Abo
  • Services:

Security: Bluetooth-Skimming an der Supermarktkasse

Mit Teilen aus einem alten Smartphone und einem echt aussehenden Gehäuse ist es Fälschern in den USA offenbar gelungen, Daten von Kartenzahlungen abzugreifen. Es gibt ein paar Hinweise, wie Kunden gefälschte Terminals erkennen können.

Artikel veröffentlicht am ,
Das Terminal (links) und seine Fälschung (rechts)
Das Terminal (links) und seine Fälschung (rechts) (Bild: Brian Krebs)

Der Sicherheitsforscher Brian Krebs hat ein manipuliertes Zahlungsterminal der Firma Ingenico vorgestellt, mit dem Kriminelle vor allem in den USA Daten von Girokarten erbeuten. Die Kriminellen nutzen dabei einen kompletten, authentisch aussehenden Nachbau der Oberseite des Gerätes, der über das eigentliche Terminal gestülpt wird. Zu erkennen ist das per Bluetooth kommunizierende Gerät vor allem aufgrund der größeren Abmessungen.

Stellenmarkt
  1. Garz & Fricke GmbH, Hamburg
  2. ETAS GmbH, Stuttgart

Mit dem Gerät werden sowohl die Informationen von dem Magnetstreifen ausgelesen als auch die PIN der Nutzer. Um die PIN abzugreifen, ist in dem Nachbau ein zusätzliches PIN-Pad integriert, das die Interaktion der Nutzer aufzeichnet. Nach Angaben der Quelle von Brian Krebs aus einem Supermarkt war das PIN-Pad daran zu erkennen, dass die Tasten einen ungewöhnlichen Druckpunkt hatten.

Samsung-Smartphones kannibalisiert

In dem Gerät selbst ist ein Bluetooth-Sender verbaut; die Komponenten für die Kommunikation sollen von einem Samsung-Smartphone "kannibialisiert" worden sein. Die Daten wurden jeweils vor einem Neustart per Bluetooth gesendet. Um das Gerät mit einem anderen Bluetooth-fähigen Gerät zu paaren, musste die PIN '2016' eingegeben werden. Vermutlich wurde ein Smartphone in Reichweite des Senders platziert, um die Daten aufzunehmen.

Angriffe wie dieser funktionieren in vielen Ländern nach wie vor, weil vorhandene Sicherheitsmechanismen wie Chip and Pin (EMV) noch nicht flächendeckend umgesetzt werden. Einer Fälscherbande gelang es aus diesem Grund, Karten herzustellen, die nur Informationen aus Magnetstreifen nutzen, um eine gültige EMV-Karte nachzuahmen.



Anzeige
Blu-ray-Angebote
  1. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  2. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  3. (2 Monate Sky Ticket für nur 4,99€)

nixidee 28. Feb 2017

Die Zeiten sind lange vorüber. Die Banken sind hier äußerst Kulant, zumal man keinen...

1ras 28. Feb 2017

Du nutzt auch nur mehr oder weniger regelmäßig rund ein Dutzend Geldautomaten, weil du...

torrbox 27. Feb 2017

Da mein Thread geschlossen wurde, hier meine Antwort. Es reicht wenn die Karten ohne...

der_schlechte 27. Feb 2017

Dazu habe ich Anschauungsmaterial, ziemlich genau SO läuft das: https://www.youtube.com...

Mingfu 27. Feb 2017

Es hilft ja nichts, wenn das angegriffene Gerät selbst das Chip-Verfahren verwenden...


Folgen Sie uns
       


Hackerangriff auf die Bundesregierung - Interview

Golem.de-Security-Redakteur Hauke Gierow klärt über den Hackerangriff auf die Bundesregierung auf.

Hackerangriff auf die Bundesregierung - Interview Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  2. NUC8 Intels Mini-PC hat mächtig viel Leistung
  3. Hades Canyon Intel bringt NUC mit dedizierter GPU

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

    •  /