Bedrohung / Point-of-Sale-Malware

Malware am Point of Sale

Meldungen über Schadsoftware, die Daten von Kassensystemen abgreift, häufen sich: Bei einer vergleichsweise niedrigen Gesamtzahl sei dennoch ein explosionsartiger Zuwachs zu verzeichnen – und es droht immenser Schaden durch den Missbrauch von Kreditkartendaten. Wie sieht die Bedrohungslage in unseren Breiten aus und welche Sicherheitsmaßnahmen kann man ergreifen?

Von Dirk Knop, Göttingen

Kreditkarten-Daten sind für Cybergangster der Schatz, den es zu heben gilt. Bekannt sind vor allem klassische Angriffe zum Ausspähen der Daten via Phishing, Pharming oder Trojaner-Infektionen mit dem Ziel, Online- Transaktionen der Endanwender zu manipulieren. Dabei findet man die meisten Informationen doch direkt am Ort des Austauschs von Geld und Waren (Point of Sale – PoS): an der Kasse des Baumarkts, der Tankstelle, des Discounters und so weiter. Was liegt also näher, als die begehrten Daten – und somit faktisch Geld – gleich dort zu stehlen?

Moderne Zahlungsmittel

Um die konkrete Bedrohungslage einzuschätzen, muss man zunächst die Zahlungsmethoden und ihre geografisch- kulturellen Besonderheiten betrachten: Während in den USA beispielsweise die Zahlung mit Kreditkarte überall üblich ist, kommt im deutschsprachigen Raum beim bargeldlosen Bezahlen vor Ort vorrangig die EC-Karte zum Einsatz. Die beiden Verfahren unterscheiden sich insofern, dass sich Kreditkarten teils auch ohne PIN nutzen lassen und Online-Transaktionen mit festen Zahlen- und Zeichenketten auskommen. EC-/Banking-Transaktionen erfordern hingegen regelmäßig eine Zweifaktor-Authentifizierung mit zusätzlicher PIN oder TAN: Abgeschöpfte Daten alleine reichen nicht, sondern gerade stattfindende Transaktionen müssen direkt manipuliert werden – etwa via Man-in-the-Middle-Angriff.

Schon seit Längerem kennt man so genannte Skimming-Angriffe, bei denen zusätzliche Hardware an Bankautomaten angebracht oder in Zahlungsterminals eingebaut wird (vgl. etwa [1]). Die Bedrohung wandelt sich jedoch und zielt zunehmend direkt auf die Software der eingesetzten Geräte und Server sowie deren Netzwerk- Kommunikation ab.

Einfallstore

PoS-Kassensysteme basieren auf mehr oder weniger handelsüblicher PC-Hardware – darauf läuft ein Betriebssystem, oft gar ein Windows. Hier findet sich schon ein Teil des Problems: Kassen müssen viele Jahre überstehen, daher ist ihr Betriebssystem häufig veraltet. Selbst einige Bankautomaten verwenden noch Windows XP, für das Microsoft schon seit mehr als einem Jahr keine Sicherheitsupdates mehr bereitstellt. Zwar gibt es noch eingeschränkte Update-Angebote für den Kiosk-Modus, jedoch bleiben zahlreiche Lücken ungepatcht.

Dies ermöglicht mehrstufige Angriffe, um das System zu unterwandern: So kann beispielsweise ein integrierter Update-Mechanismus der eingesetzten Software Wechselmedien auf bestimmte Dateinamen untersuchen und diese Dateien dann ausführen, wodurch man mit Zugang zu einem USB-Port, einem USB-Stick und darauf befindlicher passend umbenannter Malware das System im Handstreich übernehmen kann [3].

Doch auch ohne derart direkten Zugriff sind Attacken möglich: Kassensysteme haben zwar in der Regel keine direkte Internetanbindung – eine Netz-Anbindung erfolgt jedoch meist über einen zentralen Server, der die Daten verwaltet und Online-Anfragen übernimmt. Daher sind Angriffe aus dem internen Unternehmensnetz heraus auch auf die Kassensysteme möglich.

Eine der Schwachstellen ist hier, dass die Kommunikation zwischen Kasse und Server oftmals unverschlüsselt erfolgt, da man das interne Netz als „sicher“ betrachtet. Ein Büro-PC im gleichen Netzwerk kann jedoch infiziert werden und dann die unverschlüsselte Kommunikation ausspähen, Daten abgreifen und ins Internet senden. Auch der Server selbst kann angreifbar sein (vgl. etwa [4]).

Wenn Sicherheitslücken auf dem Kassensystem vorhanden sind, etwa durch ein veraltetes Betriebssystem, kann dadurch unter Umständen auch Schadcode direkt auf das Kassensystem geschleust werden (siehe etwa [5]): Dort können Schadprogramme beispielsweise den Speicher via „Memory Scraping“ nach Markern durchsuchen, die auf Kreditkarten-Daten hinweisen, diese dann auslesen und in eine Datei speichern – damit lässt sich auch eine verschlüsselte Kommunikation unterwandern. Die erstellte Datei können Cyberganoven dann später vom infizierten PC oder Server in aller Ruhe abholen, oder beispielsweise via DNS-Tunneling ausschleusen (vgl. [6]).

Derartige Angriffe kann man beispielsweise durch Firewalls mit integriertem Intrusion-Detection-System (IDS) erkennen, die den Netzwerkverkehr auf bestimmte Merkmale und Angriffsmuster untersuchen: Verdächtige Eigenschaften reichen von den kontaktierten Servern im Internet über gesetzte Flags in den TCP/IP-Paketen bis hin zu bestimmten Paket-Fragmenten und -Inhalten. Passende „Fingerprints“ dienen ähnlich wie Virensignaturen dann als Indikator dafür, dass Daten unkontrolliert abfließen und somit eine Infiltration stattgefunden hat. Läuft die Kommunikation allerdings verschlüsselt ab, ist eine Erkennung per IDS kaum noch möglich: Die kontaktierten Server können etwa Drohnen eines Botnetzes mit beliebigen IP-Adressen sein – und in die Pakete ist kein Einblick möglich, da die Verschlüsselung dafür sorgt, dass von den Inhalten nur ein Rauschen zu erkennen ist.

Lage und Auswege

Die meisten Angriffe konzentrieren sich auf Kreditkarten-Daten. Deren Verbreitung nimmt auch im deutschsprachigen Raum zu – das dominante elektronische Zahlungsmittel bleibt jedoch auf absehbare Zeit die EC-Karte. Gezielte Angriffe darauf finden zumeist in Form von Skimming statt, wobei die Cybergangster Kartendubletten mit den Daten vom Magnetstreifen erstellen und mit der gleichfalls erbeuteten PIN an ausländischen, schlecht gesicherten EC-Automaten Konten leerräumen. Auch wenn die hiesigen EC-Karten bessere Sicherungsmaßnahmen als Kreditkarten aufweisen, sind sie also nicht vor Angriffen gefeit.

Daher sollten Sicherheitsmaßnahmen auf allen Ebenen zum Einsatz kommen:

  • Die Netzwerke, in denen Kassen arbeiten, dürfen nicht als sicher betrachtet werden.
  • Die Kommunikation zwischen Kasse und Server sollte verschlüsselt ablaufen – dazu bieten sich auch spezielle „Intranet-VPN“-Lösungen an, welche die Kommunikation in einem virtuellen Netz sowie zwischen einzelnen Netzwerkknoten verschlüsseln, sodass selbst andere Rechner im gleichen virtuellen Netz deren Datenverbindungen nicht ausspionieren können.
  • Zudem müssen alle Standard-Passwörter in der eingesetzten Software geändert werden (vgl. etwa [8]).
  • Weiterhin muss man die installierten Programme, Dienste und Betriebssysteme stets auf dem aktuellen Stand halten und Sicherheitsupdates zeitnah einspielen.
  • Ein Virenschutz auf Clients, Servern und sogar den Kassensystemen kann eindringende Malware aufspüren und blockieren.
  • Zudem sollte die Konfiguration der Systeme weiterreichende Sicherheitsaspekte berücksichtigen und die Möglichkeit nutzen, etwa den Autostart von USB-Medien zu unterbinden – oder den Zugriff darauf gänzlich zu sperren.

Dirk Knop ist IT-Security-Spezialist und Redakteur beim ITSicherheits- Distributor JakobSoftware.

Literatur

[1] Daniel Bachfeld, Angriff der Karten-Kloner, c‘t 25/2007,S. 76, online auf www.heise.de/security/artikel/Angriffder-Karten-Kloner-270934.html

[2] Kai Schmerer, Windows XP: Registry-Hack ermöglicht Updates bis 2019, ZDnet, 26. Mai 2014, www.zdnet.de/88194135/windows-xp-registry-hack-ermoeglichtupdates-bis-2019-update/

[3] „tw“ und „sb“ (Pseudonyme), Electronic Bank Robberies, Stealing Money from ATMs with Malware, Vortrag auf dem 30C3, http://media.ccc.de/browse/congress/2013/30C3_-_5476_-_en_-_saal_2_-_201312271600_-_electronic_bank_robberies_-_tw_-_sb.html

[4] Lucian Constantin, Malware targets Oracle Microspoint-of-sale customers, Computer World, 8. Juni 2015, www.computerworld.com/article/2932231/security0/malware-targets-oracle-micros-point-of-sale-customers.html

[5] Orla Cox, Demystifying Point of Sale Malware and Attacks, Symantec-Blog, 3. Februar 2014, www.symantec.com/connect/blogs/demystifying-point-sale-malwareand-attacks

[6] Paul Rascagnères, Neue Variante von FrameworkPOS schöpft Daten über DNS-Anfragen ab, G Data Blog, 15. Oktober 2014, https://blog.gdata.de/artikel/neuevariante-von-frameworkpos-schoepft-daten-ueber-dnsanfragen-ab/

[7] Dell, Die Attacken auf Point-of-Sale-(POS)-Systeme im Einzelhandel nehmen zu, in: Dell veröffentlicht Sicherheitsreport 2015, Pressemitteilung, 14. April 2015, www.dell.com/learn/de/de/decorp1/press-releases/2015-04-14-dell-threat-report

[8] Nehan Shaikh, Are PoS (Point-of-Sale) Systems Actually Secured?, eScan Blog, http://blog.escanav.com/2014/09/25/are-pos-point-of-sale-systems-actuallysecured/?lang=en

[9] A. Allievi, B. Baker, N. Biasini, J.J. Cummings, D. Goddard, W. Largent, A. Villegas, A. Zidouemba, Threat Spotlight: PoSeidon, A Deep Dive Into Point of Sale Malware, Cisco Threat Research, 20. März 2015, http://blogs.cisco.com/security/talos/poseidon

[10] Yuri Ilyin, What is PoS malware and why does it cost millions, Kaspersky Business, 27. August 2014, https://business.kaspersky.com/what-is-pos-malware-and-whydoes-it-cost-millions/2