Al jaren ging het gerucht dat er een magische pinpas bestond die geldautomaten omtovert in een jackpot die altijd uitkeert. Stop de pas in de gleuf en alle cash komt eruit. Veel mensen dachten dat het een broodje aap verhaal was. Maar de pas bestaat. In een officieel rapport van de Europese Unie wordt het bestaan ervan bevestigt. De pas is ontwikkeld in Oost Europa en daar ook daadwerkelijk gebruikt. Maar mogelijk zijn ook geldautomaten in West-Europa aangevallen.
De geldautomaat wordt eerst besmet met een klein computerprogramma, zogenaamde malware, een afkorting van malicious software (kwaadaardige software). Dat gebeurt via het netwerk van de bank, waarbinnen altijd computers staan die weer naar buiten toe op het internet zijn aangesloten. Geldautomaten zijn namelijk ook gewoon computers met een beeldscherm, een netwerkaansluiting en een geldlade. Niet meer dan dat. Die computers hebben net als uw PC thuis een besturingssysteem. Vaak ook een verouderd systeem. Terwijl u thuis werkt met Windows Vista of Windows 7, draaien veel geldautomaten nog op Windows XP, het bijna tien jaar oude operating system van Microsoft. Wanneer je de speciale pas in een geldautomaat steekt, krijg je als administrator controle over de automaat.
De malware maakt gebruik van een zwakke plek in Windows XP. Onderdeel van dat besturingssysteem is een programma dat ‘isadmin.exe’ heet. De malware vervangt ‘isadmin.exe’ door zijn eigen programma’tje. De gemanipuleerde betaalpas wordt vervolgens gebruikt om controle te krijgen over deze software.
En dan komt de digitale Hans Klok in actie, de magische software gaat zijn werk doen. De geldautomaat gaat zichzelf herstarten. En na die reboot staat er ineens een speciaal service-menu op het scherm. Dat ziet er zo uit:
Wanneer er nu op het toetsenbordje van de geldautomaat een cijfer tussen de 1 en 4 wordt ingedrukt, stuurt het programma een commando naar de geldlade: dispense cassette (lade leegmaken). Dat is de jackpot. Alle bankbiljetten die in de lade zitten komen netjes aan de voorkant uit de automaat. Dat is gemiddeld zo’n tienduizend euro. Tel uit je winst. Na een geslaagde operatie herstart de machine weer en toont een melding: “deze automaat is tijdelijk buiten gebruik”.
Voor wie het nog steeds niet gelooft: het bestaan ervan is bevestigd in een officieel rapport van de Europese Unie, dat hier is te downloaden (PDF). Het rapport is van ENISA, een agentschap van de EU dat adviseert over de veiligheid van IT-systemen in de lidstaten. Volgens ENISA is de belangrijkste boosdoener het besturingssysteem Windows, dat overgevoelig is voor manipulatie met virussen, trojans en malware.
Gedetailleerde informatie over de magische pinpas in dit veiligheidsbulletin van de Amerikaanse security firma Trustwave.
Geinfecteerde geldautomaten zijn in de praktijk aangetroffen in Rusland en de Oekraine. Of ze ook in West-Europa en de VS zijn gevonden weten we niet zeker. Een goedingevoerde bron vertelde Crimesite: “Banken zijn over het algemeen niet scheutig met informatie. Het zou kunnen. Er is eigenlijk geen reden waarom de pas niet zou werken bij ons. Ook hier staan duizenden geldautomaten met verouderde Windows-versies, die allemaal vatbaar zijn voor deze malware. De mensen die deze pas in bezit hebben, struinen heel Europa af naar automaten die ze kunnen aanvallen”.
Daarbij is het wel nodig dat er eerst een banknetwerk gevonden is, waarop de besmetting kan plaats vinden. Dus zo simpel als een pasje in een willekeurige automaat steken, is het nu ook weer niet. Maar toch.
Dit is deel 4 in onze serie over digitale bankfraudes. Maandag zullen we in het laatste deel onthullen waarom uw TAN-code niet meer veilig is. Eerder verschenen artikelen in deze reeks:
Fraude met internetbankieren stijgt explosief
Bankfraude: Waarom een botnet? (#1)
Bankfraude: hoe werkt de hacker? (#2)
Bankfraude: “spread” het virus (#3)