ATM-Jackpotting
Was ist ATM-Jackpotting?
ATM-JackpottingAngriff, bei dem der Geldausgabemechanismus eines Geldautomaten zur Ausgabe seines gesamten Bargelds gezwungen wird — entweder über physischen Zugriff auf die Top Box oder über eine Netzwerk-Kompromittierung.
ATM-Jackpotting wurde vom verstorbenen Barnaby Jack auf der Black Hat 2010 öffentlich vorgeführt, wo er Tranax- und Triton-Automaten in einer von ihm "Jackpotting" genannten Demonstration Bargeld ausspucken ließ. Moderne Angriffe teilen sich in zwei Familien auf.
Physisches Jackpotting
Die Bande öffnet die Top Box des Geldautomaten (oft mit einem gestohlenen oder universellen Schlüssel), trennt den Dispenser vom laufenden PC und schließt ein Angreifergerät an — einen Laptop, einen Raspberry Pi oder ein medizinisches Endoskop, um an das Kabel zu gelangen. Malware wie Ploutus.D, Cutlet Maker (im Darknet als Crimeware-as-a-Service für etwa 5.000 USD verkauft) oder WinPot kommuniziert dann über die XFS-Middleware (eXtensions for Financial Services) mit dem Dispenser und setzt Ausgabebefehle ab, die jede Kassette in Minuten leeren. Die erste bestätigte Jackpotting-Welle in den USA traf im Januar 2018 ein (Warnungen von Secret Service/Diebold Nixdorf).
Netzwerk-Cash-out
flowchart TD A[Spear-Phishing gegen Bankmitarbeiter] --> B[Fußfassen im Bankennetz] B --> C[Zahlungs-Switch erreichen<br/>Server AIX/Windows] C --> D[Trojan.FastCash in den<br/>Switch-Prozess einschleusen] D --> E[Mule steckt Karte<br/>am Geldautomaten im Ausland ein] E --> F[Abhebungsanfrage trifft<br/>kompromittierten Switch] F --> G[Malware fälscht<br/>ISO-8583-Genehmigung] G --> H[Automat gibt Bargeld aus;<br/>echter Kontostand unberührt]
FASTCash, betrieben von der DPRK-nahen Gruppe Lazarus/APT38 (Hidden Cobra / BeagleBoyz), kompromittiert den Anwendungsserver des Zahlungs-Switches einer Bank und fälscht ISO-8583-Genehmigungsmeldungen, sodass Mule-Karten Bargeld abheben, das das Konto nicht deckt. CISA/FBI/Treasury beschrieben es im Oktober 2018; bei einem einzelnen Vorfall 2017 wurde Bargeld aus Geldautomaten in über 30 Ländern gleichzeitig gezogen, und ein Vorfall 2018 erstreckte sich über 23 Länder, mit Gesamtverlusten, die auf mehrere zehn Millionen US-Dollar geschätzt werden.
Schutzmaßnahmen
Physische Sensoren und stärkere Schlösser an der Top Box; BIOS-Passwörter und Full-Disk-Verschlüsselung; Applikations-Allowlisting auf dem ATM-Betriebssystem; signierte, authentifizierte Dispenser-Firmware und die Ende-zu-Ende-Verschlüsselung von XFS 3.0+ zwischen PC und Dispenser; sowie Segmentierung, MFA und Message-Authentication (MAC) auf der Verbindung vom Geldautomaten zum Switch.
● Beispiele
- 01
Mules leeren mit dem Cutlet-Maker-MaaS-Kit 2017-2018 osteuropäische Geldautomaten.
- 02
Das FASTCash-Schema der Lazarus-Gruppe sendet Genehmigungsmeldungen und entzieht Automaten über 100 Millionen USD.
● Häufige Fragen
Was ist ATM-Jackpotting?
Angriff, bei dem der Geldausgabemechanismus eines Geldautomaten zur Ausgabe seines gesamten Bargelds gezwungen wird — entweder über physischen Zugriff auf die Top Box oder über eine Netzwerk-Kompromittierung. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet ATM-Jackpotting?
Angriff, bei dem der Geldausgabemechanismus eines Geldautomaten zur Ausgabe seines gesamten Bargelds gezwungen wird — entweder über physischen Zugriff auf die Top Box oder über eine Netzwerk-Kompromittierung.
Wie schützt man sich gegen ATM-Jackpotting?
Schutzmaßnahmen gegen ATM-Jackpotting kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für ATM-Jackpotting?
Übliche alternative Bezeichnungen: Jackpotting, Cash-out-Angriff.