Um die EC-Karte kontaktlos nutzen zu können, gibt es inzwischen auch NFC-Geldautomaten. Diese sind den Tests eines Experten zufolge allerdings anfällig für eine vergleichsweise simple Methode der Manipulation. Alles, was dazu nötig ist, ist ein Handy mit NFC-Technologie und eine Android-Anwendung. Geholfen haben demnach jedoch auch die Schwachstellen, die viele der Geräte aufweisen.
Einfach per Handy: NFC-Geldautomat spuckt Banknoten aus
Normalerweise machen sich Betrüger an der Hardware von zum Beispiel NFC-Geldautomaten zu schaffen, um Kunden ihre wertvollen Daten abzujagen. Typsich sind Methoden, bei denen ein separates Kartenlesegerät über dem eigentlichen Kartenleser angebracht wird, um EC-Karten zu scannen. Versteckte Kameras zeichnen gleichzeitig die Eingabe der PIN auf, so dass sowohl Kartendaten als auch Geheimzahl am Ende vorliegen.
Für Joseph Rodriguez, Sicherheitsberater bei IOActive, waren solche Hilfsmittel dagegen nicht nötig, um die Geräte, aber auch sogenannte POS-Systeme (Point-of-Sale-Systemen) für Kassen zugänglich zu machen. Dazu verwendete er ein einfaches Handy mit NFC-Technologie, die kontaktloses Bezahlen ermöglicht, und eine Android-App.
Letztere hatte der Sicherheitsforscher selbst und zu dem Zweck entwickelt, die NFC-Lesechips der Automaten und Kassen mit einer Vielzahl an Bugs zu infizieren. Diese sollten sie zum Absturz bringen und das Hacken ermöglichen. Rodriguez schaffte es am Ende mit dieser Methode
- Kreditkartendaten zu sammeln
- unbemerkt die Geldsumme von Transaktionen zu verändern
- NFC-Geldautomaten zum Auswurf von Banknoten zu bringen
Diverse Manipulationsmöglichkeiten für NFC-Geldautomaten
Zumindest für die letzte Aktion war zusätzlich das Ausnutzen bestehender Schwachstelle der Automatensoftware notwendig. „Sie können die Firmware modifizieren und den Preis auf einen Dollar ändern, selbst wenn der Bildschirm zeigt, dass sie 50 Dollar zahlen. Sie können das Gerät nutzlos machen oder Ransomware installieren. Es gibt hier eine Menge Möglichkeiten“, erklärt Rodrigues gegenüber Wired. Für den Auswurf des Geldes reiche es, die Attacken zu verketten und eine spezielle Nutzlast (Teil der Malware, der böswillige Aktionen ausführt) an den Computer des Geldautomaten zu schicken.
Über seine Erkenntnisse habe Rodrigues betroffene Hersteller und Anbieter vor einem Jahr informiert, er sehe aber auch, dass die schiere Zahl der Geräte, die physisch nachgerüstet werden müssten, riesig ist und der Vorgang einige Zeit dauern dürfte. Die Tatsache, dass viele POS-Terminals keine regelmäßigen Updates erhalten, mache die Sicherheitslücke noch gefährlicher. Die technischen Details der Attacken will der Forscher veröffentlichen, um Hersteller etwas mehr unter Druck zu setzen.
Tipps für Handys mit NFC-Technologie
Willst du keine Bankautomaten knacken, sondern nur mit deinem Handy und NFC leichter bezahlen, helfen spezielle NFC-Apps. Worauf es genau ankommt, um zum Beispiel am Android-Gerät die NFC-Technologie nutzen zu können, erfährst du ebenfalls bei uns.
Quelle: Wired