Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers stelen geld uit geldautomaten

36 Linkedin Google+

Criminelen hebben met behulp van malware in Oost-Europa miljoenen dollars gestolen uit geldautomaten. De malware zorgde ervoor dat de geldautomaat op commando geld gaf aan de aanvallers. Mogelijk zijn ook Franse en Amerikaanse banken geïnfecteerd.

Reacties (36)

Wijzig sortering
Diefstal is een van de beste drijfveren om te innoveren op het gebied van beveiliging.
Ik vraag me direct af hoe ze de malware in eerste instantie op het apparaat hebben gekregen.
Ik vraag me direct af hoe ze de malware in eerste instantie op het apparaat hebben gekregen.
Met CD of USB-stick.
Dus ze kunnen niet bij het geld komen, maar wel bij de pc om er een cd in te stoppen? Ik geloof het direct, maar waarom is dit computer fysiek dan niet net zo goed beveiligd als het geld?
In iedere geval 'fijn' dat het niet iemands rekening is. Maar die gasten (makers) lijken geen geweten te hebben. Zie ook dit nieuws: http://www.rtlnieuws.nl/n...len-overspoelen-nederland
Naja, op zich wordt geld ook maar wat bijgedrukt. Zo heeft de VS toch ook zijn crisis opgelost? Geld bijdrukken totdat de markten begonnen te reageren en ze wisten dat ze de grenzen bereikt hadden?

Het geld dat gestolen wordt is geld van de bank, niet geld van een bepaalde rekening. Het wordt dus gestolen van de winst van de banken. Well, zo lang de hoeveelheid gestolen geld niet groter is dan de bonussen van de bankentop, kan de bankentop de bank levend houden. Gewoon geen bonus, en de bank is gered.
Geld is niet bijgedrukt maar verzonnen, goochelen met cijfertjes zullen we maar zeggen. Meer verlenen dan je hebt in de hoop dat mensen het niet massaal van de bank opeisen/opvragen/gebruiken. Het is vergelijkbaar met 20GB via een cloud service, dat hoeft er niet te zijn en wanneer je de hoeveelheid aanspreekt merk je pas of het er is. Vele gebruikers gebruiken niet meteen de toegewezen capaciteit, zo ook met een bankrekening.

Bijvoorbeeld als je 20GB aan 10 mensen verleent terwijl je maar 20GB fysieke ruimte hebt, dan doe je voorkomen dat je dat allemaal hebt. Het 'mooie' (=liegen) is dat je die 20GB kunt verkopen voor een x-bedrag per maand. Zo kun je dus geld verdienen zonder dat je de capaciteit écht hebt. Er ontstaat een probleem wanneer deze mensen die 20GB tegelijk willen opeisen. Dan kom je dus 190GB tekort. Het hele verhaal loopt in de soep. Nu had je dus ook van de winst nieuwe schijfruimte kunnen aanschaffen maar ja wanneer je dat niet goed bijhoudt en steeds meer verleent dan je hebt dan heb je op gegeven moment een gat dat steeds groter wordt. Zo is het ook gegaan met de banken (maar dan met geld uiteraard). Deze bankiers wilde een groter rendement om sneller rijk te worden.

Het geld wat er zou moeten zijn is omgezet in schulden (bijvoorbeeld een huis als onderpand e.d.), dus het bestaat helemaal niet. Onderpand is er wel, waarde is wel maar geen fysiek geld. Was het geld er fysiek dan was er geen probleem. Je kunt niet zomaar geld bijdrukken, daar moet iets tegenover staan, bijvoorbeeld goud. Anders krijg je een stijgende inflatie en is geld minder waard.

[Reactie gewijzigd door Erwines op 9 oktober 2014 08:02]

In iedere geval 'fijn' dat het niet iemands rekening is.
De kosten komen hoe dan ook per definitie terug op kosten van de klanten van de betreffende banken. Verspreid over alle klanten, natuurlijk. Door dit soort fraude moeten ze minder rente gaan geven, of bijv. de kosten van de pinpas weer verhogen, of hogere hypotheekrentes gaan rekenen, etc. etc.
Is dit oud nieuws of.... In dat geval niet alleen vreemd dat het gebeurt, het is vreemder dat het dus blijkbaar nog steeds gebeurt:

Dit gebeurde dus een jaar geleden al!

[Reactie gewijzigd door fezoj op 7 oktober 2014 16:07]

Psst, dit is toch al jaren bekend? Vrijwel alle pinautomaten wereldwijd draaien op een slecht beveiligd windows 95 98 of xp. Daarbij weet ik toevallig (via iemand die o.a alle pinautomaten voor de abn beheert) dat dit een feature is die ze misbruiken, niet eens zo zeer een hack. (als in, we hebben allerlij aanpassingen gemaakt en kunnen daardoor nu geld stelen)

In ieder geval wel jammer dat dit nu zo op straat ligt, betekend dat alle pin automaten weer vervangen moeten worden, lekker dan.
Welnee - niet alle geldautomaten moeten vervangen worden...

Als dit een feature is dan kan het ook weer verwijderd worden. Een software update en klaar ben je. Overigens hoeven we geen medelijden te hebben met de banken als ze dit soort "features" met opzet in hun automaten stoppen. Security through obscurity (maw - vertrouwen op het feit dat niemand het weet) is een zeer slechte praktijk...
Oh wacht, er hangen kabels aan de automaat zo te zien :? Dan is het meer dan alleen een handleiding gebruiken.

[Reactie gewijzigd door steveman op 7 oktober 2014 16:11]

Tis net alsof je in een gokkast/speelautomaat in zo'n hopper menu zit.
krek hetzelfde maar dan voor munten.
Het is ook ongelofelijk dat die bank automaten vaak nog op windows xp draaien.
Tja, dat hoeft natuurlijk geen probleem te zijn als er maar geen manier is om van buiten af in de geldautomaat te komen. Ook netwerk technisch zal men wel de boel op orde moeten hebben. Inside job anyone? :)
Banken zijn bedrijven die ook naar geld kijken.

Het werkt dus heel simpel. Je zit met een netwerk van zeg 2000 geldautomaten die op oude software/hardware zitten. Het kost een vermogen om die te vervangen.

De schade met fraude valt normaal wel mee en dus is het goedkoper dat in te calculeren en de boel niet te vervangen. Zeg dat de combinatie hardware software een 5000 euro kost x 2000 dan kost het 10 miljoen om de boel te vervangen. Daarnaast nog het onderhoud.

Banken ondernemen pas iets als de schade te groot begint te worden, triest maar waar.
Een pinautomaat op dergelijke software laten draaien vind ik sowieso al dubieus.

Waarom? Je weet dat windows (altijd geweest) fraude gevoelig is. Alleen al omdat er veel geld te verdienen is met het hacken ervan en virussen.

Geld automaten zijn natuurlijk interessant dus tja 1 en 1 is twee.

Een beveiligde linux distributie, of een zelf geschreven OS welke je wel goed geheim houd is natuurlijk vele male veiliger.

maar goed als ik het filmpje zo zie dan heb je wel toegang nodig en valt het allemaal nogal op.
Je kan alles op windows afreageren, laten we het dan niet hebben over de linux ssh problemen of bash en wie weet nog een paar waar wij niets van af weten.

De vraag is lukt die zonder toegang te krijgen tot de hardware. Heb je fysiek toegang tot hardware is niets veilig.

Vraag me dus af hoe het werkt. Bankkaart er in die het virus inbrengt ?
Via toetscombinatie krijgt men dat toegang tot de hack.
In het filmpje zie ik boven wat draden lopen.

in het andere artikel stond dit: De aanvallers installeerden de malware via een cd op de software van de geldautomaten

Dus fysiek toegang moeten heben tot de harware. Als je dat hebt lijkt me geen enkel systeem veilig.

[Reactie gewijzigd door bbob1970 op 7 oktober 2014 16:36]

Dus fysiek toegang moeten heben tot de harware. Als je dat hebt lijkt me geen enkel systeem veilig.
Euhm... Als er geen CD-speler of USB-poort op zit, dan is 't toch al een (heel) stuk veiliger? Ze moeten gewoon dedicated machines maken, en geen standaard-PC-tje nemen voor hun pinautomaten.
En Windows: tja, er bestaat geen Windows-versie zonder bekende security holes. Neem bijv. de veiligste OS die je kent. Wellicht QNX, die ze ook in de ruimtevaart gebruiken.

[Reactie gewijzigd door kimborntobewild op 7 oktober 2014 16:54]

Kast open, moederbord aansluiting klaar.
Fysiek toegang is toegang tenzij je natuurlijk het mainbord zelf in hars giet.
Probleem hele kast vervangen kost wel weer wat.

Zoals ik al aangaf linux was veilig nu ssh en bash wat hele oude lekken bleken te zijn. Wie weet zitten er zo nog meer lekken in linux en ander Os'en

Wat nu veilig is, is dat over x jaar misschien niet. Feit blijft is is gemaakt door de mens dus zitten er fouten in. Mensen maken fouten dat is gewoon een feit.
Misschien hebben ze toegang tot het netwerk weten te krijgen. Is het netwerk niet goed genoeg beveiligd. Als je leest dat er in oosten van europa en in andere landen mogelijk automaten besmet zijn, lijkt het me stug dat het door directe toegang gebeurt is op het automaat. Je hebt vaak niet de tijd z'n automaat open te krijgen en even van alles uit te halen zonder gezien te worden.

Daarnaast hebben ze vast wel goede camera bewaking in en rondom de automaat.

En bash en andere issues zijn nu ineens zo bekend, omdat er bijna nooit wat met linux gebeurt. Windows hacks en issues komen te vaak voor, waardoor het verwaterd in de nieuws wereld.
Ik denk eerlijk gezegd dat windows onder particulieren veel breder gebruikt is. Je kunt zeggen wat je wil maar doordat windows op zeg 95% van alle consumenten pc's ter wereld staat leren kinderen (toekomstige hackers) om op dit platform rotzooi te trappen. Ze hebben immers tot dat platform toegang. Ik denk dat de kennis tot windows en het hacken ervan dus wat dat betreft ook erg voor loopt dan op Linux.

Daarnaast, wat heb je aan het maken van een virus voor Linux? Als je malware wil verspreiden dan bereik je maar een paar procent van de bevolking. Het is dus ook veel interessanter om voor windows een hack of een virus te maken.

Nadeel aan windows is wel dat het een dicht systeem is waar niet iedereen zomaar verbeteringen aan toe kan voegen, het gebruiksvriendelijk moet zijn voor de digibeet en zowat ieder stukje hardware en software op de planeet moet kunnen ondersteunen.

Dit zijn niet de meest ideale omstandigheden om een perfect afgesloten systeem te bouwen.

ontopic
Maar echt toegang hebben tot de hardware vervolgens de halve software moeten herschrijven en dan nog met codes gaan vogelen om geld uit de automaat te krijgen dat is toch vrij omslachtig. En denk vooral behouden tot de oosterlijke kant van Europa waar de corruptie bij medewerkers van banken wellicht ietsje hoger is (al is dit zomaar en gedachte van mij)

[Reactie gewijzigd door sygys op 8 oktober 2014 13:10]

Ik reageer me niet af op windows, ik snap ook niet goed hoe je daar nu bij komt.

Ik zeg dat de kans dat je gehacked wordt op populaire systemen groter is. Nu is dat windows.

Maar waar OSx als 100% veilig werd gezien (onterecht) zie je dat er altijd wel manieren zijn om ergens omheen te komen. Dat zie je nu met iOS.

En zoals je zelf aan geeft met Linux en ssh was het ook een probleem.

Die laatste regel die je typt bevestig ik alleen maar, als je ziet wat er allemaal ligt aan "troep" tja dan wordt het beveiligen lastig.
Een zelf geschreven OS?!? Joh - da's een dure zaak!!

Het gebruiken van commerciele oplossingen bespaart een organisatie juist bakken met geld. Het Amerikaanse leger heeft tijden eigen controllers voor robots gemaakt. Tot ze overstapten op de Wii-mote van Nintendo. Die dingen waren goedkoper, waren getest door miljoenen mensen, een ander bedrijf had alle research al voor ze gedaan en het merendeel van de recruten wist hoe ze er mee moesten werken. Vier vliegen in een klap.
Zo ook voor een bank: bijna elke developer kan ontwikkelen op Windows of XP in het bijzonder. Een eigen OS staat of valt bij je developerteam en als daar key mensen uit wegvallen ben je het haasje. (zie de roep om Cobol programmeurs rond het jaar 2000). XP kan best op een geldautomaat - er moet alleen wat langer nagedacht worden over de beveiliging. En als een crimineel lokaal toegang heeft tot de interne structuur van het apparaat, dan helpt weinig meer...
Ja oke, maar zo'n apparaat heeft een verbinding naar buiten. Want hoe kan het anders weten dat jij nog geld op je rekening hebt en hoe kan het anders de bank laten weten dat jij geld opgenomen hebt.
Natuurlijk heeft een geldautomaat een verbinding naar buiten - maar dat hoeft toch geen internet verbinding te zijn? Dat kan toch ook een gesloten netwerk zijn waar je als buitenstaander niet bij kan?

Overigens vermoed ik dat de malware lokaal op het systeem is geinstalleerd door een corrupte onderhoudstechnicus. Dus lokaal een USB stick in het apparaat gestopt en de malware geinstalleerd. Dan helpt XP overigens weer wel... ;)
Hmmmm.. dat kan ook de leverancier zijn geweest die "foute" usb sticks heeft geleverd. Of een virus die zich verspreid over com/interface kanalen zoals het virus die de nucleaire centrifuges in Iran had geïnfecteerd.

De mogelijkheden zijn eindeloos.
Zeker dat het niet XP embedded is? Voor die versie gelden andere regels dan voor de gewone consumer XP versie. En deze is nog altijd supported door Microsoft.
Andere regels, maar er zitten nog wel steeds veel zero-day lekken in.
Windows XP embedded zal in tegenstelling tot Windows XP Pro for Embedded Systems tot en met januari 2016 ondersteund worden

bron: http://computerworld.nl/b...--embedded-in-uw-systemen
Als het een ander Windows besturingssysteem was geweest was het ook misschien wel te hacken geweest. De hackers zijn vaak altijd een stapje voor op de anti virus bedrijven etc. Bijna alles is te hacken dat wordt aangestuurd door een computer.
Probeer zo'n reactie maar eens in de plus te houden op een website als tweakers waar >99% een Windows-gebruiker is :). Wij van WC-eend...
Wat heeft Windows XP hier mee te maken?
Als ze van een USB-stick booten met malware maakt het niet uit of er standaard XP, 7, 8, Linux of whatever opstaat.
Bij een Mac kan je wel Firmware Password Utility gebruiken. Kunnen ze dat niet bij die automaten gebruiken om de hackers een stap voor te zijn?
Nieuws voor jou: hackers zijn ook gewoon maar mensen, met alle bijbehorende mensen-eigenschappen. Dus ook daartussen lopen boeven rond, maar ook mensen die wel een geweten hebben en dat inzetten om bijv. veiligheid te verbeteren.

Ik ben benieuwd of dit ook op deze manier toepasbaar is in Nederland? Kan me zo voorstellen dat de staat van de techniek daar wat achterloopt. Maar goed, hoe lang hebben wij hier pinautomaten zoals we ze nu kennen? Het enige dat er verandert is het uiterlijk bijv. ander "mondje" om je pas in te schuiven "tegen" skimmers).
Hier in mijn woonplaats heeft de abn onlangs een heel nieuw type opgehangen met touchscreen ed., maar dat gebeurde ook pas nadat het bankkantoor zelf moest sluiten, maar op andere plaatsen hangen al jaren dezelfde automaten.
Kort gezegd: ik vraag me af of we dit hier in Nederland ook kunnen verwachten. We hebben al vele manieren gezien, zoals skimmen/plofkraken/met bulldozers die dingen uit de muur trekken, maar op deze manier hebben we het hier in het land nog niet meegemaakt toch?
Goed, het zou mij in ieder geval niets verbazen. Ondertussen staat hier nl. de deur nog wagenwijd open voor gespuis uit Oost-Europa dat z'n werkgebied zo makkelijk heeft kunnen vergroten. Voorbeelden daarvan hoef ik (hopelijk) niet te noemen....

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*