Großangelegte Geldautomatenmanipulation: Auf Spurensuche in Mexiko

Diese kleine Artikelreihe von Brian Krebs (von Krebs on Security) ist schon ein paar Monate alt, aber mir erst jetzt untergekommen. Und sehr spannend (wer sich die Spannung erhalten will sollte erst die Artikel lesen und dann hier weitermachen):

geldautomat

Es geht zunächst um unauthorisierte Modifikationen von Geldautomaten für Skimming, also das Abgreifen von Kartendaten um damit später Geld von fremden Konten holen zu können. Dieses Skimming ist dabei so ausgefeilt, dass es sich äußerlich nicht im geringsten erkennen lässt und die Skimmer die gesammelten Daten im Vorbeigehen per Bluetooth abholen können, wann immer ihnen danach ist.

Brian Krebs macht dann eine Reise noch Mexiko und entdeckt gleich in seinem Hotel einen Automaten, der das verdächtige Bluetooth Signal aussendet. Und in den kommenden Tagen noch jede Menge weiterer solcher Geräte in den touristischen Hotspots.

Dieser Teil ist schon interessant, da er auch versucht andere Menschen von der Nutzung der kompromittierten Geräte abzuhalten (nicht wirklich erfolgreich) und das Hotelpersonal auf das Problem aufmerksam zu machen. Und erlebt, wie schwierig es sein kann ein offensichtlich gewordenes Problem dann auch abzustellen.

Die ganz große ‚Verschwörung‘

Im Nachgang seiner Mexikoreise entwickelt er allerdings noch eine größere Theorie und zwar eine, wonach die große Zahl von kompromittierten Geräten vielleicht nur eine Art Ablenkung von oder Ergänzung zum eigentlichen, großen Angriff ist:

Und zwar ist ihm ein Geldautomatenbetreiber aufgefallen, dessen Geräte aus verschiedenen Gründen merkwürdig sind (zu viele um rentabel zu sein; zu hohen Gebühren; häufige Transaktionsabbrüche; keine Informationen über den Betreiber erhältlich). Was wäre, wenn hier ein Unternehmen gegründet wurde mit dem Ziel Geldautomaten aufzustellen, deren Hauptzweck es ist Kartendaten auszuspähen?

Leider gibt es bis heute noch keine Fortsetzung dieser Reihe, die das Rätsel lösen würde.

Aber die Frage ist schon, ob man eigentlich noch – wenigstens im Ausland – Bargeld von Automaten mit einer Karte abholen sollte, die Zugriff auf das komplette eigene Konto hat. Oder ob man sich eher ein Nebenkonto mit wenig Geld und ohne Kreditrahmen zulegt, welches man ggf. im Urlaub über den PC mit Geld füllt, und von dem man dann per Karte Geld abhebt.

ihbrune

1991-1996: Studium der Naturwissenschaftlichen Informatik an der Universität Bielefeld. Abschluss mit der Diplomarbeit zum Thema 'Analyse von ein- und mehrdimensionalen Zeitreihen mit der Karhunen-Loève- und Wavelet Transformation' || 1996-1997: Wissenschaftlicher Mitarbeiter am Lehrstuhl Prof. A. Knoll in der Technischen Fakultät der Universität Bielefeld im Projekt 'LANeCo: Local Area Net Configuration' || 1998- 2018: Tätigkeit im BIS - Bielefelder Informationssystem an der Universität Bielefeld || Seit Oktober 2018: Leitung der Abteilung Informationssysteme und Prozessunterstützung im BITS