Abo
  • Services:
Anzeige
MagSpoof täuscht Kreditkarten vor.
MagSpoof täuscht Kreditkarten vor. (Bild: Samy Kamker)

MagSpoof: Hacker kopiert eigene Kreditkarte mit Hardware-Hack

MagSpoof täuscht Kreditkarten vor.
MagSpoof täuscht Kreditkarten vor. (Bild: Samy Kamker)

Wer schon immer mal seine eigene Kreditkarte kopieren wollte, kann jetzt aktiv werden. Das Tool MagSpoof ermöglicht es, Lesegeräten eine Kreditkarte vorzutäuschen.

Anzeige

Der Hacker Samy Kamkar hat mit Hilfe eines Arduinos nach eigenen Angaben ein Gerät gebaut, mit dem er die Daten seiner eigenen Kreditkarte gegenüber einem Lesegerät emulieren kann. Mit dem Tool MagSpoof sei es ihm gelungen, herkömmliche Lesegeräte zu überlisten und mit der kopierten Kreditkarte zu bezahlen.

MagSpoof besteht aus einem Atmel-Attiny85-Microcontroller, einer L293D-H-Bridge mit Kupferlackdraht als Elektromagnet sowie einigen weiteren Komponenten. Das Gerät simuliert das Magnetfeld der Kredit- oder EC-Karte. Ein Magnetstreifen unterstützt die Kodierung von Daten auf drei Ebenen (Tracks). EC- und Kreditkarten nutzen nur zwei dieser Ebenen. Kamkar simulierte mit dem Elektromagneten zunächst die Daten der ersten und dann die der zweiten Ebene. Die Daten der zweiten Ebene werden rückwärts abgespielt, um das Zurückziehen der Karte im Lesegerät zu simulieren. Ist der verwendete Elektromagnet stark genug, kann MagSpoof auch aus kurzer Distanz eingesetzt werden - es sei nicht erforderlich, das Gerät so dünn zu bauen, dass es in das Lesegerät eingeführt werden könne, schreibt Kamkar.

Es gibt bereits kommerzielle Angebote, die es ermöglichen, verschiedene Karten mit Magnetstreifen in nur einer Karte zusammenzufassen - etwa die des Anbieters Coin. Kamkar ist nach eigenen Angaben selbst Kunde dieses Unternehmens. Allerdings funktioniere seine Coin-Karte nur in rund 50 Prozent der Fälle schreibt Kamkar - vermutlich, weil das erzeugte Magnetfeld nicht stark genug ist.

Den Magnetstreifen sichtbar machen

Kamkar beschreibt in dem Blogpost auch, wie es ihm gelang, die Daten von dem Magnetstreifen seiner Karte auszulesen. Dazu tauchte er die Karte in einen Beutel Eisenoxid. Die Eisenpartikel ordneten sich dann auf dem Magnetstreifen an - und ermöglichten eine Aufschlüsselung der gespeicherten Informationen im Binärcode. Dazu zählen neben der Nummer der Karte das Ablaufdatum, der Sicherheitscode (CVV, CVC, CSC, CAC, je nach Land und Kartentyp), der Name, ein Servicecode sowie verschiedene weitere Informationen wie der Pin-Verification-Key-Indicator.

Der Servicecode enthält verschiedene Angaben, die Rahmenbedingungen für den Einsatz der Karte setzen. Mit Hilfe des Codes kann festgelegt werden, ob die Karte im Ausland benutzt werden darf, ob eine Pin zwingend vorgeschrieben ist, ob die Karte nur am Geldautomaten oder aber nur für den Erwerb von Waren eingesetzt werden kann. Nach Angaben von Kamkar ist es jedoch möglich, die Vorschrift für das Chip-Pin-Verfahren auf dem Magnetstreifen zu deaktivieren und diese Sicherheitsmaßnahme so zu umgehen. Das dürfte in Deutschland und anderen europäischen Ländern jedoch nicht funktionieren - weil das Chip-Pin-Verfahren hier nicht optional, sondern verpflichtend vorgeschrieben ist.

Kamkar betont, dass das Gerät nicht geeignet sei, um Kreditkarten nur anhand der Nummer, des Sicherheitscodes und des Ablaufdatums "nachzubauen". Selbstverständlich dürften auch nur Karten emuliert werden, die der Nutzer rechtmäßig im Besitz hat. Außerdem sei es ihm gelungen, mit einem Algorithmus die neue Kreditkartennummer von Amex-Karten zu berechnen, wenn diese von der Bank ausgetauscht werden. Das Gerät kann laut Kamkar mit Arduino-kompatibler Hardware nachgebaut werden.


eye home zur Startseite
Emulex 27. Nov 2015

Je unsicherer die Technik, desto feiner ist man als Kunde ausm Schneider wenn irgendwas...



Anzeige

Stellenmarkt
  1. ROHDE & SCHWARZ SIT GmbH, Stuttgart
  2. operational services GmbH & Co. KG, Braunschweig, Berlin
  3. operational services GmbH & Co. KG, Nürnberg
  4. MedAdvisors GmbH über Academic Work Germany GmbH, Hamburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Fast & Furious 1-7 Blu-ray 26,49€, Indiana Jones Complete Blu-ray 14,76€, The Complete...
  2. (u. a. The Big Bang Theory, The Vampire Diaries, True Detective)
  3. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)

Folgen Sie uns
       


  1. Virb 360

    Garmins erste 360-Grad-Kamera nimmt 5,7K-Videos auf

  2. Digitalkamera

    Ricoh WG-50 soll Fotos bei extremen Bedingungen ermöglichen

  3. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  4. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  5. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  6. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  7. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  8. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  9. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  10. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Yodobashi und Bic Camera: Im Rausch der Netzwerkkabel
Yodobashi und Bic Camera
Im Rausch der Netzwerkkabel
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Preisschild Media Markt nennt 7.998-Euro-Literpreis für Druckertinte

Vernetzte Hörgeräte und Hearables: Ich filter mir die Welt widdewiddewie sie mir gefällt
Vernetzte Hörgeräte und Hearables
Ich filter mir die Welt widdewiddewie sie mir gefällt
  1. The Dash Pro Bragis Drahtlos-Ohrstöpsel können jetzt auch übersetzen
  2. Beddit Apple kauft Schlaf-Tracker-Hersteller
  3. Smartwatch Huawei Watch bekommt Android Wear 2.0

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. id Software "Global Illumination ist derzeit die größte Herausforderung"
  2. In eigener Sache Golem.de führt kostenpflichtige Links ein
  3. In eigener Sache Golem.de sucht Marketing Manager (w/m)

  1. Re: Was mich grundsätzlich bei WaKü stört...

    ChoMar | 07:22

  2. Re: 700$ - Ich hätte da eine bessere Lösung...

    forenuser | 07:11

  3. Re: Alternativen?

    herrwusel | 07:10

  4. Re: Bessere Variante, da mit Android: Onyx Boox...

    forenuser | 07:05

  5. Re: 1400W... für welche Hardware?

    ArcherV | 06:51


  1. 07:16

  2. 07:08

  3. 18:10

  4. 10:10

  5. 09:59

  6. 09:00

  7. 18:58

  8. 18:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel