{"id":2311,"date":"2014-01-28T15:00:44","date_gmt":"2014-01-28T15:00:44","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=2311"},"modified":"2020-02-26T18:31:26","modified_gmt":"2020-02-26T16:31:26","slug":"ram-scraper-und-andere-schadprogramme-fur-den-point-of-sale","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ram-scraper-und-andere-schadprogramme-fur-den-point-of-sale\/2311\/","title":{"rendered":"RAM-Scraper und andere Schadprogramme f\u00fcr den Point-of-Sale"},"content":{"rendered":"

Auch wenn der Vorfall nur Kunden in den USA betroffen hat, haben Sie vielleicht davon geh\u00f6rt, dass die amerikanische Supermarkt-Kette Target im letzten Jahr von einem riesigen Datendiebstahl<\/a> heimgesucht wurde. Die Kreditkarteninformationen von etwa 40 Millionen Kunden sowie pers\u00f6nliche Informationen von zus\u00e4tzlichen 70 Millionen Kunden wurden durch einen Einbruch gestohlen, der fast ein Monat lang andauerte \u2013 und das mitten in der Einkaufszeit vor Weihnachten. Betroffen war fast jeder Target-Supermarkt in den USA.<\/p>\n

\"RAM-Scraper\"<\/a>Man k\u00f6nnte denken, dass die Angreifer f\u00fcr den geplanten Diebstahl von Kreditkarten von Hunderten Millionen von Target-Eink\u00e4ufern auf jeden Fall einen Zahlungsprozessor oder die Firmenserver von Target kompromittieren m\u00fcssten und die Daten en masse von einem zentralen Speicherort stehlen w\u00fcrden. Das w\u00e4re sicherlich eine gute Vorgehensweise, um Zahlungsdaten von einem riesigen H\u00e4ndler zu stehlen, doch interessanterweise sind die Angreifer im Fall von Target anders vorgegangen.<\/p>\n

Der Zahlungsprozessor oder das Zahlungssystem von Target hatte sogar recht wenig mit dem Vorfall zu tun. Wer immer f\u00fcr den Angriff verantwortlich ist, hat ein besonderes Schadprogramm verteilt, das die Kartenleser und Kassen angreift, also Zahlungssysteme am so gennanten Point-of-Sale (PoS). Darum nennt man solche Sch\u00e4dlinge auch Point-of-Sale-Schadprogramme.<\/p>\n

\u201ePoint-of-Sale-Schadprogramm werden ma\u00dfgeschneidert, um diese entschl\u00fcsselten RAM-Daten zu sammeln und Zahlungsinformationen wie Kreditkartennummern, Nutzernamen, Adressen sowie Sicherheitscodes und auch Informationen anderere Zahlungskarten herauszufiltern.\u201c<\/div>\n

Um eines klarzustellen, die Angreifer haben sich sicher auch irgendwie in die Zahlungsserver des Unternehms gehackt. Das Problem dabei ist aber, dass die Kreditkartendaten, wenn sie einmal den Weg auf diese Server gefunden haben, bereits verschl\u00fcsselt<\/a> sind. \u00a0Doch es gibt einen kurzen Zeitraum, in dem diese Informationen unverschl\u00fcsselt im Klartext f\u00fcr die Autorisierung der Zahlung zur Verf\u00fcgung stehen m\u00fcssen. In diesem Zeitraum speichert die Kasse \u2013 oder ein Server in der N\u00e4he, je nach System \u2013 die Klartext-Zahlungsdaten in seinem RAM-Speicher.<\/p>\n

Und genau hier schlagen PoS-Schadprogramm zu. Sie werden ma\u00dfgeschneidert, um diese entschl\u00fcsselten RAM-Daten zu sammeln und Zahlungsinformationen wie Kreditkartennummern, Nutzernamen, Adressen sowie Sicherheitscodes und auch Informationen anderere Zahlungskarten herauszufiltern. Diese weitgehende Klasse von Schadprogrammen wird deshalb als RAM-Scraper<\/a> bezeichnet. Sie sind mindestens seit sechs Jahren eine ernste Bedrohung.<\/p>\n

Im Fall von Target haben die Angreifer ihr PoS-Schadprogramm wahrscheinlich von einem zentralen Server auf die PoS-Terminals oder die Server \u00fcbertragen, auf denen die Zahlungsautorisierung abl\u00e4uft. Denn ansonsten h\u00e4tten sie ihren RAM-Scraper auf jedem PoS-Terminal in jedem Target-Supermarkt installieren m\u00fcssen, und das ist eher unwahrscheinlich.<\/p>\n

Ein Forscher von Seculert, der den Vorfall untersuchte, stellte fest, dass die Angreifer die Infrastruktur der Point-of-Sale-Systeme \u00fcber eine infizierte Maschine des Netzwerks kompromittierten. Von dort aus installierten sie wohl eine Variante des beliebten BlackPOS-Schadprogramms, das man recht einfach in kriminellen Hacking-Foren kaufen kann (wenn man wei\u00df, wo man suchen muss).<\/p>\n

Laut einer Warnung, die von einer Koalition aus dem Department of Homeland Security, dem United States Secret Service, dem National Cybersecurity and Communications Integration Center, dem Financial Sector Information Sharing and Analysis Center und iSIGHT Partners ver\u00f6ffentlicht wurde, ist BlackPOS recht einfach zu entdecken, da der Quellcode des Sch\u00e4dlings vor Kurzem ver\u00f6ffentlicht wurde.<\/p>\n

BlackPOS ist allerdings nicht das einzige PoS-Schadprogramm und Target ist bei weitem nicht das einzige Unternehmen, das vor dieser Bedrohung steht. So haben auch das hochklassige Warenhaus Nieman Marcus und der Kunstbedarf- und Handwerks-H\u00e4ndler Michael\u2019s bekannt gegeben, dass sie zu Opfern \u00e4hnlicher Attacken geworden sind. Manche Forscher meinen, dass diese drei Angriffe zusammenh\u00e4ngen, doch solche Behauptungen sind rein spekulativ.<\/p>\n

Die ver\u00f6ffentlichte Warnung<\/a> spricht davon, dass PoS-Schadprogramme kurz vor einer Explosion stehen. Viele der neuen Exemplare \u2013 so die Warnung weiter \u2013 werden einfach nur Modifikationen bestehender Bank-Trojaner wie Zeus<\/a> sein. Da PoS-Schadprogramme f\u00fcr Kriminelle immer leichter verf\u00fcgbar und f\u00fcr die Strafverfolgungsbeh\u00f6rden immer sichtbarer werden, werden die Entwickler von RAM-Scrapern (wie auch die Macher von Bank-Trojanern schon vor einiger Zeit) anfangen, schwerer zu entdeckende private Trojaner zu entwickeln und diese individuell zu verkaufen.<\/p>\n

Das Department of Homeland Security und die anderen Mitglieder dieser Koalition haben in den Entwicklerforen eine Zunahme der Werbung (in verschiedenen Sprachen) f\u00fcr PoS-Schadprogramme festgestellt. Mit anderen Worten: Kriminelle ver\u00f6ffentlichen so etwas wie Kleinanzeigen in denen sie anbieten, freiberufliche Entwickler daf\u00fcr zu bezahlen, RAM-Scraper f\u00fcr sie zu programmieren. Zudem soll eine \u00e4hnliche Zunahme der PoS-Schadprogramme im Jahr 2010 festgestellt worden sein: Anfang des Jahres hatten die ausgeschriebenen PoS-Schadprogramm-Projekte einen Wert zwischen 425 Dollar und 2.500 Dollar. Doch schon Ende 2010 war der Wert so eines Projekts auf \u00fcber 6.500 Dollar gestiegen, da das Interesse an diese Art Sch\u00e4dlinge gestiegen war.<\/p>\n

Zudem wird davon ausgegangen, dass die Verteilung von PoS-Schadprogrammen durch exisiterende, Zugangsdaten stehlende Trojaner mit offen zug\u00e4nglichen Quellcodes erm\u00f6glicht wird, die einfach modifiziert werden k\u00f6nnen, um RAM-Scraping-Operationen auszuf\u00fchren.<\/p>\n

\u201eDurchgesickerter Quellcode von Zugansdaten stehlenden Schadprogrammen k\u00f6nnte ein Startpunkt f\u00fcr Angreifer sein, die nicht das Wissen haben, um ein komplett neues Schadprogramm zu entwickeln, oder f\u00fcr Angreifer, die ihre bisherigen Machwerke verbessern und damit ihre Angriffe effizienter machen m\u00f6chten,\u201c so die Warnung weiter. \u201eSolche tiefer gelegten Barrieren f\u00fcr den Start k\u00f6nnten zu mehr Arten von PoS-Schadprogrammen f\u00fchren, die zum Verkauf angeboten werden, und damit schlie\u00dflich auch zu g\u00fcnstigeren Preisen und einer gr\u00f6\u00dferen Anwenderbasis.\u201c<\/p>\n

Das ist der Hauptpunkt. In fast jedem Bereich der Cyberkriminalit\u00e4t gibt es dieses Paradigma. Zun\u00e4chst sind die Attacken neuartig, schwer durchzuf\u00fchren und schwer zu kopieren. Doch schlie\u00dflich werden die Angriffe einfacher<\/a>, was es auch weniger gut qualifizierten Angreifern erm\u00f6glicht, diese Attacken auszuf\u00fchren. Und dar\u00fcber hinaus beginnen Angreifer sogar, einfach zu verwendende Angriffs-Kits zu erstellen, die es fast jedem mit einer Tastatur und b\u00f6ser Gesinnung erm\u00f6glichen, ins die Cyberkriminalit\u00e4t einzusteigen.<\/p>\n

Das ist auch wieder so eine Situation, in der Sie nicht viel tun k\u00f6nnen. Denn Sie k\u00f6nnen ja nicht einfach in einen Supermarkt gehen und alle hoffnungslos angreifbaren Windows-XP-Maschinen, die die PoS-Infrastruktur verwalten, mit moderneren und sichereren Betriebssystemen austauschen. Und Sie k\u00f6nnen auch wenig dazu tun, sicherzustellen, dass H\u00e4ndler die Tipps f\u00fcr sichere Computer und sichere Netzwerke befolgen.<\/p>\n

Ein anderes Problem ist, dass es wahrscheinlich viele Vorf\u00e4lle gibt, von denen wir nie etwas h\u00f6ren werden \u2013 egal, ob das so ist, weil die Opfer-Firma nicht ganz ehrlich oder einfach nur schlecht informiert ist (sprich: sie weigert sich oder erkennt nicht, dass ein Einbruch passiert ist). Im Fall von Target hat das Unternehmen allerdings schnell reagiert und sehr sauber \u00fcber den Einbruch berichtet. Die meisten Banken haben daraufhin Hinweise auf ihren Webseiten ver\u00f6ffentlicht, in denen sie die Kunden \u00fcber die Risiken aufkkl\u00e4ren und damit eine M\u00f6glichkeit geben, die Konten zu \u00fcberwachen und potenziell kompromittierte Kreditkarten auszutauschen. Das ist im Grunde auch alles, was Sie tun k\u00f6nnen: Lesen Sie die Nachrichten, \u00fcberwachen Sie Ihr Konto und holen Sie sich eine neue Karte, wenn es n\u00f6tig ist.<\/p>\n","protected":false},"excerpt":{"rendered":"

Auch wenn der Vorfall nur Kunden in den USA betroffen hat, haben Sie vielleicht davon geh\u00f6rt, dass die amerikanische Supermarkt-Kette Target im letzten Jahr von einem riesigen Datendiebstahl heimgesucht wurde. Die Kreditkarteninformationen von etwa 40 Millionen Kunden sowie pers\u00f6nliche Informationen von zus\u00e4tzlichen 70 Millionen Kunden wurden durch einen Einbruch gestohlen, der fast ein Monat lang andauerte \u2013 und das mitten in der Einkaufszeit vor Weihnachten. Betroffen war fast jeder Target-Supermarkt in den USA.<\/p>\n","protected":false},"author":42,"featured_media":2312,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[93,604,868,867,866],"class_list":{"0":"post-2311","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-diebstahl","9":"tag-kreditkarten","10":"tag-point-of-sale","11":"tag-ram-scraper","12":"tag-target"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ram-scraper-und-andere-schadprogramme-fur-den-point-of-sale\/2311\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/diebstahl\/","name":"Diebstahl"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2311","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=2311"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2311\/revisions"}],"predecessor-version":[{"id":22674,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2311\/revisions\/22674"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/2312"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=2311"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=2311"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=2311"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}