Abo
  • Services:
Anzeige
Auch mit dem Chip-und-PIN-Verfahren gesicherte Kreditkarten können von kriminellen Banden kopiert werden.
Auch mit dem Chip-und-PIN-Verfahren gesicherte Kreditkarten können von kriminellen Banden kopiert werden. (Bild: Damien Meyer/Getty Images)

Security: Auch Kreditkarten mit Chip und PIN können kopiert werden

Auch mit dem Chip-und-PIN-Verfahren gesicherte Kreditkarten können von kriminellen Banden kopiert werden.
Auch mit dem Chip-und-PIN-Verfahren gesicherte Kreditkarten können von kriminellen Banden kopiert werden. (Bild: Damien Meyer/Getty Images)

Bislang war bekannt, dass Kreditkarten mit Magnetstreifen mit trivialen Mitteln kopierbar sind. Aktuelle Recherchen zeigen, dass auch Karten mit dem besser gesicherten Chip-und-PIN-Verfahren kopiert werden können - weil einige Banken schlampen.

In Europa ist das Chip-und-PIN-Verfahren bei Kreditkarten schon länger im Einsatz - in den USA, Lateinamerika und Asien beginnen Banken erst jetzt mit der Umstellung. Dabei setzen einige Banken die für das Verfahren vorgesehenen Sicherheitsfeatures offenbar nur lückenhaft um, wie gemeinsame Recherchen der Zeit und von C't belegen. Das ermöglicht es Kreditkartenfälschern, valide aussehende Smartcards herzustellen, die im Einsatz beliebige PINs akzeptieren. Die Recherchen sollen auf Informationen eines Aussteigers aus der Carder-Szene basieren. Karten deutscher Banken sind den Recherchen zufolge vermutlich nicht betroffen.

Anzeige

Der Magnetstreifen einer Karte lässt sich mittlerweile mit einfachen Mitteln auslesen. Kriminellen Banden ist es nun offenbar gelungen, mit diesen Informationen auch auf Smartcard-Technologie basierende Karten herzustellen. Dazu werden Rohlinge mit der Java Card Operating Platform (JCOP) verwendet und mit Hilfe einer auf illegalen Marktplätzen erhältlichen Software beschrieben. Darüber hinaus nutzen die Banden spezielle Drucker und Prägemaschinen, um echt aussehende Karten herzustellen. Mit den gefälschten Karten ist es den Banden möglich, Karten herzustellen, die auch mit Terminals funktionieren, die das von Europay, Mastercard und Visa gemeinsam entwickelte EMV-Verfahren einfordern.

Das Terminal akzeptiert auf einmal jede PIN

Das bei Chip-und-PIN verwendete EMV-Verfahren prüft die Echtheit des Karteninhabers über verschiedene Mechanismen. Das kann eine einfache Unterschrift sein, eine Offline-PIN (verschlüsselt oder im Klartext) oder eine Kombination aus beiden. Das Terminal liest eine Liste präferierter Cardholder Verification Methods (CVM) von der Karte aus, in der die verschiedenen Methoden abgelegt sind. Das ermöglicht ein Fallback, etwa wenn die PIN-Abfrage auf einem Gerät technisch nicht durchführbar ist. Die auf den Smartcards installierte App mit dem Namen Mac Gyver gibt sich beim Terminal als App von Visa, Mastercard oder American-Express aus. Die gefälschte App akzeptiert jede beliebige PIN. Denn die PIN wird nur lokal geprüft und geht nicht in die Transaktion ein.

Banken sparen sich die aufwendige Krypto-Prüfung 

eye home zur Startseite
Jakelandiar 22. Jan 2016

Es gibt keine Offline Transaktion. Die Transaktion ist immer online. Es geht nur um die...

derdiedas 22. Jan 2016

Nicht bei der KK!

Sharra 22. Jan 2016

Die Frage ist ja auch, wie einfach das dann zu handhaben ist. Wenn das Prozedere den...

Nastert 22. Jan 2016

kla geht das. Meine Anleitung: 1. Kreditkarte nehmen und mit Edding den PIN aufschreiben...



Anzeige

Stellenmarkt
  1. SARSTEDT AG & Co., Nümbrecht-Rommelsdorf
  2. Brabbler Secure Message and Data Exchange Aktiengesellschaft, München
  3. T-Systems International GmbH, München
  4. Leopold Kostal GmbH & Co. KG, Hagen


Anzeige
Hardware-Angebote
  1. 1.029,00€ + 5,99€ Versand

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Tesla gewährt rückwirkend Supercharger-Gratisnutzung
  2. Elektroautos Merkel hofft auf Bau von Batteriezellen in Deutschland
  3. Strategische Entscheidung Volvo setzt voll auf Elektro und trennt sich vom Diesel

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. id Software "Global Illumination ist derzeit die größte Herausforderung"
  2. In eigener Sache Golem.de führt kostenpflichtige Links ein
  3. In eigener Sache Golem.de sucht Marketing Manager (w/m)

  1. 1Password Fake-News ?

    MarioWario | 01:19

  2. Re: Mal ne dumme Gegenfrage:

    GenXRoad | 01:10

  3. Re: Dann soll man doch bitte o2 free abschaffen

    My1 | 01:07

  4. Re: Anbindung an Passwortmanager

    GenXRoad | 01:07

  5. Re: Siri und diktieren

    ManuPhennic | 00:57


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel