Über zusätzliche Hardware oder Tastaturatrappen können PINs am Geldautomat abgefangen werden. Italienische Forscher haben nun aber eine neue Methode über die Steckdose gefunden.
Eingaben auf PS/2-Keyboards können offenbar über Steckdosen ausspioniert werden. Auf der Black Hat-Sicherheitskonferenz haben zwei italienische Sicherheitsexperten nun einen PS/2 Protocol Keyboard Sniffer vorgestellt, wie heise berichtet. Demnach kann anhand der Masseleitung im Stromnetz nachvollzogen werden, welche Tasten angeschlagen wurden.
PINs abhören
Die beiden Forscher Andrea Barisani und Daniele Bianco geben an, mit ihrer Methode die PIN-Codes von Geldautomaten im Italien alleine über die Steckdose ausspioniert zu haben. Auch sei es ihnen gelungen Tastatureingaben mit einem Lasermikrophon abzufangen. Dabei sollen die Vibrationen von Notebooks aufgezeichnet und ausgewertet werden.
Skimming-Attacken und Software-Lecks
Geldautomaten sind ein begehrtes Zielobjekt für Hacker. Beim sogenannten Skimming werden zusätzliche Komponenten am Kartenschlitz oder auch Tastaturatrappen angebracht, um die Daten der Bankomat- oder Kreditkarte auszulesen oder die Geheimcodes abzufangen. Ein weiterer auf der Black Hat-Konferenz angesetzter Vortrag zu dem Thema musste allerdings abgesagt werden. Sicherheitsexperten wollten auf Lecks in der Software von Geldautomaten aufmerksam machen. Doch der betroffene Automatenhersteller hatte die Sicherheitsforscher gebeten, keine Informationen herauszugeben, bevor die Lücken nicht geschlossen seien. (red)
Was im Film "Terminator 2" bereits vor Jahren demonstriert wurde, funktioniert nun auch real
Bures: Österreich muss Strafzahlungen vermeiden - Ministerin sieht Handlungsbedarf im Justiz- und Innenressort
Gericht rechtfertigt sich mit rechtsextremistischem Gedankengut - Google ortet darin Verfassungsbruch
Mutmaßliche Neonazis löschten Teile des Internetauftrittes
Über das Leck sollen Angreifer schädliche Software in Netzwerke einschleusen und Daten auslesen können
US-Studie: "Weniger primitive Form des Bankraubs"
Internet-Enthüller ist ein öffentlichkeitsscheuer Kämpfer - Sieht sich nicht als "Hacker"
Daten werden Polizei bereitgestellt
Stellvertretende Partei-Vorsitzende Beate Merk fordert Internetsperren
Obama zeigte sich über Veröffentlichung der Geheimdokumente besorgt
"Bisher kein Kundenschaden" - Windows-Schädling hat es auf Industrieprogramme abgesehen
Pflanzenschutzmittel auf dem Werksgelände des Apple-Zulieferers eingesetzt
User des berüchtigten Forums haben den Sänger der US-Band Blood on the Dance Floor im Visier
"Seine Liebe zu Computern hat ihn verraten"
Psychischer Härtetest: Kontroll-Jobs belasten Mitarbeiter - Oft ausgelagert und schlecht bezahlt
Studie: 82 Prozent nutzen das Netz
Schweizer Historiker Peter Haber studiert die Mängel von Wikipedia-Artikeln über historische Ereignisse. Er rät nicht ab vom Onlinelexikon, warnt aber vor beschönigenden und manipulierten Artikel
Wirbel um Enthüllung zu Afghanistankrieg
MPAA macht Stimmung gegen All-in-One-Medien-Adapter AllVid und Google-Pläne
"Gemeinschaft finden für Betroffene wichtig"
Experte will zur "Black Hat"-Konfernez spezielles Hacker-Tool vorstellen
Dokumente wurden Wikileaks zugespielt
System dient dem Schutz von Infrastruktur-Einrichtungen
E-Mail-Push-Dienst entzieht sich staatlicher Kontrolle
Großmarkt-Laptop und Prepaid-Handy ersetzen gefinkeltes James-Bond-Equipment
18 Prozent Spam und Co. mit verknappter URL
USB-Peripheriegeräte ermöglichen unentdeckte Angriffe
Poster am Donnerstag: "Das kann doch nie und nimmer gut gehen" - Trauer statt Livestream auf der offiziellen Website
"NuCaptcha" setzt auf animierten Text für mehr Sicherheit
Innenministerium sucht Computerspezialisten
Industrie könnte Formatkrieg erneut entscheiden - Digital Playground möchte Flash komplett verbannen
Einige benutzten Regierungscomputer - Pentagon befürchtet "Erpressung"
Aktivisten kämpfen gegen die Verwendung von Rohstoffen aus der Demokratischen Republik Kongo
Unternehmen präsentierte "im Interesse der Transparenz" veränderte Fotos jeweils im Original und in der bearbeiteten Fassung im Internet-Fotoportal Flickr
Disks eines brasilianischen Bankiers waren unter anderem mit Truecrypt gesichert - Nach einem Jahr Knackversuche aufgegeben
Mehr als 13 Millionen PC infiziert - Slovenische Hacker verkauften Schädling an "Mariposa"-Netzwerk
Bezahlfernsehen ohne Bezahlung wieder möglich - Verfahren technisch aufwändig
Unternehmen müssten handeln
Die Scherzbolde von 4chan wollen das Video-Portal erneut mit pornografischen Videos fluten
In Strafanstalt Stein dienstzugeteilter Bundesheer-Angehöriger posierte auf Facebook mit "echtem SS-Helm" - Dienstzuteilung beendet - Von über 100 Soldaten nur mehr unter 10 bei Justiz
TV-Auftritt zeigt erhebliche Lücken in den Möglichkeiten aktuell eingesetzter Geräte - mit Video
"Open Commons" versprechen auch wirtschaftlichen Erfolg
Florian Hufsky starb im Alter von 23 Jahren völlig unerwartet in dieser Woche
Brite hatte Computer des US-Militärs geknackt
Einblicke in einen lange verdeckt gehaltenen Zwischenfall - Israel und USA hüllten sich in Schweigen
Anbieter weisen Bedenken zurück
Internet-Zugang als Grundrecht - "Netzbürger sind der Souverän und keine bloße statistische Größe"
"Zwei Mädchen erzählten, dass die Kontroll-Leuchte an ihren Webcams nicht ausgeht"
BKA untersucht nach Angaben eines Sprechers im Auftrag der deutschen Bundesregierung das Prinzip "Löschen statt Sperren
Peking wünscht strengere Überwachung
Daten zum Massaker in 17 Karten dargestellt
Pläne zur Kostenreduktion im öffentlichen Sektor schlagen unter anderem Abgang von Microsoft-Lösungen vor
Vorarlberger hatte im Internet islamfeindliche Äußerungen gepostet - Urteil nicht rechtskräftig
Initiative zur kurzfristigen Sperre "schädlicher Seiten" - Kritik der OSZE
Stopline: USA nach wie vor am häufigsten gemeldetes Ursprungsland für kinderpornografische Inhalte im Internet
Datentransfer zur Terrorbekämpfung wird mit August auf legale
Ermittlungsverfahren der deutschen Polizei vermutet - Standortbestimmung per SMS erfolgt
Vorwurf der Datenmanipulation ausgeräumt - Gestohlene E-Mails sorgten vor Klimakonferenz im vergangenen November für Aufregung
Experte wollte Lücken bei Bankautomaten aufzeigen - Hersteller drohten darauf
Opfer finden durch ständige Erreichbarkeit keinen sicheren Ort mehr
Mobile Endgeräte als Schwerpunkt
Aktion "Infra-Red" führte schon zu über hundert Festnahmen
Datenübermittlung im Vorbeifahren und Software zum Erstellen geheimer Botschaften
Neues SWIFT-Abkommen unterzeichnet
stopptdierechten.at zeigt auch angebliche Verbindungen zu FPÖ auf - Öllinger kritisiert Verfassungsschutz
Vorratsdatenspeicherung und Internetsperren sollen abgeschafft werden
US-Forscher konnten Elektronik aus der Ferne kontrollieren – kaum Sicherheitsmechanismen
Seit bald zwei Jahren sorgen die Aktivisten von "Anonymous" mit ihren Aktionen für Wutanfälle bei Scientology
Phion-Chef Wieland Alge über das Facebook-Risiko, unsichere Banken, fahrlässige Behörden und den ganz normalen Cyberwar
Entwickler Peter Kleissner über sein Bootkit "Stoned"
Um die Veröffentlichung der zehn Tintenkleckse ist ein Streit entbrannt
Schauspieler reicht Klage gegen Autor der Chuck Norris-Witze ein - Name würde "missbraucht"
hatte John connor aber auch eine Art PDA mit Fake-Bankomatkarte in den Bankomaten gesteckt, und der PDA probierte zig PINs aus. Mein Resümee: Die Methode ist einfach genial, aber nicht umsetzbar, da die Bankomaten bei 3x falsch eingegebenen codes die Karte einziehen und sperren. Terminator 2 war echt GENIAL, vor allem "HASTA LA VISTA, BABY" LOL!
nun werden PIN eingaben bei uns und in allen vernünftigen ländern nicht über PS/2 sondern über spezielle crypto-module abgefragt (PINpad). daher bleibt dieses problem nur dort wo ein KeyPad statt PINpad verwendet wird bestehen. das ergebnis der PIN eingabe wird als TRUE or FALSE
PS: seit EMV sollte es aber keine KeyPads mehr geben!
wieder eine STORY like KRONE (0 recherche).
Grundsätzlich gibt es zwei Methoden:
* viele Mikrophone und die Rekonstruktion der Position des Druckgeräuschs
* nur ein Mikrophon und die Anwendung von Modellen der Fingerbewegung (zB wenn 2 nach 1 gedrückt wird, geht das viel schneller als zB 9)
Beide Methoden geben nur partielle Informationen zum PIN, aber bei nur 10000 Kombinationen reicht das völlig aus.
Ich habe das zwar schon mal wo anders gelesen, aber wie das tatsächlich funktionieren soll, ist mir schleierhaft. Geben die Tasten beim Drücken irgendwelche einzigartigen, hochfrequenten Töne von sich?
Denn nur das Klofgeräusch der Finger auf den Tasten, kann ja wohl kaum ausreichen, um irgendwelche Tasten genau identifizieren zu können, würde ich zumindest meinen.
ich baue irgendeine elektronische installation bei der steckdose vom bankomaten auf
(wo zum teufel ist die steckdose bei den wandbankomaten)
lauere dann kunden auf, spionier den pin aus und ueberfalle sie dann einem nach den anderen in einer naechtlichen strasse um ihnen die bankomatkarte zu klauen und immerhin - pro opfer - bis zu 400 euro abzuheben - bis eben die karte endlich gesperrt ist.
es gibt leute, die vor diesem szenario angst haben.
Ein Bedrohungsszenario wäre:
Bankomatkarte (bzw. Daten) durch Skimmer oder Trickdiebstahl entwenden.
PIN durch MiniCam, Mikrofon oder eben Masseleitung ausspähen. Der Vorteil der Masseleitung ist, dass diese Methode vom Kunden überhaupt nicht erkannt werden kann.
Angeblich (obwohl man mit Aussagen österreichischer Banken sehr vorsichtig sein muss) funktioniert eine duplizierte österreichische Bankomatkarte in einem österreichischen Bankomaten nicht.
"Einlagensicherung
Alle Einlagen und Guthaben einschließlich Zinsen von natürlichen Personen werden bis 31.12.2009 in voller Höhe gesichert, unabhängig davon, ob es sich dabei um eine private oder berufliche Einlage handelt. Ab 1.1.2010 sinkt der gesicherte Betrag pro Einleger und pro Kreditinstitut auf EUR 100.000,-."
Ich sehe schon ein, dass nach den Turbulenzen seit 08/08 das Geld unter der Matratze sicherer ist, ... aber die Einbrecherbanden, na ja :)
Ich persönlich versaufe und verhu.... mein Geld einfach, den Rest verjuxe ich!
Die Kommentare von User und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.
