Tech

Jackpotting: So lassen Cyberkriminelle Geldautomaten Scheine spucken

Motherboard und der Bayerische Rundfunk haben untersucht, welche Cyberangriffe für Banken auf der ganzen Welt gefährlich werden.

von Joseph Cox
18 Oktober 2019, 8:26am

Illustration: Cathryn Virginia

Es ist zehn Uhr morgens, als der Angestellte einer Bank in Freiburg bemerkt, dass mit dem Geldautomaten in seiner Filiale etwas nicht stimmt. Wie sich herausstellt, wurde das Gerät mithilfe der Malware Cutlet Maker gehackt, die dafür sorgt, dass Geldautomaten ihren gesamten Geldinhalt ausspucken. Das sagt ein Kriminalbeamter, der mit dem Fall vertraut ist.

"Ho-ho-ho! Let's make some cutlets today!", ist im User Interface der Malware zu lesen – daneben ein zufriedener Koch und eine jubelnde Frikadelle. Anscheinend handelt es sich hier um ein russisches Wortspiel: Dort bezeichnet das Äquivalent zu "cutlet" nämlich nicht nur ein Stück Fleisch, sondern auch ein Bündel Bargeld.

Bei der gemeinsamen Recherche von Motherboard und dem Bayerischen Rundfunk kamen neue Details zu einer Reihe von sogenannten "Jackpotting"-Angriffen auf deutsche Geldautomaten im Jahr 2017 heraus. Dabei erbeuteten die Diebe mehr als eine Million Euro. Jackpotting bezeichnet eine Technik, bei der Cyberkriminelle mithilfe von Malware oder bestimmter Hardware einen Geldautomaten dazu bringen, seinen gesamten Bargeldinhalt auszugeben. Dafür ist keine gestohlene EC-Karte nötig. Die Hacker installieren die Malware im Normalfall auf dem Geldautomaten, indem sie einen bestimmten Bereich öffnen und einen USB-Anschluss freilegen.


Auch bei VICE: Die Geschichte des 16-Jährigen, der den Drive-in von McDonald's hackte


In einigen Fällen konnten die betroffenen Banken und Geldautomatenhersteller ermittelt werden. Die Non-Profit-Organisation European Association for Secure Transactions beschäftigt sich mit der Sicherheit von Geldautomaten und Online-Zahlungsmethoden. In einem aktuellen Bericht schreibt sie, dass Jackpotting-Angriffe in den ersten sechs Monaten von 2019 um 43 Prozent zurückgegangen seien. Dieses Ergebnis bezieht sich jedoch nur auf Europa.

"Das Ganze geschieht oft in Teilen der Welt, wo dann niemandem Bescheid gegeben werden muss", sagt eine Quelle, die mit Geldautomatenangriffen vertraut ist. "Jackpotting passiert immer öfter, es will bloß niemand melden."

Deshalb ging die Zahl der Angriffe in anderen Teilen der Welt mehreren Quellen zufolge nach oben. Betroffen seien vor allem Banken und Geldautomatenhersteller in den USA, Lateinamerika und Südostasien.

"Die USA sind ein besonders beliebtes Ziel", sagt eine Quelle, die nicht genannt werden möchte. Motherboard und der BR haben verschiedenen Quellen – darunter auch Kriminalbeamte – Anonymität gewährt, damit die offener über vertrauliche Daten zu Hacking-Fällen sprechen können.

Das Interface der Malware 'Cutlet Maker'
Das Interface von 'Cutlet Maker' | Screenshot: Twitter-Account @cryptoinsane

2010 stellte der inzwischen verstorbene Programmierer Barnaby Jack während der jährlich stattfindenden Cybersecurity-Konferenz Black Hat seine eigene Version von Geldautomaten-Malware vor. Das Publikum applaudierte, als das Gerät das Wort "JACKPOT" anzeigte und einen Geldschein nach dem anderen auswarf.

Insgesamt kam es in den letzten Jahren in ganz Deutschland zu 82 Jackpotting-Angriffen, so die Sprecher der Polizeibehörden aus verschiedenen Bundesländern. Allerdings waren diese Angriffe nicht immer erfolgreich: Bei dem Beispiel aus Freiburg sei etwa kein Bargeld entwendet worden, so die Behörden. Staatsanwalt Christoph Hebbecker und sein Team ermittelten gerade in zehn Fällen, die zwischen Februar und November 2017 stattfanden. Bei mehreren davon erbeuteten die Diebe tatsächlich Geld – insgesamt rund 1,4 Millionen Euro, so Hebbecker.

Da die Angriffe alle ähnlich abliefen, geht der Staatsanwalt davon aus, dass dieselbe Tätergruppierung dahintersteckt. In einigen Fällen gibt es auch Überwachungsaufnahmen. Tatverdächtige konnte man aber noch nicht ausmachen. "Die Ermittlungen sind bislang noch nicht abgeschlossen", schreibt Hebbecker in einer E-Mail.

Berliner Behörden gaben an, seit Frühling 2018 mindestens 36 Jackpotting-Fälle registriert zu haben, bei denen insgesamt mehrere tausend Euro gestohlen wurden. Welche Malware dabei konkret zum Einsatz kam, wollten sie aber nicht sagen.

Verschiedene Quellen geben an, dass bei den Angriffen im Jahr 2017 die Bank Santander betroffen gewesen sein soll. Zwei Quellen werden noch genauer und sagen, dass es sich bei den Zielen um das Geldautomatenmodell Wincor 2000XE vom Hersteller Diebold Nixdorf (früher Wincor Nixdorf) handelte.

"Wir machen im Allgemeinen keine Angaben zu Einzelfällen", sagt Bernd Redecker, der Leiter der Sicherheits- und Betrugsabteilung von Diebold Nixdorf, am Telefon. "Aber natürlich setzen wir uns zusammen mit unseren Kunden mit dem Thema Jackpotting auseinander. Und wir wissen von diesen Fällen." Diebold Nixdorf hat diese Geldautomatenmodelle auch auf dem US-Markt verkauft.

Das Infoblatt zum Geldautomatenmodell 2000XE
So sieht das 2000XE-Modell aus | Bild: bereitgestellt von Diebold Nixdorf

Ein Sprecher von Santander schreibt in einem gemailten Statement: "Der Schutz unserer Kundendaten und die Unversehrtheit unseres Netzwerks zählen zu unseren Hauptaufgaben. Unsere Experten sind bei jedem Schritt der Produktentwicklung und beim Betrieb eingebunden, um unsere Kunden und die Bank vor Betrug und jeglicher Cyber-Bedrohung zu schützen. Dieser Fokus auf Daten- und Betriebsschutz lässt nicht zu, dass wir einzelne Sicherheitsprobleme kommentieren."

Man darf nicht vergessen, dass sich Jackpotting nicht auf eine Bank oder einen Geldautomatenhersteller beschränkt. Es ist deshalb möglich, dass bei den Angriffen nicht nur Santander betroffen war. Das sind lediglich die Fälle, auf die sich unsere Recherchen konzentrieren.

"So etwas passiert allen Anbietern, da wird nicht auf ein bestimmtes Modell, eine bestimmte Marke oder eine bestimmte Region abgezielt", sagt Redecker von Diebold Nixdorf.

Was viele Geldautomaten so angreifbar macht: Im Grunde handelt es bei ihnen um veraltete Windows-Computer. "Das sind sehr alte, langsame Maschinen", bestätigt die Quelle, die sich mit Angriffen auf Geldautomaten auskennt.

Wie Redecker aber betont, hätten die Geldautomatenhersteller ihre Produkte in Sachen Sicherheit natürlich längst verbessert. Das bedeutet allerdings nicht, dass alle Geldautomaten jetzt auf dem gleichen Stand sind.

Doch nicht nur die Automatenhersteller, auch die Banken müssen für Sicherheit sorgen. Sie selbst sind dafür verantwortlich, dass nur Kunden und autorisierte Leute Zugang zu den Geldautomaten haben.

"Für einen Jackpotting-Angriff muss man zuerst an das Innere eines Geldautomaten kommen. Wenn die Banken diesen ersten Zugriff erschweren, hilft das schon mal sehr dabei, Jackpotting vorzubeugen", schreibt David N. Tente, der Geschäftsführer des Handelsverbands ATM Industry Association, in einer E-Mail.

Redecker hat laut eigener Aussage die ersten Jackpotting-Angriffe im Jahr 2012 registriert, in Deutschland sei es 2014 in Berlin zum ersten Angriff gekommen. 2017 berichteten Forschende des Cybersecurity-Unternehmens Kaspersky darüber, wie Cutlet Maker seit Mai 2017 in Hacking-Foren verkauft wird. Anscheinend kann jeder, der ein paar tausend Dollar übrig hat, die Malware besorgen und sich im Jackpotting versuchen.

"Den Hackern ist egal, an wen sie die Malware verkaufen", sagt David Sancho, ein leitender Forscher der Cybersecurity-Firma Trend Micro, der sich zusammen mit Europol mit dem Thema Jackpotting beschäftigt. Von da an konnten sich auch kleinere Banden oder findige Kriminelle an Geldautomaten zu Schaffen machen, so Sancho weiter. "Theoretisch ist das in jedem Land dieser Welt möglich."

Für die Recherche haben wir mit einem Cyberkriminellen gesprochen, der behauptet, die Cutlet Maker-Malware zu verkaufen.

"Ja, ich biete sie an, sie kostet 1.000 Dollar. Zudem kann ich auch zeigen, wie man das Ganze durchzieht", heißt es in einer E-Mail, in der zudem Screenshots einer Anleitung auf Russisch und Englisch enthalten sind. Diese Anleitung erklärt zum Beispiel, wie man herausfindet, wie viele Scheine sich im Geldautomaten befinden, und wie man die Malware installiert.

Dass Geldautomaten-Malware jetzt so einfach zu beschaffen ist, hat wohl dazu beigetragen, dass es zu mehr Jackpotting-Angriffen kommt. Im Januar 2018 begann der Secret Service damit, US-Banken über die ersten Jackpotting-Zwischenfälle in den USA aufzuklären. Bei denen kam aber eine andere Malware namens Ploutus D zum Einsatz.

"Unsere Umfrage aus dem Jahr 2019 deutet darauf hin, dass die Jackpotting-Angriffe weltweit zunehmen", schreibt Tente von der ATM Industry Association. Dazu sagt die Quelle, die sich mit den Angriffen auskennt: "Es kommt immer wieder zu Angriffen, aber oft wird die Öffentlichkeit nicht darüber informiert."

Folge VICE auf Facebook, Instagram und Snapchat.

Tagged:
cybersecurity
malware
geld
recherche