Abo
  • Services:
Anzeige
Der manipulierte Geldautomat spuckt Scheine aus.
Der manipulierte Geldautomat spuckt Scheine aus. (Bild: Facebook.com)

Geldautomaten: Forscher kopieren Chipkarten mit dünnen Lesegeräten

Sind Bankkarten mit Chip und Pin doch nicht so sicher, wie immer behauptet? Mit Hilfe sogenannter Shimmer soll es möglich sein, EMV-Bankkarten auszulesen und Geldautomaten zu plündern.

Mit der zunehmenden Verbreitung des EMV-Verfahrens zum Schutz vor manipulierten Bankkarten häufen sich die Angriffe auf das System. Wie Mitarbeiter des Sicherheitsunternehmens Rapid7 auf der Hackerkonferenz Black Hat demonstrierten, lässt sich mit Hilfe spezieller Geräte die Kommunikation zwischen Bankkarten-Chip und Geldautomat auslesen und für eine Plünderung von Geldautomaten verwenden. Dabei kommt offenbar ein sogenannter Shimmer zum Einsatz, wie er bereits vor einem Jahr in Mexiko entdeckt worden war.

Anzeige

Das sogenannte EMV-Verfahren soll das einfache Klonen von Bankkarten mit Magnetstreifen verhindern. In den USA, Lateinamerika und Asien beginnen Banken aber erst jetzt mit der Umstellung. Kriminelle, aber auch Sicherheitsforscher, suchen daher vermehrt nach Sicherheitslücken in dem System. So war Anfang des Jahres bekanntgeworden, dass auch Karten mit dem Chip-und-PIN-Verfahren kopiert werden können. Missbrauch ist dann möglich, wenn Banken beispielsweise auf eine aufwendige Kryptoprüfung verzichten.

Chipdaten werden mitgelesen

Die Rapid7-Forscher wollten aus Angst vor Nachahmern bei ihrer Präsentation nicht verraten, wie genau sie die Karten gehackt haben. Dem US-Sicherheitsexperten Brian Krebs zufolge werden die dünnen Shimmer in den Kartenschlitz geschoben, um die übertragenen Daten zwischen Chip und Geldautomaten mitzuschneiden.

Diese Daten können von Kriminellen offenbar gesammelt und über eine manipulierte Karte, die einen Chip simuliert, wieder in einen Geldautomaten übertragen werden. Es sei nicht nötig, den Geldautomaten dafür zu öffnen, sagte Tim Beardsley von Rapid7. Der Automat könne auf diese Weise angewiesen werden, permanent Geldscheine auszuspucken.

Daten nur kurze Zeit nutzbar

Im Vergleich zu manipulierten Magnetstreifenkarten gibt es aber eine Einschränkung: Der Kartenmissbrauch soll nur wenige Minuten möglich sein, bis die Karte gesperrt wird. Kriminelle müssten daher über ein Netzwerk manipulierter Kartenschlitze verfügen und die Daten kontinuierlich auslesen. Damit könnten dann wiederum andere Automaten geleert werden.

Die dafür erforderliche Hardware kostet der Vortragsankündigung zufolge rund 2.000 US-Dollar. Die Forscher bauten mit dem Geld eine Art automatischen Auszahlungsapparat, "La-Cara" genannt. Das Gerät verfüge über ein automatisches PIN-Eingabegerät und ein überschreibbares Chipkartensystem, das zwischen 20.000 und 50.000 Dollar innerhalb von 15 Minuten abheben könne.

Hinter dem Sicherheitsstandard EMV steht ein Konsortium, dem unter anderem Visa und Mastercard angehören. Nach Angaben von Rapid7 haben die Firmen noch keine Anstrengungen unternommen, die Sicherheitslücke zu beheben.


eye home zur Startseite
SchreibenderLeser 09. Aug 2016

Du ignorierst deinen eigenen Punkt. Welches System sicherer ist, spielt überhaupt keine...

M. 05. Aug 2016

Das wäre eigentlich auch ganz einfach realisierbar, der Geldautomat könnte einfach eine...



Anzeige

Stellenmarkt
  1. AOK Rheinland/Hamburg - Die Gesundheitskasse, Köln
  2. Daimler AG, Stuttgart
  3. über Ratbacher GmbH, Raum Heidelberg
  4. Robert Bosch GmbH über access KellyOCG GmbH, Leonberg


Anzeige
Hardware-Angebote
  1. (nur in den Bereichen "Mainboards", "Smartphones" und "TV-Geräte")

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Brandgefahr

    Akku mit eingebautem Feuerlöscher

  2. Javascript und Node.js

    NPM ist weltweit größtes Paketarchiv

  3. Verdacht der Bestechung

    Staatsanwalt beantragt Haftbefehl gegen Samsung-Chef

  4. Nintendo Switch im Hands on

    Die Rückkehr der Fuchtel-Ritter

  5. Raspberry Pi

    Compute Module 3 ist verfügbar

  6. Microsoft

    Hyper-V bekommt Schnellassistenten und Speicherfragmente

  7. Airbus-Chef

    Fliegen ohne Piloten rückt näher

  8. Cartapping

    Autos werden seit 15 Jahren digital verwanzt

  9. Auto

    Die Kopfstütze des Fahrersitzes erkennt Sekundenschlaf

  10. World of Warcraft

    Fans der Classic-Version bereuen "Piraten-Server"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

Tado im Test: Heizkörperthermostate mit effizientem Stalker-Modus
Tado im Test
Heizkörperthermostate mit effizientem Stalker-Modus
  1. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden
  2. Airbot LG stellt Roboter für Flughäfen vor
  3. Smarte Lautsprecher Die Stimme ist das Interface der Zukunft

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

  1. Re: Selbst Landungen

    Rulf | 16:05

  2. Re: Zweifel an der Objektivität

    Nikolai | 16:05

  3. Was der Beitrag nicht erklärt...

    junichs | 16:05

  4. Re: Nach dem Ablauf des Monats verfällt der...

    cry88 | 16:04

  5. Re: Gute Nachricht für AMD.

    ichbinsmalwieder | 16:04


  1. 14:17

  2. 13:21

  3. 12:30

  4. 12:08

  5. 12:01

  6. 11:58

  7. 11:48

  8. 11:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel