Kriminelle plündern Geldautomaten mit USB-Stick
Banken sehen sich mit einer neuen Generation des Überfalls konfrontiert: Mit einem Trojaner auf einem simplen USB-Stick ist es Kriminellen gelungen, Bankautomaten auszurauben. Fast wäre ihr Raubzug unbemerkt geblieben.
Die Täter bohrten ein Loch in den Geldautomaten und steckten einen USB-Stick in den PC. Beim Booten installierte sich ein Trojaner, der fortan unbemerkt im Hintergrund lief. Über eine Codenummer konnten Komplizen über das Hauptmenü auf die Software zugreifen und Geld plündern.
Foto: dpa/Friso Gentsch
Zum ersten Mal hat eine Bank einen Geldautomatenhacker auf frischer Tat ertappt. Zunächst war Mitarbeitern aufgefallen, dass regelmäßig Bargeld aus dem Automaten verschwand, jedoch keine Transaktionen im System verbucht waren. Erste Stimmen munkelten, es könne sich um einen Hackerangriff handeln. Das Geldinstitut verschärfte daraufhin die Überwachung, installierte neue Kameras und beobachtete Kunden beim Geldabheben genauer als je zuvor.
Schließlich stellten Sicherheitsleute einen Verdächtigen in flagranti. Sie untersuchten seine Taschen und fanden das Tatwerkzeug: einen USB-Stick. IT-Fachleute entdeckten darauf eine dubiose Schadsoftware, konnten sich jedoch deren Funktionsweise nicht erklären. Deswegen beauftragte die Bank die US-Firma CrowdStrike mit einer Analyse.
Raubzug wie im Hollywood-Film
Die Auswertung der Schadsoftware offenbarte einen raffinierten Digitalraubzug, den man sonst nur aus Hollywood-Filmen kennt. Schritt eins: Der Täter bohrt in einer Nacht-und-Nebel-Aktion ein Loch in das Gehäuse des Automaten und steckt einen USB-Stick in den PC. Er trennt diesen ganz kurz vom Strom und erzwingt somit einen Neustart. Beim Booten installiert sich automatisch eine Schadsoftware auf dem Windows-XP-Betriebssystem, die fortan unauffällig im Hintergrund läuft. Dann schließt der Täter das Loch wieder und geht.
Drahtzieher machen es sich im Hintergrund gemütlich
Da der Geldautomat nun infiltriert ist, kann es sich der Drahtzieher zuhause bequem machen. Es folgt Schritt zwei: Dabei stellt sich ein Komplize im Alltagsgeschäft wie ein ganz normaler Kunde an den Automaten . Allerdings tippt er keine vierstellige, sondern eine zwölfstellige Codenummer ein. Dann verschwindet die reguläre Bedienoberfläche und es öffnet sich die Hackersoftware, die eine Ziffernfolge darstellt.
Jetzt folgt ein seltsamer Zwischenschritt, der auf dem Überwachungsvideo dokumentiert ist: Der Mittäter greift zum Handy und ruft die Drahtzieher im Hintergrund an. Diese geben ihm einen passenden Code. Mit diesem kann er dann unauffällig Geld abheben. Nachdem er das Scheinfach geleert hat, verschwindet die Hackersoftware wieder vom Bildschirm, so als wäre nie etwas gewesen.
Fast wäre der Diebstahl unbemerkt geblieben
Die Täter legten einigen Erfindergeist an den Tag, um ihre Spuren zu verwischen. So trennt die Schadsoftware während des Geldabhebens automatisch die Verbindung zum Internet,und damit die Verbindung zur Zentrale. Keine Chance für dortige Mitarbeiter, verdächtige IT-Aktivitäten zu bemerken.
Es ist zudem aus dem Hauptmenü möglich, die Software mit einem einfachen Befehl zu löschen. Die Daten werden dabei mehrfach überschrieben und zu Fragmenten zerhackt, die sich unmöglich rekonstruieren lassen. Es war also das Glück der Bank, den Täter in flagranti erwischt zu haben.
Unbekannt ist, welche Bank Opfer des Raubzugs geworden ist, denn diese besteht auf Vertraulichkeit. Einige Medien vermuten wegen eines im Internet kursierenden Screenshots der Software, es könne sich um eine brasilianische handeln. Vielleicht ist das aber auch nur ein Ablenkungsmanöver der Sicherheitsfirma.
Ein Beitrag von:
