Obwohl Geldautomaten der schnellste Weg sind, um Bargeld von Ihrem Bankkonto abzuheben, wurden sie seit ihrer Einführung gehackt und sind immer noch anfällig. Josep Rodriguez hat eine “Ansammlung von Fehlern” identifiziert, die er manipulieren kann, um einen Geldautomaten “mit einer Handbewegung seines Telefons über den kontaktlosen Kreditkartenleser” zu hacken, berichtet die Wired. Der gleiche Prozess funktioniert auch, um in andere Point-of-Sale-Terminals einzudringen, bestätigt es.
Rodriguez ist Forscher und Berater bei IOActive, einem Sicherheitsunternehmen, das verschiedene Schwachstellen in den NFC-Lesechips gefunden und gemeldet hat, die in den meisten Geldautomaten und POS-Systemen auf der ganzen Welt verwendet werden. Nun hat er eine Android-App entwickelt, die sich diese Schwächen in der Firmware von NFC-Systemen zunutze macht.
An vielen Geldautomaten können die Benutzer ihre Karten abtippen und die PIN eingeben, um Bargeld abzuheben oder Zahlungen zu tätigen. Obwohl dieser Vorgang schneller und bequemer ist als das Einführen der Karte in den Geldautomaten selbst, weist er einige Schwachstellen auf Softwareebene auf und ist anfällig für physische Kartenskimmer.
Die App nutzt Softwarefehler. Es ermöglicht Rodrigues, sein Telefon über den NFC-Leser zu bewegen, um den Geldautomaten oder das POS-Gerät auszunutzen, es zu hacken, um den Transaktionswert zu ändern, Daten zu übertragen oder zu sammeln. Rodrigues informiert, dass er sogar ein Gerät mit einer Ransomware-Nachricht sperren kann.
Noch alarmierender ist die Tatsache, dass Rodrigues den Geldautomaten einer bestimmten Marke (unbenannt wegen Geheimhaltungsvereinbarung) zwingen kann, Bargeld auszugeben. Dies wird als „Jackpotting“ bezeichnet und im Laufe der Jahre haben Hacker und Kriminelle verschiedene Jackpotting-Methoden verwendet, um Zugang zu Geldautomaten zu erhalten und Geld zu stehlen.
Josep Rodriguez hat Berichten zufolge alle Anbieter (deren Maschinen anfällig sind) im Laufe des letzten Jahres oder so informiert. Jetzt ist er bereit, die technischen Details der Schwachstellen – nachdem er seine Erkenntnisse fast ein Jahr lang geheim gehalten hat – bald in einem Webinar zu teilen. Die Absicht sei, “teilweise Kunden der betroffenen Anbieter dazu zu bringen, die von den Unternehmen bereitgestellten Patches zu implementieren”, teilt Wired mit.
Rodriguez hat sogar ein Video mit Wired geteilt, das die Sicherheitslücken zeigt und wie er durch Winken des Telefons über den NFC-Leser in einem Geldautomaten in Madrid dazu führen kann, dass der Automat eine Fehlermeldung anzeigt. Er hat sich entschieden, Jackpotting-Videos ausschließlich wegen der NDA nicht mit Anbietern zu teilen.
