangrijke bron van actuele creditcard gegevens die dan weer worden verhandeld op ondergrondse fora.

Batiatus 28 maart 2013 18:25

VNC, serieus? Die beveiliging van die software was jaren geleden al zwaar achterhaald. Zelfs in Cain & Abel is er een speciale tool om die verbindingen te onderscheppen en te misbruiken, vind het raar dat die systemen nog geen nieuwe remote desktop tool in gebruik hebben. Hoop dat daar binnenkort toch wat verbetering in komt.
Ook RDP is niet geheel veilig, is volgens mij niet heel lang geleden geweest dat er een zero-day exploit in RDP zat die flink misbruikt kon worden.

Zebby 28 maart 2013 19:42

Ja, POS zijn erg verouderd in Amerika, plus ze werken nog met de magneetstrip; een techniek die ook al meer dan 20 jaar oud is. TIjd voor een grote update daar!

Edgarz 28 maart 2013 23:49

Geen enkel systeem is veilig als geautoriseerden malware plaatsen.De zwakste schakel is altijd de mens.

Centauriprime

28 maart 2013 18:41

Je kan hier niet Windows of vnc de schuld geven. (Het maakt het wel makkelijker). Geef de brakke software maar de schuld die de betaling afhandelt en het feit dat de magneetstrip nog steeds gebruikt word. In Europa werkt dit niet niet bij betaalautomaten idg, geldautomaten weet ik niet.

Armin

Netwerk en systeembeheer

@Centauriprime • 28 maart 2013 20:35

Hangt van de methode af. Het lijkt hier niet enkel om skimmers te gaan die de strip uitlezen, maar software in de apparatuur. In dat geval maakt het mogelijk niet uit of je een chipje gebruikt. Als de software in de belastingskastjes zélf de spyware bevat.

itsalex

29 maart 2013 09:35

POS is heel leuk en aardig maar veel te duur. Tuurlijk moet iedereen zijn geld verdienen maar het onderhoud houden ze qua prijzen zo hoog dat niemand het wil en zolang het dan draait, draait het. En dan klagen als het fout gaat. Ik vind dat die jongens die de boel installeren, ook gewoon jaarlijks onderhoud in het pakket moeten hebben, alleen maar om VNC of andere software uptodate te houden en geen freeware pakketen moet installeren omdat het "goedkoper" is.

Zo was ik onlangs ook bij een winkel waar ik een paar dingen heb gedaan en daar bleek de virusscanner niet meer te werken. Daar let een gebruiker ook niet op en dat is uiteraard ook niet de taak van ze en maar het is wel een stuk wat ook de boel kan afschermen. Als ik het goed zag was de virusscanner al 1 jaar niet meer actief.

wildhagen

Beveiliging en antivirus

@kritischelezer • 28 maart 2013 17:36

Veel betaalautomaten draaien op een Windows-versie hoor, vroeger NT4 en 2000, tegenwoordig meestal XP/XPE geloof ik.

Voor pinautomaten is dat volgens mij nog meer, bijna alles draait daar op Windows volgens mij, in diverse smaakjes en versies?

In principe is daar ook niks mis mee, zolang je het maar goed beveiligt. Daar lijkt hier geen sprake van te zijn... VNC is sowieso niet heel erg veilig, RDP kan wel veilig gemaakt worden met wat aanpassingen. Maar waarom men RDP nodig heeft op een betaalautomaat ontgaat me dan weer wel even.

Kuusj @wildhagen • 28 maart 2013 17:58

Niks is volkomen veilig, zelfs met de allerduurste en sjiekste beveiligingen e.d.

Maar, inderdaat, er kan wel BETER beveiligt worden, en dan ook nog betaalautomaten.
Waar moet het heen? 2$ per DDOS/uur, lukeratief handeleltje naar mijn mening, vooral voor die Russen...

Maar ja, waarom idd zulke dingen op een (let op:) betaalautomaat!?, dat MOET toch wel dichtgetimmert zijn, hoe kun je je banknummers etc. dan nog met vertrouwen invoeren?

Ik vind het maar raar, niet dat ze erin komen, maar waarom men het maakt dat men erin komt..

Armin

Netwerk en systeembeheer

@Kuusj • 28 maart 2013 20:31

Ach, het USA strafrecht is niet zo slap als de onze, dus deze 'insiders' kunnen op heel wat 'jailtime' rekenen.

De kernvraag is hoeveel nummers zijn ontvreemd, en hoe groot is dit % op het totale aantal creditcard nummers dat jaarlijks geblokeerd moet worden.

Vergeet niet, dat elk jaar miljoenen credit cards, debit cards, charge cards, Europese Meastro, VISA vPay, etc gehacked/ontvreemd/etc worden.

En helaas ook elk jaar een groot deel inside jobs. Er zijn nu eenmaal veel oneerlijke mensen op aarde. In Nederland was er een paar jaar terug ook een schandaal waarbij bij supermarkten ingebroken was en de PIN-kastjes voorzien van skimmers én nadien weer waren verzegeld met officiele zegels. Dat rook ook naar inside job connecties...

De kern vraag is dus of die gewoon een van de helaas vele hacks is, of dat deze heist groter is qua omvang (geld, betrokkenen, schadebedrag, etc).

[Reactie gewijzigd door Armin op 23 juli 2024 12:29]

mxcreep @wildhagen • 28 maart 2013 22:32

VNC niet veilig noemen is wel heel erg kort door de bocht, zowieso zijn er verschillende VNC servers en clients en is het normaal gebruikelijk om VNC connecties te tunnelen door SSH. Dat dit op Windows misschien een probleem is is een ander verhaal, persoonlijk zou ik op dergelijke plekken ook geen Windows inzetten...

Protocollen als VNC, RDP etc horen gewoon nooit direct aan WAN te hangen maar alleen via een management netwerk te bereiken te zijn.

[Reactie gewijzigd door mxcreep op 23 juli 2024 12:29]

NDymyon @kritischelezer • 28 maart 2013 17:39

Ik begrijp dat jij nog nooit een gecrashte pinautomaat hebt gezien, ook hier in Nederland zie dan gewoon een BSOD =).

Edit: het woordje 'nooit' vergeten

[Reactie gewijzigd door NDymyon op 23 juli 2024 12:29]

Thomasv6 @kritischelezer • 28 maart 2013 17:40

Er draait zon beetje op elk systeem om je heen een versie van windows, met xpe als meest voorkomende.

Denk eens aan de pin en kassa systemen, maar ook eens aan machines die productie draaien. Windows is niet alleen het systeem voor word en excel.

mad_max234 @BoringDay • 28 maart 2013 18:03

Lijkt me een fatale fout dan! Dat moet je windows niet toevertrouwen. Mag wel eens duidelijk zijn. Kassas kunnen ook wel via linux/osx

Waarom strijk je alle windows versies met één kam? Windows heeft betere instelbare beveiliging dan linux heeft, dat linux voorliep op windows is zijn vista achterhaalt, heeft minimaal even goed of beter systeem.

En met juiste instelling kan je zelfs XP helemaal dicht timmeren, maar XP is sowieso kwetsbaarder dan windows vanaf vista en linux.

[Reactie gewijzigd door mad_max234 op 23 juli 2024 12:29]

klonic @mad_max234 • 28 maart 2013 18:13

Er is echter veel meer know-how omtrent het misbruiken van windows dan van linux en osx. Ik heb zelf regelmatig beveiligingsissues gehad met windows terwijl ik dat nooit op osx heb.

mad_max234 @klonic • 28 maart 2013 18:30

Over welke issues heb je het dan en welke win versie?

Mits je Windows goed beheerd is het minstens net zo veiliger dat xos en linux, MS heeft zins vista grote inhaal slag gemaakt. Mensen die anders beweren weten niet hoe ze systeem moeten beheren. osx ben ik nog nooit tegen gekomen op machines of zo, je ervaring zal dan wel als consument zijn? Heeft er iemand überhaupt wel eens osx gezien op machine?

Bij Recticel(Kesteren) draaien alle cnc freezen op windows, ook achterliggende systeem om alle data naar de freezen te sturen werkt ook op windows. Win95 en win xp op de freezen zelf. Windows is denk ik een van meest gebruikt systemen voor machines, buiten consumentenelektronica om wel te verstaan. Heb het over echte machines voor productie en verwerking.

SPee @mad_max234 • 29 maart 2013 11:01

Bij Recticel(Kesteren) draaien alle cnc freezen op windows, ook achterliggende systeem om alle data naar de freezen te sturen werkt ook op windows. Win95 en win xp op de freezen zelf. Windows is denk ik een van meest gebruikt systemen voor machines, buiten consumentenelektronica om wel te verstaan. Heb het over echte machines voor productie en verwerking.

De keuze voor (embedded) Windows wordt meer gemaakt vanuit de gedachte van support dan dat ze dat doen vanwege beveiliging. Dat speelt bij zulke apparaten nauwelijks (of helemaal niet) mee. Bij de overheid en in ziekenhuizen is het niet belangrijk en aangezien een frees niet een interessant doelwit is, zal het daar ook weinig aandacht krijgen. Binnen je bedrijf kun je de toegang makkelijk op netwerkniveau blokkeren.
En de kosten voor licenties krijgen ze voor die productiemachines wel terug. Dat merk je niet op de totale kostprijs. Voor consumenten electronica wil je zo goedkoop mogelijk af zijn en is Windows minder aantrekkelijk.

ktf @mad_max234 • 28 maart 2013 18:52

Mensen die anders beweren weten niet hoe ze systeem moeten beheren.

Nou, dat mag ook wel wat minder uit de hoogte. Mensen die anders beweren hebben gewoon een andere mening dan jij. Feit is wel dat je Linux (en daar zijn ook weer heel veel verschillende versies van, ik ben bekend met Ubuntu server) heel goed kan strippen en niet meer software hoeft te hebben dan uiterst noodzakelijk. Zie het BIND probleem in het nieuws van vandaag waarom dat belangrijk kan zijn.

Dat machinerie op Windows draait is vrij normaal, maar dingen zoals webservers zijn juist voor het grootste deel unix. De eerste wordt niet continu aangevallen, de tweede hangt aan het internet en makkelijk doelwit. Pinterminals hangen ook aan het internet.

batjes @ktf • 29 maart 2013 06:52

Gebruikt Ubuntu... Een distro die unstable packages bij Debian wegropt. Die Debian express in unstable houd omdat het niet veilig en stabiel genoeg is voor de release versie. En mensen die een erg veilige Linux hebben. Beginnen met een kale kernel en niet met een complete distro.

En toch beginnen over veiligheid.

Momenteel is het redelijk verdeeld, de ene statistieken melden ~40% windows en 60% Linux. De andere 60% windows en 40% Linux.
Dit terwijl Linux bijna 90% had van de webservers in het begin van deze eeuw. Is dus behoorlijk aan het instoren.
Welke servers gebruikte Anonymous trouwens voor hun geDDOS? Oh jah. Linux.
Waar Linux groot is word het echt wel aangevallen. Als de markt er maar groot genoeg voor is om doelwit te zijn.

En momenteel loopt Linux gewoon achter. Dit begon bij de release van Vista waar mad_max het over had.

mxcreep @batjes • 29 maart 2013 08:21

En op welke punten loopt het achter dan volgens jou ? Ik ben namelijk van mening dat ik een Linux systeem beter kan beveiligen dan mogelijk is met een Windows systeem, in elk geval wel voor dit soort toepassingen en server taken. Uiteraard moet je daarvoor behoorlijk selectief zijn in welke distro je gebruikt en welke services je wel en niet installeert. Een standaard Ubuntu server met Webmin erop voor beheer voldoet zeker niet. Valt het je niet op dat zo'n beetje alle beveiligings appliances, routers zoals Vyatta (tegenwoordig eigendom van Brocade) en dat soort dingen zijn allemaal linux gebaseerd, maar wel hardened.

Overigens wil ik niet zeggen dat er nooit beveiligings issues zouden zijn in Linux hoor, maar het geeft je zowieso een keuze in de tools die je gebruikt die op Windows onmogelijk is...

[Reactie gewijzigd door mxcreep op 23 juli 2024 12:29]

BobJung

@ktf • 29 maart 2013 01:26

Hij heeft volledig gelijk en verder is het zo ook dat ubuntu server van binnen uit, want hier hebben we het over, open gezet kan worden. Dat strippen wat jij doet kan ook andersom als mensen van binnen uit met de software klooien, kortom ea erop zetten waardoor alles open komt te liggen.
Dit is gewoon een gore inbraak.

BoringDay @mad_max234 • 31 maart 2013 22:59

Omdat het gewoon een feit is, dat blijkt nu namelijk alweer.
Meer veiligheidsinstellingen betekent niet dat het beter is, wellicht heeft linux een heleboel dingen niet nodig terwijl juist windows daar vatbaar is?

Verwijderd @BoringDay • 28 maart 2013 18:10

De Belgische informatiepanelen in treinstations draaien ook op Windows XP... met de onvermijdelijke blauwe schermen of grijze error-kadertjes die af en toe opduiken...

Offtopic : Ubuntu Linux in China en Ubuntu Linux in het Noorse leger.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 12:29]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (36)

Sorteer op:

Weergave: