Cisco warnt vor Malware PoSeidon für Kassensysteme

Sie verfügt über einen Keylogger und beherrscht Memory Scraping, also Durchsuchen des flüchtigen Speichers. So kommt sie an PINs, obwohl diese sicherheitshalber nie gespeichert werden. Die Mehrzahl der Kommandoserver sitzt in Russland.

Cisco warnt vor einer Malware für Kassensysteme, die es PoSeidon getauft hat – nach dem englischen Begriff „Point of Sale“, kurz PoS. Sie ist nach Angaben der Forscher in der Lage, mit „Memory Scraping“ von Kunden eingegebene PINs abzuschöpfen, obwohl diese nicht im Kassensystem gespeichert werden.

Logo PoSeidon (Grafik: Cisco)

Die Software sammelt aber nicht nur PINs, sondern alle verfügbaren Kreditkartendaten. Auch Tastatureingaben (beispielsweise Passwörter) kann sie aufzeichnen. Die zusammengetragenen Informationen exportiert sie anschließend an fremde Server, von denen Cisco zufolge viele in Russland stehen. Die Kriminellen erstellen mit den Daten dann falsche Kredit- und Kontokarten.

„PoSeidon ist eine weitere Malware für Kassensysteme, die raffinierte Techniken und Ansätze zeigen“, schreibt Cisco. „Angreifer werden weiter auf PoS-Systeme abzielen und dabei ihre Spuren verwichen, um einer Erkennung zu entgehen. Administratoren müssen wachsam bleiben und sich streng an Branchenempfehlungen halten, um davor sicher zu sein.“

Funktionsüberblick PoSeidon (Grafik: Cisco)

Auch wenn Kassensysteme Kreditkartendaten für die Übertragung an einen Bezahldienst verschlüsseln, müssen diese irgendwann einmal als Klartext vorliegen – sicherheitshalber zwar nicht auf der Festplatte, aber doch im flüchtigen Speicher. Wenn Kriminelle zum richtigen Zeitpunkt diesen Speicher auslesen, haben sie die nötigen Daten unverschlüsselt abgefangen. Dieses Verfahren heißt „Memory Scraping“ oder „RAM Scraping“, also „am Speicher/RAM kratzen“. Es ist auch bei Webservern beobachtet worden. 2009 war vermutlich erstmals von Fällen die Rede gewesen, in denen Kriminelle auf diese Weise Handy-PINs abschöpften. Die Sicherheitsabteilung von Verizon nannte dies damals „eine vollkommen neue Art Angriff, die wir nur in der Theorie für möglich gehalten hätten.“

Im US-Weihnachtsgeschäft 2013 hatte die Elektrohandelskette Target zu den Opfern unbekannter PoS-Malware-Autoren gehört. Bis zu 110 Millionen ihrer Kunden waren betroffen. Das gleiche Schadprogramm soll beim Luxuskaufhaus Neiman Marcus monatelang Kundendaten gesammelt haben. Laut FBI gab es vier weitere Opfer, die nicht namentlich bekannt sind. Die Malware wurde auch schon in Kanada und Australien entdeckt.

Kurz nach den ersten Berichten über den Vorfall bei Target informierte ein Sicherheitsexperte, es würden derzeit zehn- bis zwanzigmal mehr Kreditkartendaten auf dem Schwarzmarkt angeboten als üblich. Zu kaufen seien Sammlungen von bis zu einer Million Kartennummern. Der Preis lag laut Brian Krebs bei 20 bis 100 Dollar je Kartennummer.

Einen ähnlichen Vorfall dieser Art musste diesen Monat schon die Luxushotel-Kette Mandarin Oriental melden. Sie entfernte eine Malware von ihren Systemen, die Kreditkartendaten von Hotelgästen stahl. Das Schadprogramm fand sich in Hotels in Europa und den USA. Die Kette wirbt mit prominenten Stammgästen wie den Schauspielern Sophie Marceau und Liam Neeson.

[mit Material von Michael Moore, TechWeekEurope.co.uk]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Malware, Russland, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Cisco warnt vor Malware PoSeidon für Kassensysteme

Kommentar hinzufügen
  • Am 25. März 2015 um 8:17 von Tja

    Sofern sich Transaktionsnummer-basierte Zahlsysteme wie Apple Pay durchsetzen, gehören diese kriminellen Methoden des abgreifens während des bezahlens bald der Geschichte an: da der Verkäufer (oder Zahlungsempfänger) weder Kreditkartennummer, noch darauf enthaltene andere Daten erhält, gibt es nichts ‚abzugreifen‘. Mit dem Transaktionscode können sie nichts anfangen.

    Nun muss nur noch das hinterlegen der Kreditkarte als Sicherheit (Autovermietung, Hotel) abgedichtet werden – dann sind solche kriminellen Taten Geschichte.

    • Am 25. März 2015 um 15:31 von Judas Ischias

      Ich würde mich wirklich freuen, wenn Du Recht behalten würdest.
      Muss jetzt nicht Apple Pay sein, wenn es eine andere Firma schafft, auch gut.
      Dann würde auch ich nicht mehr dieses unangenehme Gefühl haben, wenn ich im Ausland mit Kreditkarte bezahlt habe.
      Wobei ich außer im Hotel, die meisten Dinge sowieso bar bezahle.

      Aber wie steht auch im Artikel?
      „eine vollkommen neue Art Angriff, die wir nur in der Theorie für möglich gehalten hätten.“

      Wer kann denn heute mit Gewissheit sagen, dass der „Einbruch“ nicht bald stattfinden wird?
      Solche Sachen wecken nun mal Begehrlichkeiten und bringen, wenn geknackt, schnelles und leichtes Geld.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *