Sie haben vor, diesen Winter noch zu verreisen? Dann sollten Sie sich vor Kreditkarten-Malware in Acht nehmen, die es speziell auf Hotels abgesehen ha

Winterferien bieten die perfekte Gelegenheit mit der ganzen Familie in den Skiurlaub zu fahren. Dabei ist jedoch Vorsicht geboten: Cyber-Kriminelle richten ihre Bemühungen derzeit verstärkt auf die Infiltrierung von Hotelzahlungssystemen und gelangen so vollkommen unbemerkt an die Kreditkartendaten von nichts ahnenden Gästen.

Die Hilton-Hotelgruppe ist das jüngste Opfer in einer langen Liste aus Hotels und Resorts, deren Kassensysteme mit so genannter PoS-Malware (Point-of-Sale) infiziert wurden.

„Hilton Worlwide hat nicht autorisierte Malware, die es auf Zahlungsdaten in einigen Kassensystemen abgesehen hatte, aufgespürt und entsprechende Maßnahmen zur Beseitigung eingeleitet“, so das Unternehmen.

Die Angreifer konnten Nummern von Zahlungskarten, Sicherheitscodes und die Namen von Gästen erbeuten, die ihre Karten zwischen dem 18. November und dem 5. Dezember 2014 und zwischen dem 21. April 2015 und dem 27. Juli dieses Jahres in einem Hilton-Hotel eingesetzt hatten.  Betroffen waren alle Gäste, die ihre Kreditkarte zu Zahlung in den Souvenirläden, Cafés oder Restaurants der Hilton-Hotels und seiner Franchise-Nehmer in den USA eingesetzt hatten.

Wie war der Hack überhaupt möglich?

Es ist noch nicht bekannt, wie die Angreifer Zugriff auf die Kassensysteme erlangen konnten. Die möglichen Methoden sind jedoch vielfältig. Vorstellbar wären zum Beispiel so genannte Brute-Force-Angriffe, bei denen es gilt, unsichere Administratorpasswörter zu finden. Haben sich die Angreifer erst einmal unbemerkt Zugriff verschafft, ist es möglich, über das so genannte „RAM Scraping“-Verfahren und die Aufzeichnung von Tastenanschlägen durch Keylogger Daten zu sammeln und zu stehlen. Möglich wird dies erst, weil die Daten des Karteninhabers bei der Verarbeitung im Kassenterminal nicht verschlüsselt werden – eine durchaus bekannte Schwachstelle in den Zahlungssicherheitsstandards.

„RAM-Scraping ist eine bewährte Angriffsmethode, die in den letzten paar Jahren mit dem Ziel umfunktioniert wurde, Zahlungssysteme zu infiltrieren“, erläutert Bogdan Botezatu, leitender Analyst für digitale Bedrohungen bei Bitdefender. „Die Malware, die dahinter steht, hat sich dabei zu einer komplexen und weitreichenden Malware-Familie weiterentwickelt. So verwendet sie heute beispielsweise Dateinamen, die Benutzer manipulieren sollen, und verfügt über Bot- und Netzwerkfunktionalitäten. Auch die Möglichkeiten zum Datendiebstahl sind jetzt noch umfangreicher – die Malware kann zum Beispiel nach bestimmten Datenzeichenfolgen suchen, die wie Kreditkartennummern aussehen, und sie als Textdatei speichern, um die Daten so innerhalb weniger Sekunden unbemerkt zu entwenden.“

Warum Kassensysteme so leicht zu überlisten sind

Die Mehrzahl der Angriffe auf Kassensysteme erfolgt in den USA, wo Magnetstreifen und eine Bezahlung per „Swipe and Sign“ (Durchziehen der Karte durch ein Lesegerät mit anschließender Unterschrift) immer noch sehr weit verbreitet sind. Auf dem Magnetstreifen der Zahlungskarten findet sich in insgesamt drei Bereichen die Mehrzahl der kritischen Zahlungsdaten.

Bildquelle: SANS Institute

 

Spur 1 und 2 werden nicht verschlüsselt und sind das Hauptziel von Cyber-Kriminellen. Die nicht verschlüsselten Daten auf diesen Spuren werden über kompromittierte Kassensysteme abgefangen und die so gewonnenen Informationen danach zur Fälschung von Zahlungskarten oder missbräuchliche Online-Einkäufe verwendet.

Das aktuelle Zahlungssystem erfordert lediglich die Unterschrift des Käufers, um einen Kauf zu authentifizieren. Chip-und-PIN-Karten wie sie zum Beispiel in Europa zum Einsatz kommen, enthalten einen Mikrochip und erfordern die Eingabe einer PIN, was es Cyber-Kriminellen deutlich erschwert, erfolgreichen Kreditkartenbetrug zu betreiben. In Europa ist man also, zumindest vorerst, ein bisschen besser geschützt.

Nichtsdestotrotz werden die Probleme mit PoS-Malware in Zukunft wohl noch zunehmen.

Der Hilton-Angriff wurde nur vier Tage nach einem weiteren Zwischenfall bekannt. Das Hotelunternehmen Starwood Hotels, zu dem unter anderem auch die Sheraton- und Westin-Hotelgruppen gehören, hatte öffentlich gemacht, dass Hacker die Zahlungssysteme in einer Reihe seiner Häuser infiziert hatten und so möglicherweise auch Kreditkartendaten hatten erbeuten können.

Weitere Opfer der jüngsten Zeit sind das

·         Las Vegas’s Hard Rock Hotel & Casino,

·         das Las Vegas Sands Casino,

·         Trump Hotels und

·         das FireKeepers Casino and Hotel.

 

Man sollte auch nicht vergessen, dass der Einzelhandel 2014 wie keine andere Branche von Datenskandalen betroffen war. Angesichts dieser „am schnellsten wachsenden Form der Kriminalität in den USA“ hat US-Präsident Barack Obama sogar eine Exekutivorder unterschrieben, um die Sicherheit von Kredit-, Debit- und anderen Zahlungskarten zu verbessern.

„Auch wenn Datensicherheit nie zu 100 % gewährleistet werden kann, unterzeichnet der Präsident heute eine Exekutivorder, um bessere Sicherheitsmaßnahmen einzuführen, so auch beim Schutz von Kredit-, Debit- und anderen Zahlungskarten. Hier sollen Mikrochips an Stelle von Magnetstreifen sowie PIN-Codes wie bei herkömmlichen Bankkarten zum Einsatz kommen“, so das Weiße Haus.

Wie können Kassensysteme besser geschützt werden?

Es gibt glücklicherweise eine ganze Reihe an Möglichkeiten, Kassenterminals angemessen zu schützen.

„Ein Kassensystem ist genau genommen nur ein Windows-PC an den ein paar Geräte angeschlossen wurden, so zum Beispiel ein Kassenbondrucker, ein Barcodescanner und eine Kassenschublade“, so Bogdan Botezatu.„Es ist also durchaus eine Option, ein solches System mit einem Antivirenprogramm für Windows abzusichern.“

Um diesem Problem zu begegnen und sich 2016 besser vor Angriffen zu schützen, müssen Unternehmen immer wieder prüfen, wie gut ihre Malware-Erkennung wirklich ist und darüber hinaus

·         regelmäßige Risikobewertungen und Schwachstellenanalysen durchführen;

·         das Betriebssystem und alle Sicherheitsprogramme auf den Endpunkten stets auf dem neuesten Stand halten;

·         Kassenterminals gegen software- oder hardwaregestützte Manipulationen absichern;

·         Schwachstellen so schnell wie mögliche patchen;

·         Software zur Angriffserkennung einsetzen, um ungewöhnliche Aktivitäten im Netzwerk aufzudecken.

rn