Security-Forscher: Bezahlen mit Kreditkarte und PIN unsicher

Britische Forscher finden angeblichen Fehler im EMV-Protokoll

Das Protokoll EMV, das in Europa von Millionen EC- und Kreditkarten verwendet wird, soll einen schwerwiegenden Fehler aufweisen. Britische Forscher wollen nachgewiesen haben, dass sich mit einer fremden Karte bezahlen lässt, auch wenn die PIN unbekannt ist.

Artikel veröffentlicht am ,

Das von Europay, Mastercard und Visa entwickelte EMV ist heute in Europa das dominierende Verfahren für Chipkarten im Zahlungsverkehr. Auch die im Januar 2010 millionenfach in Deutschland ausgefallenen EC-Karten setzten auf EMV. Das Protokoll soll jedoch laut einem Bericht von ZDnet UK eine Schwachstelle haben.

Stellenmarkt
  1. IT-Administrator/IT-Systemen- gineer (m/w/d)
    Step Computer- und Datentechnik GmbH, Lörrach
  2. Expertinnen bzw. Experten Qualitätssicherung Softwareentwicklung (w/m/d)
    Statistisches Bundesamt, Wiesbaden
Detailsuche

Mittels einer Man-in-the-middle-Attacke soll ein Terminal, wie es beispielsweise in Geschäften für Zahlungen verwendet wird, ausgetrickst werden können. Selbst wenn eine falsche PIN eingegeben wird, soll das Terminal durch eine Lücke in EMV die Eingabe als korrekt akzeptieren. Nötig ist dafür etwas Hardware, die jedoch handelsüblich sein soll. Laut Darstellung der Forscher von der Universität Cambridge, welche diese auch in einem PDF veröffentlicht haben, sollen sich die Geräte - dazu zählen ein Notebook und ein FPGA-Board - aber auch leicht in einem Rucksack unterbringen lassen.

Ob sich so auch mit gestohlenen Karten unauffällig bezahlen lässt, scheint damit noch nicht bewiesen. Das wäre fatal, da eine Zahlung mittels PIN meist zulasten des Kunden geht. Kreditunternehmen gehen dann häufig davon aus, dass etwa die PIN zusammen mit der Karte aufbewahrt wurde. Ein Sprecher der "UK Payments Administration" sagte gegenüber ZDnet UK auch, ein Einsatz des Verfahrens in der kriminellen Praxis sei noch nicht beobachtet worden.

Wie sich jüngst beim Ausfall von EC-Karten in Deutschland gezeigt hat, akzeptieren viele Terminals auch noch den Magnetstreifen der Karten, der sich jedoch schon seit Jahren sehr einfach nachbilden lässt. Schnell verbreitete sich der "Geheimtipp", den Chip mittels eines Klebestreifen für das Lesegerät unzugänglich zu machen. Der Umstieg auf Chipkarten und das EMV-Verfahren sollte die bargeldlose Zahlung dabei sicherer machen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Die britischen Wissenschaftler wollen ihre Ergebnisse im Mai 2010 auf dem IEEE Symposium on Security & Privacy im kalifornischen Oakland näher erläutern und zur Diskussion stellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Indiegames-Entwicklung
Was dieser Saftladen besser macht als andere

Der Saftladen in Berlin ist als Gemeinschaftsbüro für Spieleentwickler erfolgreich, während vergleichbare Angebote scheitern.
Ein Bericht von Daniel Ziegener

Indiegames-Entwicklung: Was dieser Saftladen besser macht als andere
Artikel
  1. KenFM: Ken Jebsen von Anonymous gehackt
    KenFM
    Ken Jebsen von Anonymous gehackt

    Die Aktivisten von Anonymous haben die Website des Verschwörungstheoretikers Ken Jebsen gehackt und offenbar Infos zu Spendern erbeutet.

  2. Apotheken: Anlaufschwierigkeiten beim digitalen Impfnachweis
    Apotheken
    Anlaufschwierigkeiten beim digitalen Impfnachweis

    Nach mehreren Versuchen sind wir in Berlin an einen digitalen Impfnachweis gekommen. Doch die Apotheken berichten von Serverproblemen.

  3. Geforce RTX 3000: Nvidia baut mehr Ampere-Grafikkarten auf Kosten der RTX 2060
    Geforce RTX 3000
    Nvidia baut mehr Ampere-Grafikkarten auf Kosten der RTX 2060

    Nvidia will Kapazitäten freimachen und statt Turing-Grafikkarten Geforce-RTX-3000-Varianten bauen. Das könnte zu mehr Verfügbarkeit führen.

Kommentarübersicht
Re: Die Karte samt PIN ist sicher!
Eule 16. Feb 2010

"Bankenverband: Deutsche EC-Karten nicht für Manipulationsversuche anfällig" Warum wußte...

Falsch.
kirsche40 15. Feb 2010

Nur von Dir. :) Falsch. Bankautomaten gehen in D grundsätzlich online. Bleiben nur noch...

Re: Eher gefährlich für Geschäfte als für Kunden?
peonxeon 14. Feb 2010

Naja - aber es geht ja nicht um 'noch einmal verifizieren'... die Bank hat den PIN ja gar...

Re: Kriminelle bezahlen mit PIN?
peonxeon 14. Feb 2010

Ich denke was du übersiehst, ist, dass dieses Problem auch EC-Karten betrifft. Im...

Re: Bargeld-Zahler: Bezahlen mit Scheinen und...
0xDEADC0DE 14. Feb 2010

Keine Ahnung was Du Dir da zusammenreimst. Meine Aussage war einfach nur dass ich nicht...

Folgen Sie uns
       
Verwandte Artikel
artikel-bild
Magento
Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert
Bankenverband räumt Unsicherheit bei EC-Karten-PIN ein
Nahfeldscanner gegen Störungen auf Platinen
artikel-bild
IT-Sicherheit
Nur acht Prozent der Chrome-Nutzer aktivieren noch Flash
Meistgelesen
artikel-bild
KenFM
Ken Jebsen von Anonymous gehackt
artikel-bild
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr
artikel-bild
Telefon- und Internetanbieter
Was tun bei falschen Auftragsbestätigungen?
artikel-bild
Trådfri
Doom läuft auf einer Ikea-Lampe
Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /