Door kwetsbaarheid in geldautomaten mogelijk om fraude te plegen met opnames en stortingen
In geldautomaten van verschillende fabrikanten zijn er kwetsbaarheden ontdekt waardoor het mogelijk is voor een aanvaller fysiek toegang te krijgen tot de machine en te frauderen met storingen en opnames. De beveiligingslekken zijn aangetroffen in de SelfServ ATM van NCR en de ProCash 2100xe USB ATM van Diebold.
Drie kwetsbaarheden
Het gaat in de automaten van NCR om drie kwetsbaarheden. Hierdoor kan een aanvaller de automaat laten geloven dat er geld is gestort terwijl dit in werkelijkheid niet zo is. Het draait om automaten waarbij er geldbiljetten kunnen worden ingevoerd, waarna het bedrag op de rekening van de gebruiker wordt gestort. Bij de NCR-automaten was het zo dat de berichten tussen ‘Bunch Note Acceptor’, oftewel BNA (waar de geldbiljetten worden ingevoerd) en de computer zelf niet versleuteld, geverifieerd of geauthentiseerd.
Wanneer een aanvaller fysieke toegang heeft zou hij de berichten tussen de BNA en de computer, zoals het gestorte bedrag, kunnen onderscheppen en hierna aanpassen. Hierna zou het aangepaste bedrag worden doorgestuurd naar de computer. Hierdoor kan de aanvaller de computer laten denken dat het gestorte bedrag veel groter is dan in werkelijkheid. De aanvaller zou vervolgens het opgegeven bedrag bij de geldautomaat van een andere bank op moeten nemen. Dezelfde kwetsbaarheid was ook bij de geldautomaten van Diebold Nixdorf aanwezig.
Daarnaast bleken de encryptiesleutels die NCR gebruikt voor het signeren van software-updates makkelijk te kraken. Hierdoor kan een aanvaller zijn eigen kwaadaardige software signeren. Het is op deze manier mogelijk om de BNA-software te updaten of zelfs applicatiewhitelisting te omzeilen. De aanvaller zou een willekeurige code op de computer van de geldautomaat uit kunnen voeren.
Bij het herstarten van de NCR-geldautomaten deed zich nog een ander probleem voor. Bij de controle van software-updates zocht het updateproces naar CAB-bestanden op een usb-stick en voerde hierna een bestand uit zonder de digitale handtekening te controleren. Hierdoor had een aanvaller zijn code met systeemrechten kunnen uitvoeren op de machine.
Twee andere kwetsbaarheden die waren gevonden in de geldautomaten van NCR gaf een aanvaller met fysieke toegang de mogelijkheid om de communicatie tussen de computer en het uitgiftekanaal te manipuleren. Een aanvaller had zo opdrachten aan de computer kunnen geven om geld uit te geven. De aanvaller had op deze manier de geldcassettes van de automaat zelf kunnen legen. Zowel NCR als Diebold Nixdorf hebben veiligheidsupdates uitgebracht voor deze kwetsbaarheid.
Diebold Nixdorf waarschuwde onlangs Europa nog voor aanvallen waarbij criminelen via jackpotting-aanvallen geldcassettes wisten te legen.
Bron: Security.nl