Abo
  • Services:

Geldautomaten: Forscher kopieren Chipkarten mit dünnen Lesegeräten

Sind Bankkarten mit Chip und Pin doch nicht so sicher, wie immer behauptet? Mit Hilfe sogenannter Shimmer soll es möglich sein, EMV-Bankkarten auszulesen und Geldautomaten zu plündern.

Artikel veröffentlicht am ,
Der manipulierte Geldautomat spuckt Scheine aus.
Der manipulierte Geldautomat spuckt Scheine aus. (Bild: Facebook.com)

Mit der zunehmenden Verbreitung des EMV-Verfahrens zum Schutz vor manipulierten Bankkarten häufen sich die Angriffe auf das System. Wie Mitarbeiter des Sicherheitsunternehmens Rapid7 auf der Hackerkonferenz Black Hat demonstrierten, lässt sich mit Hilfe spezieller Geräte die Kommunikation zwischen Bankkarten-Chip und Geldautomat auslesen und für eine Plünderung von Geldautomaten verwenden. Dabei kommt offenbar ein sogenannter Shimmer zum Einsatz, wie er bereits vor einem Jahr in Mexiko entdeckt worden war.

Stellenmarkt
  1. ABB AG, Ladenburg
  2. dmTECH, Karlsruhe

Das sogenannte EMV-Verfahren soll das einfache Klonen von Bankkarten mit Magnetstreifen verhindern. In den USA, Lateinamerika und Asien beginnen Banken aber erst jetzt mit der Umstellung. Kriminelle, aber auch Sicherheitsforscher, suchen daher vermehrt nach Sicherheitslücken in dem System. So war Anfang des Jahres bekanntgeworden, dass auch Karten mit dem Chip-und-PIN-Verfahren kopiert werden können. Missbrauch ist dann möglich, wenn Banken beispielsweise auf eine aufwendige Kryptoprüfung verzichten.

Chipdaten werden mitgelesen

Die Rapid7-Forscher wollten aus Angst vor Nachahmern bei ihrer Präsentation nicht verraten, wie genau sie die Karten gehackt haben. Dem US-Sicherheitsexperten Brian Krebs zufolge werden die dünnen Shimmer in den Kartenschlitz geschoben, um die übertragenen Daten zwischen Chip und Geldautomaten mitzuschneiden.

Diese Daten können von Kriminellen offenbar gesammelt und über eine manipulierte Karte, die einen Chip simuliert, wieder in einen Geldautomaten übertragen werden. Es sei nicht nötig, den Geldautomaten dafür zu öffnen, sagte Tim Beardsley von Rapid7. Der Automat könne auf diese Weise angewiesen werden, permanent Geldscheine auszuspucken.

Daten nur kurze Zeit nutzbar

Im Vergleich zu manipulierten Magnetstreifenkarten gibt es aber eine Einschränkung: Der Kartenmissbrauch soll nur wenige Minuten möglich sein, bis die Karte gesperrt wird. Kriminelle müssten daher über ein Netzwerk manipulierter Kartenschlitze verfügen und die Daten kontinuierlich auslesen. Damit könnten dann wiederum andere Automaten geleert werden.

Die dafür erforderliche Hardware kostet der Vortragsankündigung zufolge rund 2.000 US-Dollar. Die Forscher bauten mit dem Geld eine Art automatischen Auszahlungsapparat, "La-Cara" genannt. Das Gerät verfüge über ein automatisches PIN-Eingabegerät und ein überschreibbares Chipkartensystem, das zwischen 20.000 und 50.000 Dollar innerhalb von 15 Minuten abheben könne.

Hinter dem Sicherheitsstandard EMV steht ein Konsortium, dem unter anderem Visa und Mastercard angehören. Nach Angaben von Rapid7 haben die Firmen noch keine Anstrengungen unternommen, die Sicherheitslücke zu beheben.



Anzeige
Top-Angebote
  1. 99,99€
  2. 599,90€ - 10% mit Gutscheincode PAKET10 = 539,91€
  3. (Tagesdeals und Blitzangebote)
  4. 119,99€

SchreibenderLeser 09. Aug 2016

Du ignorierst deinen eigenen Punkt. Welches System sicherer ist, spielt überhaupt keine...

M. 05. Aug 2016

Das wäre eigentlich auch ganz einfach realisierbar, der Geldautomat könnte einfach eine...


Folgen Sie uns
       


Amazons Echo Show (2018) - Test

Wir haben den neuen Echo Show getestet. Der smarte Lautsprecher mit Display profitiert enorm von dem größeren Touchscreen - im Vergleich zum Vorgängermodell. Die Bereitstellung von Browsern erweitert den Funktionsumfang des smarten Displays.

Amazons Echo Show (2018) - Test Video aufrufen
Coachingbuch: Metapher mit Mängeln
Coachingbuch
Metapher mit Mängeln

Der Persönlichkeitscoach Thomas Hohensee plädiert in seinem neuen Buch dafür, problematische Kindheitsmuster zu behandeln wie schadhafte Programme auf einem Rechner: mit Reset, Updates und Neustart. Ein origineller Ansatz - aber hält er dem Thema stand?
Von Cornelia Birr

  1. Relayr Rückstandsglaube als Startup-Vorteil
  2. Liberty Global Ericsson übernimmt Netzwerkbetrieb bei Unitymedia
  3. Bundeskartellamt Probleme bei Übernahme von Unitymedia durch Vodafone

Dark Rock Pro TR4 im Test: Be Quiet macht den Threadripper still
Dark Rock Pro TR4 im Test
Be Quiet macht den Threadripper still

Mit dem Dark Rock Pro TR4 hat Be Quiet einen tiefschwarzen CPU-Kühler für AMDs Threadripper im Angebot. Er überzeugt durch Leistung und den leisen Betrieb, bei Montage und Speicherkompatiblität liegt die Konkurrenz vorne. Die ist aber optisch teils deutlich weniger zurückhaltend.
Ein Test von Marc Sauter

  1. Dark Rock Pro TR4 Be Quiets schwarzer Doppelturm kühlt 32 Threadripper-Kerne

Mobile-Games-Auslese: Tinder auf dem Eisernen Thron - für unterwegs
Mobile-Games-Auslese
Tinder auf dem Eisernen Thron - für unterwegs

Fantasy-Fanservice mit dem gelungenen Reigns - Game of Thrones, Musikpuzzles in Eloh und Gehirnjogging in Euclidean Skies: Die neuen Mobile Games für iOS und Android bieten Spaß für jeden Geschmack.
Von Rainer Sigl

  1. Mobile Gaming Microsoft Research stellt Gamepads für das Smartphone vor
  2. Mobile-Games-Auslese Bezahlbare Drachen und dicke Bären
  3. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs

    •  /