Abo
  • Services:
Anzeige
Der manipulierte Geldautomat spuckt Scheine aus.
Der manipulierte Geldautomat spuckt Scheine aus. (Bild: Facebook.com)

Geldautomaten: Forscher kopieren Chipkarten mit dünnen Lesegeräten

Der manipulierte Geldautomat spuckt Scheine aus.
Der manipulierte Geldautomat spuckt Scheine aus. (Bild: Facebook.com)

Sind Bankkarten mit Chip und Pin doch nicht so sicher, wie immer behauptet? Mit Hilfe sogenannter Shimmer soll es möglich sein, EMV-Bankkarten auszulesen und Geldautomaten zu plündern.

Mit der zunehmenden Verbreitung des EMV-Verfahrens zum Schutz vor manipulierten Bankkarten häufen sich die Angriffe auf das System. Wie Mitarbeiter des Sicherheitsunternehmens Rapid7 auf der Hackerkonferenz Black Hat demonstrierten, lässt sich mit Hilfe spezieller Geräte die Kommunikation zwischen Bankkarten-Chip und Geldautomat auslesen und für eine Plünderung von Geldautomaten verwenden. Dabei kommt offenbar ein sogenannter Shimmer zum Einsatz, wie er bereits vor einem Jahr in Mexiko entdeckt worden war.

Anzeige

Das sogenannte EMV-Verfahren soll das einfache Klonen von Bankkarten mit Magnetstreifen verhindern. In den USA, Lateinamerika und Asien beginnen Banken aber erst jetzt mit der Umstellung. Kriminelle, aber auch Sicherheitsforscher, suchen daher vermehrt nach Sicherheitslücken in dem System. So war Anfang des Jahres bekanntgeworden, dass auch Karten mit dem Chip-und-PIN-Verfahren kopiert werden können. Missbrauch ist dann möglich, wenn Banken beispielsweise auf eine aufwendige Kryptoprüfung verzichten.

Chipdaten werden mitgelesen

Die Rapid7-Forscher wollten aus Angst vor Nachahmern bei ihrer Präsentation nicht verraten, wie genau sie die Karten gehackt haben. Dem US-Sicherheitsexperten Brian Krebs zufolge werden die dünnen Shimmer in den Kartenschlitz geschoben, um die übertragenen Daten zwischen Chip und Geldautomaten mitzuschneiden.

Diese Daten können von Kriminellen offenbar gesammelt und über eine manipulierte Karte, die einen Chip simuliert, wieder in einen Geldautomaten übertragen werden. Es sei nicht nötig, den Geldautomaten dafür zu öffnen, sagte Tim Beardsley von Rapid7. Der Automat könne auf diese Weise angewiesen werden, permanent Geldscheine auszuspucken.

Daten nur kurze Zeit nutzbar

Im Vergleich zu manipulierten Magnetstreifenkarten gibt es aber eine Einschränkung: Der Kartenmissbrauch soll nur wenige Minuten möglich sein, bis die Karte gesperrt wird. Kriminelle müssten daher über ein Netzwerk manipulierter Kartenschlitze verfügen und die Daten kontinuierlich auslesen. Damit könnten dann wiederum andere Automaten geleert werden.

Die dafür erforderliche Hardware kostet der Vortragsankündigung zufolge rund 2.000 US-Dollar. Die Forscher bauten mit dem Geld eine Art automatischen Auszahlungsapparat, "La-Cara" genannt. Das Gerät verfüge über ein automatisches PIN-Eingabegerät und ein überschreibbares Chipkartensystem, das zwischen 20.000 und 50.000 Dollar innerhalb von 15 Minuten abheben könne.

Hinter dem Sicherheitsstandard EMV steht ein Konsortium, dem unter anderem Visa und Mastercard angehören. Nach Angaben von Rapid7 haben die Firmen noch keine Anstrengungen unternommen, die Sicherheitslücke zu beheben.


eye home zur Startseite
SchreibenderLeser 09. Aug 2016

Du ignorierst deinen eigenen Punkt. Welches System sicherer ist, spielt überhaupt keine...

M. 05. Aug 2016

Das wäre eigentlich auch ganz einfach realisierbar, der Geldautomat könnte einfach eine...



Anzeige

Stellenmarkt
  1. NÜRNBERGER Versicherungsgruppe, Nürnberg
  2. M&M Software GmbH, St. Georgen, Hannover
  3. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  4. Tokheim Service Verwaltung GmbH, Nentershausen


Anzeige
Top-Angebote
  1. 1133,00€ statt 1199,00€
  2. 199,99€ statt 479,99€ - Ersparnis rund 58%
  3. für 1,99€ bei Amazon Video in HD leihen (Blu-ray-Preis 14,99€)

Folgen Sie uns
       


  1. Eingabegerät

    Nums verwandelt Macbook-Trackpad in Ziffernblock

  2. MWC Shanghai

    LTE-Technologie erreicht Latenz von unter zwei Millisekunden

  3. Landkreis Plön

    Tele Columbus bringt Gigabit-Zugänge in 15.000 Haushalte

  4. Innovation Days

    Ericsson liefert Basisstation an 5G Lab Germany

  5. Für Lokalsender

    Kabelnetzbetreiber wollen 250 Millionen Euro Rundfunkgebühr

  6. Linux-Kernel-Security

    Torvalds bezeichnet Grsecurity als "Müll"

  7. Zolo Liberty Plus

    Drahtlose Ohrstöpsel auf Kickstarter für nur 100 US-Dollar

  8. Eckpunkte

    Bundesnetzagentur sieht 5G bei 2 GHz und 3.400 bis 3.700 MHz

  9. Internet sofort

    Das Warten auf den Festnetzanschluss kann teuer werden

  10. Ransomware

    Petya-Kampagne nutzt Lücke in Buchhaltungssoftware



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Dirt 4 im Test: Vom Fahrschüler zum Rallye-Weltmeister
Dirt 4 im Test
Vom Fahrschüler zum Rallye-Weltmeister

Mesh- und Bridge-Systeme in der Praxis: Mehr WLAN-Access-Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr WLAN-Access-Points, mehr Spaß
  1. Aruba HPE Indoor-Tracking leicht gemacht
  2. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  3. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN

Mobile-Games-Auslese: Ninjas, Pyramiden und epische kleine Kämpfe
Mobile-Games-Auslese
Ninjas, Pyramiden und epische kleine Kämpfe
  1. Ubisoft Chaoshasen, Weltraumaffen und die alten Ägypter
  2. Monument Valley 2 im Test Rätselspiel mit viel Atmosphäre und mehr Vielfalt
  3. Mobile-Games-Auslese Weltraumkartoffel und Bilderbuchwanderung für mobile Spieler

  1. Re: Leider nein

    ManuPhennic | 07:38

  2. Re: Ich dachte Facebook sei tot

    TrollNo1 | 07:35

  3. Wie zählen die?

    TrollNo1 | 07:32

  4. Wenn richtig ausgezählt werden würde, dann wäre...

    DY | 07:29

  5. Re: Wasserdicht? Und Infrarot Sensor oder Sender?

    TrollNo1 | 07:28


  1. 07:37

  2. 18:23

  3. 17:10

  4. 16:17

  5. 14:54

  6. 14:39

  7. 14:13

  8. 13:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel