News Malware: Bankautomaten werden in Skimming-Geräte verwandelt

Ich finde es bedenklich, dass solche Teile überhaupt irgendwelche Anschlüsse haben.
Mehr als eine Verbindung zum Netzwerk der Bank sollte doch eigentlich nicht nötig sein?

Zum Glück bin ich vor x Jahren auf Online-Banking umgestiegen.
Geld abheben tue ich auch nur von Automaten, die sich direkt in einer Filiale befinden.
Ich bin da etwas eigen (wohl zu Recht) und habe immer ein paar Mark mehr bei mir, damit ich gar nicht erst in die Situation komme, irgendwo am Straßenrand irgendwelche Automaten benutzen zu müssen.

Aber wenn die Gauner auch über das interne Netzwerk gehen, muss ich in Zukunft wohl immer die gute Dame am Schalter belästigen.
Die 5x im Jahr wo ich Geld abhebe, sollte das eigentlich kein Problem sein.
 
S.Kara

Handhabe das genauso!
Habe auch schon darüber nachgedacht mir das Geld am Schalter auszahlen zu lassen!
 
Googlook schrieb:
Wer sagt dass das Problem bei Microsoft liegt? Haben die Banken die Updates eingespielt? Irgendwelche Drittsoftware welche Löcher ins System reist? Solche Aussagen kommen idR nur von Personen die gerade überhaupt keine Ahnung haben...
Das Problem sind auch die hier erwähnten Physischen Schnittstellen die 'leicht' zugänglich sind.
Da ist von RS232 bis USB alles vertreten...
Oft werden diese Schnittstellen nicht mal mehr für Wartungsaufgaben genutzt/benötigt und bleiben so Wochen, manchmal Monatelang völlig unbeachtet.
Oft wird bei der Installation einer solchen "Anlage" nicht mal daran gedacht das man die Schnittstellen benutzen könnte um das System zu kompromittieren. Da wird aufgepasst das nichts über das Netz auf die Kiste kommt, aber der USB bleibt offen wie ein Scheunentor.
 
Diese Story spielt den Plänen der Bundesregierung zur Abschaffung von Bargeld natürlich richtig in die Hände. "Sicherer" werden sie zum rein elektronischen Kapitaltransfer sagen ... Nur ob da die Probleme nicht einfach nur verschoben werden?
 
Also wenn da so einfach auf USB und Co. so zuzugreifen ist, ist das schon traurig für Nixdorf und Co oder wer diese Automaten so herstellt. Ganz tolle Leistung sowas.

Geldautomaten direkt in ner Bank-Filliale hab ich aber schon lange nicht mehr gesehen. Egal welche Bank, die sind immer in irgend nen Vorraum und auch Abends bei geschlossener Bank einfach zu betreten. An der Theke auszahlen geht auch nur noch sehr selten. "Gehn sie zum Schalter"....

Mein Schutz ist einfach wenig aufn Giro zu haben wo ich mit der EC oder Mastercard Geld abheb. Überziehn hab ich auch sperren lassen.
 
Zuletzt bearbeitet:
Deswegen hebe ich einfach kein Geld ab. Zahle wenn es geht mit Karte und sonst geh ich einfach in den nächsten Laden.

naneu schrieb:
Ich konnte den sehr jungen hippen Bankangestellten gerade noch davon überzeugen sich nur den Direktlink herauszukopieren und damit
nach Browserneustart ein neues Fenster ohne Google aufzumachen.
Und was wäre so schlimm daran gewesen? Solange in der URL bankenname.de steht und das Schloss eine SSL Verbindung anzeigt, ist es doch egal, ob man über Google kam oder nicht!
 
FranzvonAssisi schrieb:
Es bleiben immer Lücken - nobody is perfect. Egal, ob Windows 10,8,7; Linux oder OSx.

Jetzt wäre noch interessant zu wissen, was genau verantwortlich ist & ob Windows XP Embedded auch betroffen ist etc.

Wenn an dem BS nicht wirklich was verändert wird, sondern immer nur Löcher gestopft werden - seit Beginn XP - wie kann es dann sein, dass immer noch Löcher existieren?
Selbsterstellender Schweizer Käse?
Das ist Bullxxxx.
 
Meiner Meinung nach, werden diese Lücken bewusst gelassen -
damit ja auch das FBI drauf zugreifen kann...

Dem stimme ich zu aber nicht nur fürs FBI ;)

Jetzt wäre noch interessant zu wissen, was genau verantwortlich ist

Na wer wohl? 3 mal darfste Raten gebe dir einen Tip fängt mit M an :D

Da wäre ein simples gesichertes Linux doch besser und bestimmmt kein Hexenwerk dies für Bankautomaten fit zu machen?

Und jetzt geht wieder das Linux getrolle los das ja so sicherer sei :evillol:

Wäre es für eine Bank nicht deutlich besser ein für sie angepasstes Linux drauf laufen zu lassen?

na als ob man diese Malware bloß nicht mal ebend umschreiben könnte für Linux? Geht ja garnicht wa? :freak:

1.) XP ist genügsam. So ein Bankautomat braucht keine tolle Hardware und so wird hier gespart. Bei XP kann man den Automaten locker mit 500MB RAM und ner lahmen Single Core CPU betreiben. Meint ihr die Hersteller der Geldautomatenfirmen ändern jedes 4. Jahr den PC im Automaten, nur weile s jetzt 4 oder 6 Kern CPUs gibt? Aus Gründen der Wartung und Reparatur versucht man möglichst lange mit der selben Hardware auszukommen. Wenn sich also der PC seit 10 Jahren nicht geändert hat wird sich das OS auch nicht ändern.

ja so ne kiste hat knappe 500 mhz CPU verbaut (Intel) Ram 356 mb - 512 mb mit IDE platten Floppy so wie Laufwerk ( CD-Rom ), die Mainboards sind entweder PGA370 oder Slot 1 / 2 und sry kleines geld in so Sockel 775 Boards zu stecken mt DC CPU und an die 2GB Ram schadet es ner Bank sicherlich nicht? :freaky:

Ich konnte den sehr jungen hippen Bankangestellten gerade noch davon überzeugen sich nur den Direktlink herauszukopieren und damit
nach Browserneustart ein neues Fenster ohne Google aufzumachen.

und das war dann ein sicherer weg?:rolleyes:

Zum Glück bin ich vor x Jahren auf Online-Banking umgestiegen.

Ist auch soviel sicherer als sich zur Bank am Schalter zu bewegen? Und dein O B machste bestimmt auch noch per Mobile?

wie kann es dann sein, dass immer noch Löcher existieren?

Würden diese nicht mehr oder total minimal existieren gäbe es weniger Arbeit und Beschäftigung :o

So kommt bei vielen Modellen noch das veraltete Windows XP als Betriebssystem zum Einsatz, das aufgrund zahlreicher Sicherheitslücken die Geldautomaten zu einem leichten Ziel werden lässt.

Als ob es mit Vista - Win7 - Win8 - Win 10 sicherer und besser sei? :p
 
Pure Existenz schrieb:
Wenn an dem BS nicht wirklich was verändert wird, sondern immer nur Löcher gestopft werden - seit Beginn XP - wie kann es dann sein, dass immer noch Löcher existieren?
Selbsterstellender Schweizer Käse?
Das ist Bullxxxx.

Du schließt eine Lücke und erstellst damit eine neue. Ein Anbieter verändert seine Firmware, eine neue Lücke wird entdeckt. Neue Hardware wird benutzt, eine Lücke wird entdeckt... Du wirst (bis auf maximal 1000-zeilige Programme) wohl kaum ein Programm finden, was auf einer so großen Hardwarebasis ohne Bugs und Sicherheitslücken funktioniert. Denn jeder, der irgendwas daran geschraubt, getippt hat ist eine potentielle Fehlerquelle.
Schau dir die Testversionen von Sachen an - bsp. Windows 10 Mobile Insider Preview. In Build 14332 gab es wieder den Fehler, dass bei nicht-englischsprachigen Tastaturen ein paar Buchstaben, wie "a", "w" und "m" nicht funktionierten, der Fehler wurde produziert durch Veränderungen an anderen Stellen. Und jetzt stell dir vor, dass es um andere Dinge geht, wie das Fixen einer Sicherheitslücke bei der Datenübertragung über USB-Ports. Unter Windows XP wurde Lücke XY 2006 behoben - ist bis auf 2 Sicherheitsleuten niemandem aufgefallen. Durch einen späteren Fix entsteht die Lücke XY wieder - aber natürlich kommt keiner auf die Idee, das nochmal zu testen - schließlich wurde die Lücke ja schon behoben :P

Insofern hattest du (fast) Recht mit selbsterstellender Schweizer Käse. Nur, dass der Mensch immernoch der ist, der die Löcher bohrt.

Lg, Franz
 
Ich würde das mit der Magnetkarte aus dem Artikel nehmen, damit nicht noch jemand auf die Idee kommt einfach nur den Automaten auszupumpen... :evillol:
 
Interessant ist, der Artikel enthält keine Angaben WO die Funde gemacht wurden. Es ist also rein spekulativ, das es Treffer in DE gab.

Und ich sehe weniger die Banken in der Pflicht als die Hersteller der Automaten. Diese müssen für ihre Software die den Automaten steuert für Sicherheit sorgen.

Auch sollten einige von euch wissen, viele Banken (DE) haben die Automaten an einen Dienstleister abgegeben. Dieser übernimmt Füllung und Wartung und in einigen Fällen passiert dies sehr selten. Sicher wissen tue ich das von Postbank und Sparda-Bank. Das betrifft nicht nur Automaten außerhalb von Bankfilialen sondern auch in den Filialen hat das Personal keinen Zugriff mehr auf die Automaten.

Einige Probleme sind in DE also auch hausgemacht. Solange Banken sicherheitskritische Vorgänge zukaufen dürfen, solange weiß keiner was passiert.
 
Hallo @ all,

also ich persönlich würde die Schuld auch eher bei den Banken als bei MS suchen.

zonediver schrieb:
Die haben von EDV soviel Ahnung wie ein Höhlenmensch von der Raumfahrt :freak:

Wenn ich über die schlimmsten DAU-Fehler aus meiner EDV-Geschichte berichte, ragt ein Beispiel deutlich heraus. Ist zwar schon sehr lange her (Mitte der 90er), aber nach wie vor relevant. Es ging um eine kleine Volksbank- oder LG-Filiale auf dem Land. Die Bank hatte nur ein paar Mitarbeiter, eine reine IT-Fachkraft kam nicht in Frage, also beauftragte man einfach den Mitarbeiter mit der größten EDV-Kenntnis als EDV-Administrator. Nachdem ein Rechner in der Bank seinen Geist aufgab, kam dieser auf die Idee das MB auszutauschen. Gesagt getan, doch nach dem Einbau gab es nur Funkenregen und Kurzschluß. Also nahm er den ganzen PC mit zur Filiale, bei der er das MB gekauft hatte, und echauffierte sich lauthals, was sie ihm denn für defekte Hardware verkauft haben. Der Mitarbeiter schaute hinein, und bekam schließlich ein Lachkrampf der so schlimm war, daß er sich auf den Boden krümmte. Der gute Mann hatte das MB ohne Abstandshalter einfach mit Spax-Schrauben an das nackte Blech geschraubt.

So lustig die Geschichte auch klingt, das traurige dabei: Der besagte Mitarbeiter verdiente (damals in den 90er) über 8000 DM monatlich für diese Tätigkeit. Wenn dieser nicht weiter wußte, ging er zu einem Freund von mir, den er für einen Nerd hielt. Dieser war zwar ein netter Freund von mir, aber zeitgleich auch mein ahnungslosester Kunde. So erfuhr ich davon, und durfte dann den neuen PC zusammenbauen.
 
Zuletzt bearbeitet:
PongLenis schrieb:
Und was wäre so schlimm daran gewesen? Solange in der URL bankenname.de steht und das Schloss eine SSL Verbindung anzeigt, ist es doch egal, ob man über Google kam oder nicht!

Nichts. Aber Leute wie naneu sind paranoid und haben keine Ahnung.

Schlimm.
 
PongLenis schrieb:
Deswegen hebe ich einfach kein Geld ab. Zahle wenn es geht mit Karte und sonst geh ich einfach in den nächsten Laden.

Weil manipulierte Kartenlesegeräte selbst in seriösen Geschäften (ohne deren wissen und teilweise sogar ab Werk manipuliert) schon 10 Jahre länger existieren als die Malware für den Bankautomat? Ja das ist dann natürlich sehr sicherer und eine gute Möglichkeit ... erhöht vermutlich sogar die Chance, dass seine Kartenkopie noch bei Kriminellen landet.
 
Pizza! schrieb:
Ich frag mich auch wer auf die Idee kam Windows XP zu nutzen und so lange beizubehalten.
Da wäre ein simples gesichertes Linux doch besser und bestimmmt kein Hexenwerk dies für Bankautomaten fit zu machen?

Das hat ganz einfache Gründe. Die Bankautomatenhersteller müssen ihre Bankautomaten zertifizieren lassen. Dieser Prozess dauert schon sehr lange. Dann müssen sie, um das Zertifikat zu erhalten, den Support für Hardware und Software für 10 Jahre garantieren. Linux (deb) wird mit den LTS Versionen maximal 5 Jahre supportet. Damit fällt das raus. Redhat erfüllt zwar genau diese Voraussetzung ist aber viel teurer als Windows. Also hat man sich für Windows entschieden.

Als Fortläufer war das Vista nicht zu gebrauchen. Erst mit Windows 7 konnte man auf ein aktuelles System wechseln. Die Automaten die genau in der Zeit von Vista zertifiziert wurden haben jetzt das Problem mit XP. Der Support ist noch nicht abgelaufen aber XP ist am Ende. Wenn die jetzt den Support für die XP Automaten einstellen, werden die wohl für die Zukunft keine Geräte mehr zertifizieren können und werden wahrscheinlich auch hohe Vertragsstrafen zahlen müssen.

Und natürlich ist daran Microsoft schuld.
 
Zuletzt bearbeitet:
NJay schrieb:
2.) Linux mag ja besser geeignet sein, aber wer macht den Support? Nicht umsonst sind Embeddet Versionen auch teuer. Man zahlt den Support von Microsoft. Bei Linux fehlt das.

Mit Red Hat würde sicher einiges gehen, bloß blöd wenn die Banken dann aufgrund Kostenminimierung alles wieder an Subs auslagern die dann den Automaten mit root/root fahren. Da kann man dann auch wieder mit Win95 arbeiten.

PsychoPC schrieb:
Und jetzt geht wieder das Linux getrolle los das ja so sicherer sei :evillol:

Sicher ist relativ. Allein das Rechte-Konzept ist schon grundlegend besser ausgelegt da man nicht jeden schice als Admin ausführen kann - aber wie ich selbst schon schrieb kann man mit Faulheit jedes System über den Haufen fahren.
 
Zuletzt bearbeitet:
Die Gefahr eines Wohnungseinbruchs dürfte höher sein. Die Ing-Diba z.B. ersetzt Dir jeden entstandenen Schaden der dir durch Dritte zugefügt wurde. Man muss es halt nur nachweisen können.
 
Das könnte die Hausratsversicherung auch wenn man Bargeld bis zur Höhe XY abgesichert hat.

Das Problem ist ja auch gar nicht die Hafungsfrage, sondern dass das Geld erstmal weg ist und das Konto dann nicht gedeckt ist und andere Ausführungen und Abbruchungen nicht zustande kommen ... und daruch zusätzliche Konsten und Probleme/Stress entstehen.
 
Farcrei schrieb:
Schön wäre es.
Für M$ wäre es sicherlich schmerzlich, wenn alle Banken in Deutschland bei ihren Automaten plötzlich auf Linux setzen würden.
Ich empfinde es jedenfalls bedenklich, dass M$ diese Sicherheitslücke seit 2009 noch nicht gestopft hat.
Aber das will M$ wohl auch nicht.
Schließlich sollen die Banken ja möglichst schnell zum aktuellen BS greifen.
Es gibt 56.000 Geldautomaten in Deutschland, auf dennen WIndows 95 über WIndows XP bis Windows 7 alles mögliche läuft. Microsoft hätte vermutlich keinerlei Schmerzen wenn die wegfallen würden. Microsoft würde das mit Sicherheit nichtmal bemerken.

Aber warum sollte Linux die bessere Alternative sein? Viel verrückter ist doch, dass die Automaten am Internet hängen und USB Ports besitzen ...
 
Ich möchte einen der hier aufgeführten Punkte ansprechen, weil es da anscheinend Missverständnisse gibt.

Ist Linux pauschal sicherer? Und wer macht den Support?

Ein System ist immer nur so sicher, wie es aufgesetzt wird. Ein Linux Server allein macht noch nicht die Magie, aber die schier gigantische Zahl an Programmen die einem Linux-Administrator zur Verfügung stehen, die sorgt dann für den nötigen Lack. Diese Programme müssen nicht einzeln gekauft und lizensiert werden, sondern stehen Linux frei zu Verfügung.
Diese Programme sind oft so klein und leichtgewichtig, dass ein Linux Server selbst auf einem Raspberry Pi hervorragend läuft. Wenn man sich allein vom Kostenpunkt für die Hardware für kleinstgeräte entscheiden möchte und dafür ein schlankes System sucht, ist ein Betriebssystem auf Linux-Basis einfach immer die bessere Wahl.

Wer macht den Support? Das ist immer so eine schwierige Frage für viele. Linux ist nicht, wie Windows, von einer großen Firma entwickelt. Linux ist ein gemeinschaftliches Projekt, das einerseits von Freelancern und andererseits von großen Firmen mitentwickelt wird. Selbst Microsoft hatte seine Finger mit im Kernel. Nur wegen dieser Gemeinschaftlichkeit von Linux ist es lizenzfrei und muss deswegen nicht einzeln gekauft werden. Linux kann von jeder Firma und jeder Privatperson eingesetzt werden, für egal welchen Zweck. Das gleiche gilt für BSD.

Ich empfehle dieses Video, um Linux besser verstehen zu können

Die Entwicklung des Linux Kernels läuft sehr streng. Nicht jeder darf einfach seinen Code hineinwerfen. Dabei werden Fehler wesentlich schneller entdeckt, weil jeder freien Zugang zu dem Quellcode des Kernels hat. Das geht schneller und zuverlässiger, als es eine Handvoll Sicherheitsexperten einer einzelnen IT-Firma leisten kann. Ich empfehle dazu das Buch "The Cathedral and the Bazaar", um zu verstehen, warum Open Source so gut funktioniert.

Jedenfalls muss man sich bei Linux nicht auf die Firma verlassen, die einem die Distribution zur Verfügung stellt. Ubuntu LTS installieren und fertig ist alles? Das ist faul und nicht auf dem Stand der Zeit. Leider ist das Mindset in den Banken aber vermutlich auch noch das gleiche, wie vor 10 Jahren.

Für eine vernünftige IT-Infrastruktur kann man es sich nicht mehr leisten, einfach Produkt A von Firma B zu installieren. Man muss die notwendigen Entwickler und Administratoren einstellen, die sich um die Wartung des Systems kümmern. Das nötige Geld dafür bekommt man automatisch zurück, sobald man es nicht mehr dem scheinheiligen Support von Firma B in den Rachen wirft. Den Support macht man bei so sicheren Systemen immer selbst. Das schuldet man seinem Kunden und ist durch die gesparten Lizenzgebühren oft sogar günstiger.

Wenn der Support für Embedded XP 2019 ausläuft, sollten bei den Banken jetzt schon alle Alarmglocken läuten. Eine Umstellung auf ein neues System braucht seine Zeit und muss gut geplant werden. Da ist 3 Jahre vorher anfangen wahrscheinlich schon zu spät.

Die ganze Wirtschaft nutzt Linux oder BSD, um maßgeschneiderte Betriebssysteme zu bauen. Es wird in Flughäfen eingesetzt, für gigantische Server-Farmen von Amazon und Google, für Fernseher und Kleinstgeräte, ja selbst die Ps4 basiert auf einem BSD-System.

Das ist hier keine Pepsi oder Cola Entscheidung. Es geht darum, sich dem Stand der Zeit anzupassen. Dafür kann man das Schicksal von Bankautomaten nicht einfach in die Hände von Microsoft legen. Das ist einfach naiv von den Banken. Und gefährlich für die Kunden.
 

Ähnliche Themen

Antworten
8
Aufrufe
1.886
Zurück
Oben