Trotz Chip und Pin-Code: Kreditkartenbetrug aufgedeckt

22. Jänner 2016, 10:09
51 Postings

Betrügerbanden nutzen aus, dass einige Banken die Transaktionen nur unzureichend prüfen

Kreditkarten mit Chip sollten im Vergleich zu Magnetstreifenkarten eigentlich sicherer sein. Davor, dass der europäische EMV-Standard der Chip-Karten ebenfalls Schwachstellen aufweist, hatten Sicherheitsexperten schon früher gewarnt. Nun wurde bekannt, dass geklonte Chipkarten bereits von Betrügerbanden eingesetzt werden. Dabei spielt ihnen die schlampige Prüfung einiger Banken in die Hände.

Ein Tool namens MacGyver

Der EMV-Standard wurde von Europay International, MasterCard und VISA entwickelt und sieht eine Authentifizierung über den Chip vor. In Europa ist der Standard seit 2011 verpflichtend. Allerdings kommt es offenbar vor, dass Banken die auf dem Chip gesicherten Daten nicht regelkonform überprüfen, wie nun Recherchen des Magazins "c’t" und der "Zeit" zeigen. Die Journalisten berufen sich dafür auf einen Informanten aus der Szene.

Die Kreditkartenklone würden mithilfe einer speziellen Software namens MacGyver, überall erhältlichen Smartcard-Rohlingen und aus früheren Hacks gestohlenen Kreditkartendaten erstellt. Drucker und Prägemaschinen würde den Fake-Karten ein authentisches Design verleihen. Das MacGyver-Programm ist laut Bericht seit etwa einem Jahr in kriminellen Kreisen für rund 20.000 Euro erhältlich.

An den Bezahlterminals tarne sich die Software als Anwendung von Visa, Mastercard oder American Express und umgehe verschiedene Sicherheitsmechanismen. Einen echten PIN-Code müssten die Betrüger nicht wissen, akzeptiert werde jegliche Zahlenkombination. "Die Transaktion erfolgt dann im Online-Modus als Static Data Authentication (SDA) des EMV-Standards. Bei diesem Vorgang werden kryptographisch gesicherte Informationen zur Transaktion als so genanntes Authorization Request Cryptogram (ARQC) an den Herausgeber der Karte gesendet", schreibt "c’t".

Nicht alle Banken prüfen regelkonform

Gültige ARQCs könne MacGyver zwar nicht erzeugen. Das sei allerdings auch nicht notwendig, da die kryptografisch gesicherten Daten von einigen Banken nicht geprüft würden. Das sei vor allem dort der Fall, wo die EMV-Spezifikation erst jetzt eingeführt wird – etwa in den USA, Südamerika und asiatischen Ländern.

Ermittler des deutschen Bundeskriminalamts wissen von der Betrugsmasche seit der ersten Jahreshälfte 2015. Bislang seien aber Betrugsfällen mit ausländischen Kartendaten bekannt geworden. Ein namentlich nicht genannter, deutscher Finanzdienstleister bestätigte gegenüber "c’t", dass die gefälschten Transaktionen durchgeführt werden könnten, wenn eine Bank die Daten nicht entsprechend kontrolliert. Bei deutschen Kreditkarten-Ausstellern sei das aber "mit ziemlicher Sicherheit" nicht der Fall.

Das Magazin rät allen Nutzern, die ihre Kreditkarte über eine Bank aus den USA, Südamerika oder Asien bezogen haben, ihre Kontoauszüge zu prüfen.

Update: Stellungnahme von Visa Österreich

Visa Österreich sagt auf Nachfrage des WebStandards, dass zu den Vorfällen noch keine detaillierten Informationen vorliegen. Man arbeite eng mit Banken und Regierungen zusammen um die Sicherheit aller Systeme und Services zu gewährleisten. "KonsumentInnen können sicher sein, dass jeder einzelne Cent, der durch Betrug oder Diebstahl entwendet wird, rückerstattet werden kann.", so das Unternehmen. (br, 22.1.2016)

  • Laut Medienberichten sind Betrüger mit gefälschten Chip-Kreditkarten unterwegs.
    foto: apa/dpa/boris roessler

    Laut Medienberichten sind Betrüger mit gefälschten Chip-Kreditkarten unterwegs.

Share if you care.