US-Banken droht PIN-Skandal

21. März 2006, 10:18
74 Postings

Sicherheitslücke ermöglichte Hackern PIN-Code-Diebstahl - Erste Berichte über leergeräumte Konten

Dem US-Bankwesen könnte ein Betrugsskandal bisher unbekannten Ausmaßes entgegen rollen. Ermittler sind einem umfangreichen Bankkarten-Betrug auf die Schliche gekommen, bei dem es Hackern gelungen ist, in den Besitz der PINs von Kundenkarten zu kommen. Betroffen seien Tausende Karten von verschiedenen US-Banken, wie die Gartner-Sicherheitsexpertin Avivah Litan vermutet und in diesem Zusammenhang vom "schlimmsten Betrug aller Zeiten" spricht.

Die ersten Berichte über leergeräumte Konten wurden Anfang der Woche publik

Die Informationen aus Bankkreisen sind dünn gesät. Gartner zieht seine Schlüsse daraus, dass die Citibank und einige andere Institute alle PIN-basierten Transaktionen in den Ländern Canada, Großbritannien und Russland diese Woche unterbunden hat und schon seit Wochen betroffene Bankkarten ihrer Kunden austauscht. Die ersten Berichte über leergeräumte Konten wurden Anfang der Woche publik. Die Banken räumten Sicherheitsprobleme ein und teilten mit, dass die Austauschaktion als Sicherheitsmaßnahme für betroffene Bankkonten notwendig sei. Die Citibank habe im vergangenen Monat eine nicht näher genannte Anzahl von betrügerischen Bargeldbehebungen registriert, berichtete die New York Times.

PIN-Block-Muster

Litan bezieht sich auf Informanten aus dem Finanzbereich und geht davon aus, dass es sich bei den Betrugsfällen um ein PIN-Block-Muster handelt. Die Hacker haben sich Zugriff auf Server von Händlern verschafft und dabei die Karteninformationen, die verschlüsselten PINs, die Terminal Keys sowie vermutlich auch weitere Informationen, die sich am Magnetstreifen der Bankkarten befinden, entwenden können. "Das Problem ist, dass Händler die Kartendaten, nachdem sie im Lesegerät eingegeben wurden, für die Verrechnung nicht sicher genug speichern. Im schlimmsten Fall werden auch die Chiffriercodes auf demselben System abgelegt", kritisiert Litan. Diese Vorgehensweise macht es verlockend für Hacker. " Das ist eine potenzielle Goldmine. Man bekommt mit einem einzigen erfolgreichen Hack die PIN-Codes und die Schlüssel, um sie zu lesen", so Litan.

Unvorstellbar

Im vorliegenden Fall, so Litan, hätten die Diebe die erbeuteten Information genutzt, um Duplikate der Kundenkarten herzustellen. Mit diesen räumten sie dann die Konten via Geldautomaten leer. Ein Szenario, das für Walter Bödenauer, Senoir Vice President von Europay Austria, unvorstellbar ist. "Sofern die Eingabegeräte der Norm entsprechen und keine Dummy-Terminals sind, ist das Abgreifen der Karteninformationen und PINs bei unseren Systemen nicht möglich", erklärt Bödenauer auf Anfrage von pressetext. Das PIN-Set sei durch verschieden Verfahren gesichert. Bei der Kommunikation mit der Verrechnungsstelle sei sowohl die Nachricht als auch die Übertragung selbst verschlüsselt. Auch das PIN-Pad an sich könne nicht gehackt werden. "Schon der Versuch sich in das Code-Eingabegerät zu hacken, löst die Selbstzerstörung aller darauf befindlichen Daten aus", so Bödenauer.

Spitze des Eisberges

Der US-Fall könnte sich noch ausweiten und sei laut Litan nur die Spitze des Eisbergs. Noch sei nicht geklärt welcher Händler Ziel des Angriffs war, jedoch könnte diese Art des Betrugs zum neuen Trend bei Kriminellen werden. "Hacker werden diese Sicherheitslücke so oft es geht ausnutzen. Denn es ist besser, direkt Geld bei einem Automaten zu erbeuten, als Produkte zu kaufen, die dann erst wieder zu Barem gemacht werden müssen", mahnt Litan.(pte)

  • Bild nicht mehr verfügbar

    Laut New York Times auch betroffen: Die Bank of America

Share if you care.