Künftige Angriffsszenarien auf Authentifizierungssysteme von Geldautomaten

Es wurde schon viel über die aktuellen Cyberbedrohungen diskutiert, mit denen die Betreiber von Geldautomaten zu kämpfen haben. Der Grund für die stetig wachsende Zahl von Attacken auf diese Geräte ist denkbar einfach: Das Gesamt-Sicherheitsniveau moderner Geldautomaten ist so niedrig, dass sie Verbrechern oft den einfachsten und schnellsten Weg bieten, sich das Geld der Banken anzueignen. Selbstverständlich reagiert die Bankenbranche auf diese Angriffe, indem sie eine Reihe von Sicherheitsmaßnahmen einführt, doch die Bedrohungslandschaft entwickelt sich unaufhaltsam weiter. Um die Banken darauf vorzubereiten, was sie in nächster Zukunft von Seiten der Cyberkriminellen zu erwarten haben, haben wir die kommenden Cyberbedrohungen für Bankautomaten in einem Bericht zusammengefasst. Dieser Bericht wird – so hoffen wir – der Branche helfen, sich besser auf die neue Generation von Angriffstools und –Techniken vorzubereiten.

Der Bericht umfasst zwei Beiträge, in denen wir alle bestehenden Authentifizierungsmethoden analysieren, die in Geldautomaten zum Einsatz kommen, sowie diejenigen, die aller Wahrscheinlichkeit nach in näherer Zukunft zum Einsatz kommen werden, unter anderem: kontaktlose Authentifikation über NFC, Einmal-Passwort-Authentifizierung und biometrische Authentifizierungssysteme sowie potentielle Angriffsvektoren unter Verwendung von Malware bis hin zu Netzwerkattacken und Angriffen auf Hardware-Komponenten.

Wir haben uns einmal angeguckt, was sich im Untergrund in Bezug auf diese Technologien so tut und waren überrascht festzustellen, dass es da draußen bereits zwölf Hersteller gibt, die gefälschte Fingerabdruck-Scanner anbieten, auch bekannt als biometrische Skimmer. Es gibt außerdem mindestens drei weitere Anbieter, die aktuell an Geräten forschen, die in der Lage sein sollen, Daten von Handvenen- und Iriserkennungssystemen abzugreifen.

Es handelt sich hierbei um einen wichtigen Trend, denn das Problem mit biometrischen Authentifizierungstechnologien besteht darin, dass es im Falle einer Kompromittierung – anders als bei Passwörtern oder PIN-Codes, die dann einfach erneuert werden – unmöglich ist, seinen eigenen Fingerabdruck oder das Bild seiner Iris zu ändern. Wurden diese Daten also einmal kompromittiert, so ist es künftig nicht mehr sicher, sie zu benutzen. Daher ist es extrem wichtig, diese Daten zu schützen und nur auf sicheren Wegen zu übermitteln. Moderne Reisepässe – so genannte ‚ePassports‘ – und auch Visa enthalten ebenfalls biometrische Daten. Wenn ein Angreifer also einen solchen Pass stiehlt, so stiehlt er nicht nur das Dokument an sich, sondern auch die biometrischen Daten der betroffenen Person. Die Folge ist Identitätsdiebstahl.

Biometrischen Daten können auch infolge eines Hackerangriffs auf die Infrastruktur von Banken in die Hände von Kriminellen gelangen. Auch das ist ein großes Problem: Wird die biometrische Kunden-Datenbank gestohlen, lässt sich das Problem nicht einfach lösen, indem die kompromittierten Karten zurückgerufen werden. Es handelt sich vielmehr um einen unwiederbringlichen Verlust und die Branche ist damit einer ganz neuen Art von Bedrohung ausgesetzt.

Ganz allgemein werden Netzwerk-basierte Angriffe auf Geldautomaten dem Sicherheitspersonal von Finanzorganisationen in den nächsten Jahren noch gehörige Kopfschmerzen bereiten, aus dem einfachen Grunde, dass – den Ergebnissen unserer Pen-Tests zufolge – der Aufbau der Netzwerk-Infrastruktur vieler Banken es Hackern ermöglicht, auf einige kritische Teile des Netzwerks zuzugreifen und die Kontrolle darüber zu übernehmen, die Netzwerke von Geldautomaten eingeschlossen. Diese Situation wird sich aus vielerlei Gründen so bald nicht ändern. Einer dieser Gründe ist die reine Größe der Netzwerke von Finanzorganisationen und der Aufwand an Zeit und Mitteln, den ein Upgrade dieser Netze erforderlich macht.

Mit dem vorliegenden Bericht möchten wir nichts desto weniger auf die aktuellen und kommenden Probleme mit der Sicherheit von Geldautomaten aufmerksam machen und die Entwicklung wirklich sicherer Ökosysteme rund um diese Geräte beschleunigen.

Den vollständigen Bericht finden Sie hier (Eng.)

Die Beschreibung der Attacken finden Sie hier (Eng.)

[youtube https://www.youtube.com/watch?v=videoseries?list=PLPmbqO785Hlv10fOKEkcmBwAsq-ytasFD&w=560&h=315]

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.