Dieser Mann hat zwei Geldautomaten gehackt

Trabant · 27 Okt. 2015

Bin gerade auf einen für mich interessanten Artikel gestoßen:

Mit Bildern aus Überwachungskameras sucht die Polizei nach einem mutmaßlichen Computerbetrüger, der in Esslingen und Berlin Geldautomaten manipuliert hat.

Sowohl in Esslingen am Neckar (Baden-Württemberg) als auch in Hermsdorf soll dieser Mann Geldautomaten manipuliert haben! Laut Polizeiermittlungen betrat der Unbekannte am Sonntag, den 9. August 2015 gegen 6.50 Uhr eine Sparkasse in in Esslingen und am gleichen Tag gegen 21 Uhr eine Postbankfiliale in Hermsdorf.

Ohne dabei auf Kundendaten zurückzugreifen, manipulierte der Tatverdächtige in beiden Fällen die Steuerungselektronik von jeweils einem Geldausgabeautomaten und veranlasste so die Auszahlung von größeren Geldbeträgen.

Quelle: http://www.bz-berlin.de/tatort/gesucht-dieser-mann-hat-zwei-geldautomaten-gehackt

Da ich ein neugieriger Mensch bin würde mich interessieren wie er das angestellt haben könnte. Da ja so nen Automat kein USB Anschluss vorne auf der Kunden Seite hat oder gar per wlan zu steuern ist würde mich interessieren wie er das bewerkstelligen konnte.

Bevor jemand auf die Idee kommt: Nein ich möchte das nicht nachmachen mich interessiert halt nur was für Möglichkeiten er nutzen konnte. Also bitte keine genauen deteils posten.

Thx

The_Emperor · 27 Okt. 2015

Spontan fallen mit zwei mögliche Angriffspunkte bei einem Geldautomaten ein: Hacken mit verseuchter Bankomatkarte oder ein passendes Gerät an den Anschluss der Tastatur anstecken. Soweit ich weiß sind die Tastaturen von einem Geldautomaten vom Aufbau her recht ähnlich zu denen von Laptops.

devrim · 27 Okt. 2015

Ich habe mal davon gehört, das die durch das Gehäuse bohren um an einen USB Port zu kommen. Stand glaube ich letztes Jahr in den Zeitungen.
http://itler.net/so-leert-man-einen-geldautomaten-per-usb-stick/

Opuntia · 27 Okt. 2015

@Trabant:
http://www.heise.de/newsticker/meldung/95-Prozent-aller-Geldautomaten-laufen-mit-Windows-XP-2088583.html

Trabant · 27 Okt. 2015

Opuntia schrieb:
@Trabant:
http://www.heise.de/newsticker/meldung/95-Prozent-aller-Geldautomaten-laufen-mit-Windows-XP-2088583.html

Naja da steht aber auch:

Es sei zwar zutreffend, dass viele Automaten noch mit Windows 2000 und Windows XP liefen, der auf der Sicherheitskonferenz beschriebene USB-Hack könne in Deutschland so aber nicht funktionieren. Die Schnittstellen befinden sich hierzulande ausschließlich im rückwärtigen Bereich des Automaten. Der ist nicht ohne weiteres zugänglich, da die Geräte in Deutschland meist nicht alleine stehen, sondern in eine Wand integriert sind.

Die Automaten sind zudem so stabil, dass man schon Sprengstoff braucht, um an die Innereien zu kommen. Angebunden sind die Geräte über eine komplett eigene Leitung ohne Verbindungen ins Internet. Technische Arbeiten an den Geld-Spendern werden durch Sicherheitsleute streng überwacht, die ausgetauschen Bauteile werden eingesammelt und funktionsunfähig gemacht. Bei einer Tastatur würde beispielsweise der Steuerchip zerstört.

Das mit den Sicherheitsleute stimmt das habe ich bei uns im Hauptbahnhof selbst gesehen. Dort wurde mal nen Automat gewartet und der Techniker wurde von 4 Leuten geschützt.

KaPiTN · 27 Okt. 2015

Wenn das von außen zugängliche Automaten sind. In den Filialen sind die nach meiner Beobachtung zu 2 zweit und schließen einfach ab.

Wie steht es mit "Standard-Masterdpasswörtern" aus? Vielleicht ein (ehemaliger) Nixdorf Mitarbeiter?

Grobe Spekulationen

Opuntia · 27 Okt. 2015

@KaPiTN:
Gar nicht so absurd (hatte die quelle noch offen, da mich das Thema auch interessiert)

http://www.zeit.de/digital/datenschutz/2014-01/hacker-infizieren-geldautomaten

Trabant · 27 Okt. 2015

KaPiTN schrieb:
...Wie steht es mit "Standard-Masterdpasswörtern" aus? Vielleicht ein (ehemaliger) Nixdorf Mitarbeiter?

Das mit den Masterpasswort scheint gar nicht so unweit der Lösung zu sein denn:

Geldautomat gehackt: 14-Jährige mit Admin-Zugang

Zwei 14-jährige haben einen Bank-Automaten gehackt, nachdem sie ein altes Handbuch für das Gerät im Internet gefunden hatten. Die Anleitung und ein Standard-Passwort verschafften ihnen vollen Admin-Zugang. Die Bank wollte ihnen erst nicht glauben.

Bank-Hack: Automat nur mit Standardpasswort gesichert

Die Jungendlichen rechneten nicht damit, dass die Anleitung noch funktionieren würde. Doch nachdem sie dem Handbuch gefolgt waren, zeigte das Gerät eine Passwort-Eingabe-Aufforderung. Richtig überrascht waren sie, als sie das Kennwort beim ersten Versuch erraten hatten - sie hatten einfach ein übliches sechsstelliges Standard-Kennwort eingegeben.

In der nächsten Bank-Filiale glaubte man ihnen zuerst nicht. Zum Beweis änderten Hewlett und Turon die Willkommensnachricht des Gerätes in "Gehen Sie. Dieser Automat wurde gehackt.", setzten die Benutzungsgebühr auf 1 Cent und druckten die interne Buchhaltung des Gerätes aus.

Nachdem Sie dem Bank-Manager die Dokumente vorlegten, bat dieser sie, ihre Entdeckung mit der Sicherheitsabteilung der Bank zu besprechen. Die beiden Jungs, die für ihren Hack die große Pause nutzten, willigten ein - fragten aber nach einem Entschuldigungsschreiben für ihre Schule. Das Schreiben, das man ihnen gab, begann mit den Worten: "Bitte entschuldigen Sie, dass Mr. Caleb Turon und Matthew Hewlett ihre große Pause überzogen haben, um die Bank of Montreal in Fragen der Sicherheit zu beraten."

Quelle: http://m.chip.de/news/Geldautomat-gehackt-14-Jaehrige-mit-Admin-Zugang_70290091.html

Aber sind denn unsere Banken bzw Automaten Betreiber wirklich noch so dämlich!?

Trolling Stone · 27 Okt. 2015

Vielleicht wäre ein Umstieg auf Linux angebracht. :unknown:

sia · 27 Okt. 2015

@Trolling Stone: Linux werden die genauso selten updaten und genauso unsicher konfigurieren.

The_Emperor · 28 Okt. 2015

Trabant schrieb:
Aber sind denn unsere Banken bzw Automaten Betreiber wirklich noch so dämlich!?

Wieso dämlich? Den Schaden zahlt eh jemand anderer.

Linux wird auch nicht viel helfen wenn Standardpasswörter nicht geändert werden.

Abul · 29 Okt. 2015

Hier ne News auf Golem zu dem Typen. Wie devrim schon anmerkte, gelang es über einen USB-Port.

harvi · 29 Okt. 2015

Smarter boi. Darf behalten.

drfuture · 29 Okt. 2015

Das das in deutschland nicht möglich ist stimmt unter Garantie nicht, Jede Bank / Firma hat ja eigene Geldautomaten und scheinbar haben wirklich recht viele Modelle *Für den Support leicht zugängliche* USB-Zugänge. Normal sollte man dann eine Klappe mit Schlüssel aufmachen - aber wenn diese Klappe nicht geschützt ist da ja eh *nur* ein USB-Anschluss daraunter ist - dann kann man den auch simpel durchbohren.

Gibt ja noch mehr Artikel - ist ja schon öfter passiert...
http://www.focus.de/finanzen/banken...er-raeumen-geldautomaten-leer_id_3526819.html

Es Gab mal ein geniales Video von einem IT-Sicherheits experten zum Thema, habe gerade ein wenig gesucht, aber finde es aber nicht mehr.
So einen Geldautomaten kann sich nämlich jeder beim Hersteller der Dinger einfach fürs Wohnzimmer ordern...
Der Typ hat das dann gemacht...

Der Hersteller:
Wieviele 100 Stück möchten sie denn

Experte:
1

..
Experte:
1 Woche später kam dann die Spedition vorbei und lieferte mir meinen Geldautomaten... meine Freundin war zu meinem Erstaunen nicht sonderlich erfreut das wir nun einen eigenen Geldautomaten in der Wohnung stehen haben...

Ende vom Lied, man hat alle Zeit der Welt sich eine Schwachstelle zu suchen und dann flott in der wirklichen Welt durchzuführen.
Anfangspasswörter, Konfiguration, Firmwareversionen... alles frei Haus.

keinbenutzername · 29 Okt. 2015

ich denke fast der hat das genauso bewerkstelligt wie damals Uri Geller die Löffel verbogen hat!

Trabant · 30 Okt. 2015

The_Emperor schrieb:
Wieso dämlich? Den Schaden zahlt eh jemand anderer.

Sehe das ein bißchen anders denn der entstandene Schaden wird zwar sicherlich von irgendeiner Versicherung getragen die die Bank hat für solche Fälle. Und die Bank wird glaube ich die Gebühren auf ihre Kunden umlegen.

Abul · 30 Okt. 2015

Die Frage mit dem dämlich hast du dir ja selbst beantwortet. Wieso Geld in Sicherheit investieren wenn den Schaden sowieso jemand anders zahlt? Dann lieber Geld in Marketing stecken, das ist viel sinnvoller.

The_Emperor · 30 Okt. 2015

Genau das meinte ich.

Bankraub -> Versicherung zahlt
Insolvenz -> Staat zahlt

Als Bankmanager hat man ein recht sorgenfreies Leben denn die eigenen Fehler und Versäumnisse gehen sowieso zu Kosten anderer. Bevor ich als Manager einer Bank also Geld in sichere Bankomaten stecke lasse ich mir eher eine saftige Bonuszahlung spendieren.

virtus · 30 Okt. 2015

Du solltest die Kette erweitern:

--> Staat zahlt = jeder Bürger zahlt
--> Versicherung zahlt = Bankkunden zahlen

Opuntia · 30 Okt. 2015

Ich seh das eher anders.
Die Bank hat diese Versicherung sowieso.
Allerdings werden die Sicherheitsstandards nach solchen Vorfällen öfter mal hinterfragt.
Bzw. fordert die Versicherung der Bank, dass sie solche Vorfälle verhindern muss, damit werden die Automaten sicherer.

Dieser Mann hat zwei Geldautomaten gehackt

Trabant

Neu angemeldet

The_Emperor

devrim

Aktiver NGBler

Opuntia

Neu angemeldet

Trabant

Neu angemeldet

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Opuntia

Neu angemeldet

Trabant

Neu angemeldet

Trolling Stone

Troll Landa

sia

gesperrt

The_Emperor

Abul

(Threadleser)

harvi

The People's Champion

drfuture

Zeitreisender

keinbenutzername

gesperrt

Trabant

Neu angemeldet

Abul

(Threadleser)

The_Emperor

virtus

Gehasst

Opuntia

Neu angemeldet

Dieser Mann hat zwei Geldautomaten gehackt

Neu angemeldet

&#65279;

Aktiver NGBler

Neu angemeldet

Neu angemeldet

♪♪♫ wild at heart ♪♫♫♪

Neu angemeldet

Neu angemeldet

Troll Landa

gesperrt

&#65279;

(Threadleser)

The People's Champion

Zeitreisender

gesperrt

Neu angemeldet

(Threadleser)

&#65279;

Gehasst

Neu angemeldet