Gefällt dir dieser Artikel?

Zahlen mit EC Karte: Manipulierte Kartenterminals

erschienen in der Kategorie Technik, am 19.12.2012
Schnatterente
Das Kredit- und EC-Karten keine sicheren Zahlungsmittel sind, ist hinlänglich bekannt. An Meldungen über Skimming-Attacken haben sich viele Leute schon gewöhnt und zerren jetzt jedes Mal beim Geldabheben am PIN-Pad des Automaten und an dessen Kartenleseschacht herum, bevor sie dann mit einer Hand ihren Code eintippen und die Eingabe mit der anderen verdecken. Wenn es ums Geld geht, ist der Verbraucher doch in gewisser Weise lernfähig. Für Kriminelle ist das ärgerlich, also müssen neue Wege beschritten werden: Die Kartenlesegeräte werden manipuliert oder ausgetauscht..

Diese Form des Angriffs gibt es schon seit einiger Zeit, aber offenbar ist sie in verbrecherischen Kreisen inzwischen sogar beliebter als das klassische Skimming. Man kann sich das Vorgehen ungefähr so vorstellen:

Ein Krimineller geht in ein Geschäft (Tankstellen sind sehr beliebt, weil da sehr viele Leute mit ihrer EC-Karte bezahlen) und schaut sich das dort vorhandene Kartenlesegerät an. Ist der Verkäufer gerade abgelenkt oder gar in die Betrügerei verwickelt, kann der Bösewicht es sogar fotografieren oder die Seriennummer von der Unterseite des Gerätes abschreiben. Wenn die Betrüger dann wissen, um was für ein Gerät es sich handelt, besorgen sie sich das gleiche Modell und manipulieren es so, dass zukünftig alle Karten, inklusive der eingegebenen PIN, in einen internen Speicher kopiert werden. Äußerlich wird das Gerät so bearbeitet, dass kein Unterschied zum Original festzustellen ist. Bei der nächstbesten Gelegenheit tauschen die Verbrecher dann die Kartenterminals aus. Der manipulierte Kartenleser arbeitet genauso zuverlässig wie sein Vorgänger, und er kopiert nebenbei alle benötigten Informationen, um später Geld abheben zu können.

Nach einigen Tagen, Wochen oder Monaten erfolgt der Rücktausch der Geräte. Die Betrüger können dann anhand der gesammelten Daten Kopien der eingelesenen Karten erstellen. Die meisten deutschen Geldautomaten sind in der Lage eine kopierte Karte von einer echten zu unterscheiden. Im Ausland sieht das aber oft anders aus. Folglich wird das Geld dann meist an ausländischen Automaten abgehoben. Die Betrüger heben meist kleinere Summen (einige Hundert Euro) ab, anstatt richtig zuzuschlagen und die Konten samt Dispot leer zu räumen. Der Grund dafür ist einfach: Wenn es zur Anzeige kommt und der Schaden nur exemplarische 100 Euro beträgt, werden die deutschen Behörden in der Regel nicht anfangen im Ausland zu ermitteln, denn dies wäre vergleichsweise teuer, mal ganz davon abgesehen, dass es juristisch im Ausland immer sehr schwierig wird, weil die deutsche Rechtsprechung eben nur in Deutschland gilt.

Aus Sicht von Datenschützern und Kryptografen sind Bankkarten und das ganze Bezahlsystem an sich ein einziges Grauen. Zurzeit warnt das LKA in Hamburg davor, dass in der Hansestadt viele Bezahlterminals manipuliert wurden, speziell geht es wohl um das Modell 3390 der Firma "ingenico".

In der Vergangenheit standen aber auch schon des Öfteren Geräte der Firma Hypercom am Pranger, weil sich schwere Sicherheitslücken zeigten, die das Abgreifen von PIN-Codes möglich machen. Hypercom Kartenterminals sind die in Deutschland am meist Genutzten überhaupt. Erwähnenswert erscheint mir vor allem eine Sicherheitslücke, die es möglich macht die Kartendaten auch ohne eine Hardwaremanipulation des Gerätes abzugreifen. Dazu erfolgt ein Netzwerkangriff über die TCP/IP-Schnittstelle des Kartenlesegerätes. Es wird ein Pufferüberlauf erzeugt, der es dem Angreifer erlaubt die Kontrolle über das Gerät zu übernehmen. So können Zahlungsvorgänge auf dem Display simuliert werden, auch ohne die Kontrolle über das kryptografisch gesicherte Hardware Security Modul (HSM) des Gerätes zu übernehmen. Mit dieser Methode können alle benötigten Informationen herangeholt werden, um im Ausland Geld abheben zu können. So wie man es in derartigen Sicherheitsfragen schon von Banken gewohnt ist, spielt auch der Hersteller des Gerätes die Gefahr herunter und sieht keinen Handlungsbedarf, da Kartenfälschungen ja von deutschen Geldautomaten erkannt würden. Auf die Argumentation, das Geld an ausländischen Geldautomaten abgehoben werden könnte, geht man nicht ein.

In der Problematik um elektronische Zahlsysteme wird vieles schlimmer und nur weniges sicherer. Im Moment sind funkfähige Kreditkarten auf dem Vormarsch, die es möglich machen sollen, Zahlungen durchzuführen, auch ohne dass man sie in ein Lesegerät steckt. Bei dem Gedanken an die neue Technologie schwant mir nix Gutes.

Nur Bares ist Wahres.

Geschnatter

0 Kommentare, selbst mitschnattern
Diesen Beitrag hat noch niemand kommentiert. Möchtest du den Anfang machen ?