MagSpoof: Hacker kopiert eigene Kreditkarte mit Hardware-Hack

Wer schon immer mal seine eigene Kreditkarte kopieren wollte, kann jetzt aktiv werden. Das Tool MagSpoof ermöglicht es, Lesegeräten eine Kreditkarte vorzutäuschen.

Artikel veröffentlicht am ,
MagSpoof täuscht Kreditkarten vor.
MagSpoof täuscht Kreditkarten vor. (Bild: Samy Kamker)

Der Hacker Samy Kamkar hat mit Hilfe eines Arduinos nach eigenen Angaben ein Gerät gebaut, mit dem er die Daten seiner eigenen Kreditkarte gegenüber einem Lesegerät emulieren kann. Mit dem Tool MagSpoof sei es ihm gelungen, herkömmliche Lesegeräte zu überlisten und mit der kopierten Kreditkarte zu bezahlen.

Stellenmarkt
  1. IT Healthcare Spezialist Klinische Anwendungen und Entwicklung (m/w/d)
    Sana IT Services GmbH, Berlin
  2. SAP-Inhouse-Berater SD/MM (w/m/d)
    Salzgitter Mannesmann Handel GmbH, Mülheim an der Ruhr
Detailsuche

MagSpoof besteht aus einem Atmel-Attiny85-Microcontroller, einer L293D-H-Bridge mit Kupferlackdraht als Elektromagnet sowie einigen weiteren Komponenten. Das Gerät simuliert das Magnetfeld der Kredit- oder EC-Karte. Ein Magnetstreifen unterstützt die Kodierung von Daten auf drei Ebenen (Tracks). EC- und Kreditkarten nutzen nur zwei dieser Ebenen. Kamkar simulierte mit dem Elektromagneten zunächst die Daten der ersten und dann die der zweiten Ebene. Die Daten der zweiten Ebene werden rückwärts abgespielt, um das Zurückziehen der Karte im Lesegerät zu simulieren. Ist der verwendete Elektromagnet stark genug, kann MagSpoof auch aus kurzer Distanz eingesetzt werden - es sei nicht erforderlich, das Gerät so dünn zu bauen, dass es in das Lesegerät eingeführt werden könne, schreibt Kamkar.

Es gibt bereits kommerzielle Angebote, die es ermöglichen, verschiedene Karten mit Magnetstreifen in nur einer Karte zusammenzufassen - etwa die des Anbieters Coin. Kamkar ist nach eigenen Angaben selbst Kunde dieses Unternehmens. Allerdings funktioniere seine Coin-Karte nur in rund 50 Prozent der Fälle schreibt Kamkar - vermutlich, weil das erzeugte Magnetfeld nicht stark genug ist.

Den Magnetstreifen sichtbar machen

Kamkar beschreibt in dem Blogpost auch, wie es ihm gelang, die Daten von dem Magnetstreifen seiner Karte auszulesen. Dazu tauchte er die Karte in einen Beutel Eisenoxid. Die Eisenpartikel ordneten sich dann auf dem Magnetstreifen an - und ermöglichten eine Aufschlüsselung der gespeicherten Informationen im Binärcode. Dazu zählen neben der Nummer der Karte das Ablaufdatum, der Sicherheitscode (CVV, CVC, CSC, CAC, je nach Land und Kartentyp), der Name, ein Servicecode sowie verschiedene weitere Informationen wie der Pin-Verification-Key-Indicator.

Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    13./14.09.2022, virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    29.08.-01.09.2022, Virtuell
Weitere IT-Trainings

Der Servicecode enthält verschiedene Angaben, die Rahmenbedingungen für den Einsatz der Karte setzen. Mit Hilfe des Codes kann festgelegt werden, ob die Karte im Ausland benutzt werden darf, ob eine Pin zwingend vorgeschrieben ist, ob die Karte nur am Geldautomaten oder aber nur für den Erwerb von Waren eingesetzt werden kann. Nach Angaben von Kamkar ist es jedoch möglich, die Vorschrift für das Chip-Pin-Verfahren auf dem Magnetstreifen zu deaktivieren und diese Sicherheitsmaßnahme so zu umgehen. Das dürfte in Deutschland und anderen europäischen Ländern jedoch nicht funktionieren - weil das Chip-Pin-Verfahren hier nicht optional, sondern verpflichtend vorgeschrieben ist.

Kamkar betont, dass das Gerät nicht geeignet sei, um Kreditkarten nur anhand der Nummer, des Sicherheitscodes und des Ablaufdatums "nachzubauen". Selbstverständlich dürften auch nur Karten emuliert werden, die der Nutzer rechtmäßig im Besitz hat. Außerdem sei es ihm gelungen, mit einem Algorithmus die neue Kreditkartennummer von Amex-Karten zu berechnen, wenn diese von der Bank ausgetauscht werden. Das Gerät kann laut Kamkar mit Arduino-kompatibler Hardware nachgebaut werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sparmaßnahmen
"Komplettes Chaos" nach Entlassungen bei Oracle

Auch Oracle hat einen massiven Stellenabbau begonnen. Das Unternehmen will eine Milliarde US-Dollar an Kosten einsparen.

Sparmaßnahmen: Komplettes Chaos nach Entlassungen bei Oracle
Artikel
  1. Klimawandel: SSDs sind klimaschädlicher als mechanische Festplatten
    Klimawandel
    SSDs sind klimaschädlicher als mechanische Festplatten

    Während ihrer Lebensdauer verursacht eine SSD fast doppelt so hohe CO2-Emissionen wie eine mechanische HDD.

  2. Momentum 4 Wireless: Sennheisers neuer ANC-Kopfhörer hält lange durch
    Momentum 4 Wireless
    Sennheisers neuer ANC-Kopfhörer hält lange durch

    Guter Klang, hohe ANC-Leistung und eine Akkulaufzeit von 60 Stunden verspricht Sennheiser für den neuen ANC-Kopfhörer Momentum 4 Wireless.

  3. Microsoft Loop: Riesenkonzept mit Riesenchance auf Riesenchaos
    Microsoft Loop
    Riesenkonzept mit Riesenchance auf Riesenchaos

    Sehr unauffällig rollt Microsoft seine neue Technik Loop für die Onlinezusammenarbeit aus. Admins sollten sie jetzt schon auf dem Schirm haben, denn sie ist vielversprechend, erfordert aber viel Eindenken. Wir erklären sie im Detail.
    Von Mathias Küfner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (Gainward RTX 3070 559€, ASRock RX 6800 639€) • WD Black 2TB m. Kühlkörper (PS5) 219,90€ • Gigabyte Deals • Alternate (DeepCool Wakü 114,90€) • Apple Week bei Media Markt • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1TB 119€) • Gamesplant Summer Sale [Werbung]
    •  /