Criminelen sluipen kaartsnuffelende software op Diebold-geldautomaten

Diebold heeft een beveiligingsfix voor haar Opteva geldautomaten nadat cybercriminelen klaarblijkelijk ingebroken in de systemen van een of meer bedrijven in Rusland en kwaadwillende software hadden geïnstalleerd. Diebold hoorde in januari van het incident en stuurde een wereldwijde beveiligingsupdate naar zijn ATM-klanten met behulp van het Windows-besturingssysteem. Er worden geen volledige details vrijgegeven over wat er is gebeurd, inclusief welke bedrijven werden getroffen, maar zei dat criminelen fysiek toegang tot de machines hadden gekregen om hun kwaadaardige programma te installeren.

"Criminelen hebben fysieke toegang gekregen tot de binnenkant van de betreffende geldautomaten," Diebold zei in zijn beveiligingsupdate. "Deze criminele activiteit resulteerde in de werking van ongeautoriseerde software en apparaten op de geldautomaten, die werd gebruikt om gevoelige informatie te onderscheppen."

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

De inbraak heeft plaatsgevonden in Rusland en beïnvloedde "een aantal" machines, zei DeAnn Zackeroff, een woordvoerster van het bedrijf. "Het incident was een low-tech inbraak in de ATM, maar ze hadden een high-tech kennis van hoe het virus te installeren," zei ze.

Diebold zei niet precies hoe de criminelen in staat waren om de software op de systemen, maar de beveiligingsupdate adviseert klanten dat er verschillende factoren zijn die het risico op een dergelijke hack kunnen vergroten. Ze omvatten het gebruik van administratieve wachtwoorden die zijn aangetast; geen gebruik te maken van de vergrendelde versie van Windows die Diebold biedt; of verkeerd configureren van de Symantec firewall-software die bij de geldautomaten wordt geleverd.

Na bestudering van de monsters die naar de VirusTotal-website zijn gestuurd, meldde beveiligingsleverancier Sophos dinsdag dat de code al sinds november 2008 in omloop is.

Degene die de malware heeft geschreven, genaamd Troj / Skimer-A van Sophos, had waarschijnlijk de kennis van een insider van de Diebold-geldautomaten, zei Vanja Svajcer, een Sophos-virusonderzoeker. "Het gebruikt vrij veel functies die niet zijn gedocumenteerd," zei hij. De software vervangt bestanden in de Diebold-map, zoekt naar printer- en schermgegevens en scant transacties in Oekraïense, Russische en Amerikaanse valuta's, zei hij.

Troj / Skimer-A verspreidt zich niet van computer naar computer als een virus, echter. De criminelen moeten toegang krijgen tot de interne computer van een geldautomaat om de code te installeren, aldus Svajcer. "U moet fysieke toegang hebben om de malware op de machine te installeren, wat niet eenvoudig is."

Sophos heeft dit type ATM-malware nog niet eerder gezien, maar cybercriminelen hebben altijd honger naar informatie over betaalkaarten en zijn steeds geavanceerdere tricks gaan gebruiken om het te krijgen. In de afgelopen paar maanden zijn er bij ten minste twee grote creditcardbedrijven inbreukprocedures geweest en van misdadigers is bekend dat ze kaartroommethardware op bankmachines installeren om betaalkaartnummers te stelen, samen met miniatuurcamera's die wachtwoorden vastleggen.

Vorig najaar meldde de Britse krant Daily Telegraph dat een georganiseerd misdaadsyndicaat met honderden betaalkaartscanners had geknoeid door ze te programmeren om betaalkaartnummers over mobiele telefoonnetwerken te verzenden.

"Dit is slechts een voorbeeld van de groei niveau van verfijning en agressie als het gaat om ATM-gerelateerde criminaliteit, "zei Zackeroff.