Anzeige

Hackergruppe Fin8

Das Bezahlen mit Kreditkarte an Tankautomaten kann gefährlich sein. Das Zahlkartenunternehmen Visa warnte kürzlich vor Bedrohung durch eine Hackergruppe namens „Fin8“: „Die Hacker nutzen dafür eine Schwachstelle im Verkaufsnetzwerk von Tankstellen aus, mit der sie über die Tankautomaten an wichtige Kreditkarteninformationen gelangen.“

Mit einer Scraping-Software stehlen sie unverschlüsselte Kreditkarteninformationen. Diese werden die übertragen, wenn der Automat nur den Magnetstreifen der Karte ausliest und für die Bezahlung kein Chip oder PIN notwendig ist.

Die Visa-Sicherheitswarnung macht deutlich: „Dieser Angriffsvektor unterscheidet sich erheblich vom „Skimming“ an Zapfsäule. Beim Skimming manipulieren Betrüger Bank- oder Kassenautomaten und greifen die Magnetstreifeninformationen durch ein verstecktes Lesegerät ab. Bei „Scraping“-Attacken greifen die Betrüger hingegen auf das interne Netzwerk des Händlers zu, was größere technische Fähigkeiten erfordert als Skimming-Angriffe. Tankstellenbetreiber sollten deshalb Tankautomaten nutzen, die Bezahlungen über den Kartenchip abwickeln. Dies verringert die Wahrscheinlichkeit eines erfolgreichen Scraping-Angriffs enorm.“

Die Kosten für die Umstellung stellt für viele Tankstellenbetreiber eine große Herausforderung dar: bis zu 230.000 Euro müssen sie in das Umrüsten der Automaten auf Chip-Technologie investieren.

Visa hat noch weitere Empfehlungen, wie Händler die Bedrohung durch Scraping-Angriffe verringern können:

  • Berücksichtigen Sie die in der Warnung genannten Hinweise auf Sicherheitsverletzungen (Indicators of Compromise), um Angriffe mit Point of Sale-Malware zu erkennen, abzuwehren und zu verhindern.
  • Schützen Sie den Fernzugriff mit starken Passwörtern und stellen Sie sicher, dass nur befugte Personen Zugriff erhalten. Deaktivieren Sie den Fernzugriff, wenn er nicht gebraucht wird, und verwenden Sie Zwei-Faktor-Authentifizierung.
  • Kontrollieren Sie den Zugriff je nach Benutzerrolle und Berechtigungsumfang.
  • Bieten Sie EMV-Technologien für sichere persönliche Zahlungen (Chip, kontaktlos, mobil und QR-Code).
  • Geben Sie jedem Admin eigene Benutzerdaten. Benutzerkonten sollten nur die für den individuellen Arbeitsbereich nötigen Berechtigungen erhalten.
  • Mit Verhaltensanalysen für Antimalware können Sie verdächtige Vorgänge aufspüren und halten Ihre Antimalware-Anwendungen auf dem aktuellsten Stand.
  • Überwachen Sie den Netzwerkverkehr auf verdächtige Verbindungen und protokollieren Sie alle System- und Netzwerkereignisse.
  • Segmentieren Sie nach Möglichkeit das Netzwerk, um die Ausbreitung von Schadsoftware zu verhindern und die Möglichkeiten eines Angreifers einzuschränken.
  • Nutzen Sie eine Patch-Management-Lösung und aktualisieren Sie die gesamte Software- und Hardware-Firmware auf die neueste Version, um die Angriffsfläche für Zero-Day-Schwachstellen zu begrenzen.

www.kaseya.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Handschlag

Veronym und CyberDirekt vereinbaren Partnerschaft

Veronym, ein Cloud Security Service Provider, und CyberDirekt, eine digitale Plattform für die Absicherung gewerblicher Cyber-Risiken, werden zukünftig gezielt kleinere und mittelständische Unternehmen mit einem Servicepaket für IT-Sicherheit unterstützen.
Europa-Flagge

Europa braucht eigene Digital-Infrastruktur

Eine breite Allianz aus Wissenschaftlern, IT-Experten und Medienmanagern hat die EU zum Bau einer eigenständigen Digital-Infrastruktur für Europa aufgerufen. Es ist nach Ansicht des Bündnisses «höchste Zeit» für eine Alternative zu den Internetriesen aus den…
Idee Innovation

Deutsche glauben an Erfolg durch neue Technologien

Das Markt- und Meinungsforschungsinstitut YouGov hat im Auftrag der Alibaba Group die Frage untersucht, wie bereit Unternehmensentscheider und Angestellte in Deutschland für neue digitale Technologien im Arbeitsumfeld sind – zum Beispiel Livestreaming, mobile…
Pinterest

Flut an schädlichen Inhalten auf Pinterest versteckt

Die US-Fotocommunity Pinterest verbirgt viele schädliche Inhalte wie Verschwörungstheorien oder sexualisierte Bilder von jungen Mädchen. Die Plattform löscht solchen Content nicht, sondern richtet ihre Suchergebnisse so aus, dass solcher Content im Prinzip…
Produktive Frau am Strand

Berufstätige sind im Sommerurlaub dienstlich erreichbar

Ob Mallorca, Ostseestrand oder Balkonien: 70 Prozent der Berufstätigen, die in diesem Sommer Urlaub machen, sind währenddessen für dienstliche Belange erreichbar.
Start-Up

Weniger Geld für deutsche Start-ups

Die Zahl der Finanzspritzen für Start-ups in Deutschland ist gestiegen, die investierte Summe jedoch gesunken. Zu diesen Ergebnissen kommt eine am Montag veröffentlichte Studie der Prüfungs- und Beratungsgesellschaft Ernst & Young (EY).

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!