Eigentlich soll der Chip auf aktuellen Bankomat- und Kreditkarten die Nutzer vor einem Diebstahl ihre Daten schützen. In einem Vortrag auf der Hacker-Konferenz Black Hat demonstrierten die Sicherheitsforscher Nir Valtman und Patrick Watson von der NCR Corporation aber nun, wie einfach sich dieser Schutz austricksen lässt.

Angriff

Mithilfe eines Raspberry Pi 3 ist es ihnen gelungen, die Sicherheitssperren dieses "Chip and PIN"-Schutzes praktisch vollständig zu unterwandern. Zu diesem Zweck wurde der Mini-Rechner mit einem Point-of-Sale (POS)-System verbunden. Aufgrund einer Schwäche in dem – angeblich sehr verbreiteten – Bezahl-Terminal, konnten sie mithilfe des Netzwerk-Tools Wireshark zentrale Informationen der Transaktion auslesen: Vom Namen des Käufers über die Kartennummer bis zum Ablaufdatum ließ sich hier mit wenig Aufwand alles rekonstruieren. Die Entwickler haben also offenbar beim Verschlüsseln des Datenverkehrs gepatzt.

Social Engineering

In einem zweiten Schritt demonstrierten die Forscher, wie einfach es ist, auch an die PIN oder die CVV der User zu kommen. Über einen simplen Trick brachten sie eine zusätzliche Abfrage in das Interface des POS-Systems ein, das diese Informationen abgreift. Dies bedeutet zwar, dass die User bei ihrem Einkauf diese Abfrage zweimal erhalten, ihrer Erfahrung nach würden sich aber nur die wenigsten deswegen Sorgen machen. Üblicherweise gehen die Leute davon aus, dass sie sich schlicht vertippt haben, so die beiden Angestellten von NCR.

Die Forscher betonen dabei, dass der Pi 3 genaugenommen Overkill für dieses Angriffsszenario ist. Für einen realen Angriff könnten Kriminelle auch problemlos zu einem wesentlich kleineren, und damit unauffälligeren Rechner greifen.

Informationslage

Der Hersteller des betreffenden Systems sei mittlerweile über die Lücken informiert worden, heißt es. Ganz allgemein empfehlen die beiden Vortragenden grundlegende Verbesserungen an solchen Bezahlsystemen. Die Verschlüsselung müsse künftig lückenlos sein, bisher sei diese bei solchen Systemen innerhalb des lokalen Netzwerks nicht verpflichtend – was genau solche Angriffe ermögliche. (red, 7.8.2016)