Betaalautomaten van banken in meerdere landen onveilig door ontwerpfouten

Op het hackerscongres CCC in Hamburg hebben diverse beveiligingsonderzoekers aangetoond dat betaalautomaten van banken onveilig zijn en zelfs kwetsbaar zijn voor aanvallen waarbij geen fysieke toegang nodig is tot het apparaat. Hierdoor kunnen kwaadwillenden pincodes kopiëren, betalingen overnemen en de pinautomaat kapen. Dat toonden beveiligingsonderzoekers Karsten Nohl, Fabian Bränlein en Dexter in een presentatie aan op CCC waar NU.nl bij aanwezig was.

Het onderzoek ging specifiek in op Duitse geldautomaten, maar volgens Karsten Nohl is dit probleem niet specifiek voor dit soort automaten. Dezelfde technologie is namelijk terug te vinden in meerdere landen, maar niet in Nederland.

Door ontwerpfouten was het mogelijk voor de onderzoekers om de zogeheten sleutel te achterhalen. Met deze sleutel konden de onderzoekers zelfs via een draadloos netwerk inloggen op het apparaat. Op dit punt komen de gegevens van de transacties onversleuteld langs, wat betekent dat de onderzoekers pincodes en transacties in konden zien.

Een andere grote fout is terug te vinden in de manier waarop banken met de geldautomaten communiceren. Zo is het de onderzoekers gelukt om zich voor te doen als betaalautomaat en aan de bank transacties voor te leggen. De bank handelde deze transacties af zoals alle andere transacties. Op die manier is het mogelijk om grote bedragen te stelen.

Dit is mogelijk omdat de bank enkel het automaatnummer en het standaard wachtwoord, dat vaak via Google te vinden is, gebruikt als beveiliging.