EC-Karten: am Kartenterminal ist der PIN-Klau möglich
Der PIN-Klau am Terminal ist grundsätzlich möglich, wenn man seine EC-Karte dazu verwenden möchte, um Geld abzuheben. Wie die ARD-Sendung Monitor nun deutlich macht, ist das in Deutschland gängige Hardware Security Module (HSM) Hypercom Artema Hybrid mit zahlreichen Sicherheitslücken behaftet, die dafür sorgen, dass ein Datenklau ohne Probleme durchgeführt werden kann. Auch PIN Nummern lassen sich so abrufen und Abbuchungen bzw. Abhebungen fremder Personen vom eigenen Konto deutlich erleichtern.
Kein Angriff auf die Terminals, sondern auf die Hardware
Wie Monitor im Detail erläutert, nutzen Hacker nicht mehr die Möglichkeit, ein Kartenterminal, an dem mit der EC-Karte bezahlt werden kann, direkt anzugreifen, sondern die jeweilige Software zu hacken, über die dieses funktioniert. Durch einen Pufferüberlauf kann die Hardware beeinflusst und das Terminal von Kriminellen missbraucht bzw. gesteuert werden. Dies fand nun der Sicherheitsexperte Thomas Roth, der für SRLabs arbeitet, heraus. Dadurch lässt sich die PIN spielend leicht herausfinden und von Kriminellen Geld in verschiedenen Summen abheben. Man sollte daher unbedingt am Bank-Terminal Vorsicht walten lassen, da dieser Daten-Klau durch eine unsichere Hardware selbst für unerfahrene Hacker kein Problem mehr darstellt.
Der Ablauf eines gezielten Angriffs
Ein genauer Angriffsablauf, könnte so ablaufen, dass dem Kunden zunächst vorgetäuscht wird, dass ein Bezahlvorgang erfolgt. Im nächsten Schritt liest der Angreifer die Daten, die sich auf dem Magnetstreifen befinden aus, und speichert sie in einem eigenen System. So erhält er praktisch eine fremde Kreditkarte, die er trotz fehlender Karte, aber relevanter Daten, die sich darauf befinden, zu eigenen Zwecken nutzen kann. Der Kunde bemerkt von dem Angriff auf seine PIN und die sonstigen Daten erst viel zu spät etwas und bleibt in der Regel auf dem finanziellen Schaden sitzen.
SRLabs gegen Verifone, die Herstellerfirma des Systems
Wie die Sendung Monitor auch berichtet, hat SRLabs die Herstellerfirma Verifone der Sicherheitshardware am Geldautomat bereits mehrfach über das Sicherheitssystem informiert. Reagiert wurde allerdings von Seiten der Firma nicht. Lediglich ein Statement, das sich auf das Anzweifeln des bestehenden Problems bezieht, wurde abgegeben. Entweder wird so das Problem ignoriert oder es ist zu gravierend, um zu schnell behoben zu werden. Betroffene Kunden sollten laut Monitor, einem der führenden Beratungs- und Kunden-Support-Sendungen des Öffentlich-Rechtlichen, an die Öffentlichkeit gehen, um auf das Problem aufmerksam zu machen. Auch die für die Zahlungssicherheit verantwortliche Deutsche Kreditwirtschaft hat sich gemeldet und betont, dass nur bestimmte Karten mit sensiblen Magnetstreifen betroffen seien.