Security: Auch Kreditkarten mit Chip und PIN können kopiert werden
Bislang war bekannt, dass Kreditkarten mit Magnetstreifen mit trivialen Mitteln kopierbar sind. Aktuelle Recherchen zeigen, dass auch Karten mit dem besser gesicherten Chip-und-PIN-Verfahren kopiert werden können - weil einige Banken schlampen.
In Europa ist das Chip-und-PIN-Verfahren bei Kreditkarten schon länger im Einsatz - in den USA, Lateinamerika und Asien beginnen Banken erst jetzt mit der Umstellung. Dabei setzen einige Banken die für das Verfahren vorgesehenen Sicherheitsfeatures offenbar nur lückenhaft um, wie gemeinsame Recherchen der Zeit und von C't belegen. Das ermöglicht es Kreditkartenfälschern, valide aussehende Smartcards herzustellen, die im Einsatz beliebige PINs akzeptieren. Die Recherchen sollen auf Informationen eines Aussteigers aus der Carder-Szene basieren. Karten deutscher Banken sind den Recherchen zufolge vermutlich nicht betroffen.
- Security: Auch Kreditkarten mit Chip und PIN können kopiert werden
- Banken sparen sich die aufwendige Krypto-Prüfung
Der Magnetstreifen einer Karte lässt sich mittlerweile mit einfachen Mitteln auslesen. Kriminellen Banden ist es nun offenbar gelungen, mit diesen Informationen auch auf Smartcard-Technologie basierende Karten herzustellen. Dazu werden Rohlinge mit der Java Card Operating Platform (JCOP) verwendet und mit Hilfe einer auf illegalen Marktplätzen erhältlichen Software beschrieben. Darüber hinaus nutzen die Banden spezielle Drucker und Prägemaschinen, um echt aussehende Karten herzustellen. Mit den gefälschten Karten ist es den Banden möglich, Karten herzustellen, die auch mit Terminals funktionieren, die das von Europay, Mastercard und Visa gemeinsam entwickelte EMV-Verfahren einfordern.
Das Terminal akzeptiert auf einmal jede PIN
Das bei Chip-und-PIN verwendete EMV-Verfahren prüft die Echtheit des Karteninhabers über verschiedene Mechanismen. Das kann eine einfache Unterschrift sein, eine Offline-PIN (verschlüsselt oder im Klartext) oder eine Kombination aus beiden. Das Terminal liest eine Liste präferierter Cardholder Verification Methods (CVM) von der Karte aus, in der die verschiedenen Methoden abgelegt sind. Das ermöglicht ein Fallback, etwa wenn die PIN-Abfrage auf einem Gerät technisch nicht durchführbar ist. Die auf den Smartcards installierte App mit dem Namen Mac Gyver gibt sich beim Terminal als App von Visa, Mastercard oder American-Express aus. Die gefälschte App akzeptiert jede beliebige PIN. Denn die PIN wird nur lokal geprüft und geht nicht in die Transaktion ein.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
| Banken sparen sich die aufwendige Krypto-Prüfung |
- 1
- 2








Es gibt keine Offline Transaktion. Die Transaktion ist immer online. Es geht nur um die...
Nicht bei der KK!
Die Frage ist ja auch, wie einfach das dann zu handhaben ist. Wenn das Prozedere den...
kla geht das. Meine Anleitung: 1. Kreditkarte nehmen und mit Edding den PIN aufschreiben...