Chipkarten sind noch immer angreifbar

Der Wechsel von Magnetstreifen zu Chipkarten kostet Millionen von Dol-lar, aber verspricht höhere Sicherheit. Auf Black Hat 2016 sagten For-scher jedoch, dass die neuen Karten dennoch unsicher sind.

Der Bankensektor wendet Bemühungen, Zeit und Geld auf, um Bankkarten zu schützen. Jahrelang bestand der Schutz in gestanzten Zahlen und einem Unterschriftsfeld, aber jetzt schützen Smart Chips und Einmalpasswörter ihr Geld vor Kriminellen.

Die neuen Chip- und PIN-Karten (ein EMV-Standard) versprachen höhere Sicherheit als einfache Magnetstreifen, aber es dauerte nicht lange, bis Kriminelle versuchten, ihren Schutz zu umgehen. Glücklicherweise sind Kriminelle nicht die einzigen, die sie testen; auch Sicherheitsexperten untersuchen die Systeme. Unternehmensforscher suchten in den Geräten und der Architektur des Zahlungssystems nach Schwachstellen, um Entwickler zu warnen, damit sie diese Schwachstellen patchen können, bevor Kriminellen durch sie einen Zugang finden.

Der Black Hat-Vortrag der Forscher gab Anlass zu Hoffnung und Angst: Ja, Kriminelle können Geld von Chipkarten stehlen — aber man ist dem nicht machtlos ausgeliefert. Zwei Angestellte der NCR Corp., einem Unternehmen, das Zahlungsterminals und ATMs entwickelt, nahmen einen Angriff auf Zahlungsterminals, die für gewöhnlich in Geschäften und Tankstellen verwendet werden, vor. Mit kleinen und günstigen Raspberry Pi-Computern drangen sie in die Kommunikation zwischen dem Hauptcomputer des Geschäfts (grob gesagt, der Registrierkasse) und dem Zahlungsmodul (grob gesagt, dem PIN-Pad) ein.

Generell muss die Kommunikation zwischen diesen Systemen richtig verschlüsselt sein, aber in vielen Fällen verwendet der Terminal schwache Verschlüsselung. Dadurch konnten Kriminelle Man-in-the-Middle-Angriffe ausführen: Sie fangen Kommunikationsdaten zwischen dem Zahlungsmodul und dem Hauptcomputer ab und verschlüsseln sie.

Durch den Angriff werden in Wirklichkeit keine Daten durch die Basissicherheit der Karte geschleust; bestimmte Daten, wie der PIN-Code, sind auf dem Chip verschlüsselt und werden nie offen übertragen. Jedoch können die Angreifer andere Informationen vom Chip erhalten – Daten, die normalerweise auf dem Magnetstreifen geschrieben sind.

So können Kriminelle den Namen und die Kartennummer des Besitzers herausfinden und diese Daten für Onlinezahlungen mithilfe der Karte des Opfers nutzen. Natürlich benötigen die Kriminellen in diesem Fall auch den CVV2- oder CVC2-Code, der auf der Rückseite der Karte steht – die normalerweise während der Datenübertragung geheim bleibt. Aber Kriminelle können versuchen, Kartenbesitzer auszutricksen, damit sie die Informationen preisgeben.

Zusätzlich zu Standardaufforderungen, wie „Fügen Sie Ihre Karte ein“ und „Geben Sie Ihre PIN ein“, können Zahlungsterminals zahlreiche andere Meldungen anzeigen – eine neue Aufforderung z. B., wie „Geben Sie Ihre CVV2 (oder CVC2) ein.“

Hier ist ein anderer interessanter Ansatz: Ein Krimineller kann etwas, wie „Fehler, geben Sie erneut Ihren PIN ein“ hinzufügen — aber dieses Mal würde das Terminal davon ausgehen, dass nach offenen, nicht geschützten Informationen gefragt wird. Wenn dieser Trick funktioniert, sendet das Terminal geschützte Daten als nicht geschützt, und Kriminelle erhalten die PIN der Opfer.

Forscher haben zwei einfache Tipps für Kartenbesitzer, die sicher bleiben wollen. Zunächst sollten Sie niemals Ihre PIN zweimal bei einer Transaktion eingeben. Wenn Sie eine Fehlermeldung sehen und Sie dazu aufgefordert werden, Ihre PIN erneut einzugeben, brechen Sie die Transaktion ab, entnehmen Sie die Karte, fügen Sie die Karte erneut ein und geben Sie Ihre PIN ein (jedoch nur einmal). Sie sollten auch aufmerksam sein und ungewöhnliche Fragen vom Zahlungsterminal ignorieren – besonders, wenn es sich um „Wie lautet Ihre CVC2/CVV2?“ handelt

Der zweite Tipp kann nicht in allen Ländern angewandt werden, aber er ist recht interessant. NCR-Experten haben eine hohe Meinung von der Sicherheit mobiler Zahlungssysteme (wie Apple Pay), also kann die Zahlung mit Ihrer Uhr oder Ihrem Telefon sicherer sein als die Verwendung der Kreditkarte.

Natürlich ist eine Zahlung mit dem guten alten Bargeld der beste Schutz vor Banking- und Kreditkartenbetrügen.

Tipps