So stehlen Cyberkriminelle Geld von Bankkarten – und wie Sie sich vor solchen Diebstählen schützen können

Wir analysieren, warum Chip-Karten kein Wundermittel sind und welche Vorsichtsmaßnahmen beim Zahlungsverkehr getroffen werden sollten.

In den letzten Jahren sind Zahlungsdienste nicht nur bequemer, sondern auch sicherer geworden – aber noch immer gelingt es Cyberkriminellen, weltweit Geld von Bankkarten zu entwenden. Welche sind die gängigsten Methoden für einen solchen Diebstahl, und wie können Sie sich davor schützen?

Klonen von Karten

Als Bankkarten Informationen nur auf einem Magnetstreifen speicherten, war es für Betrüger recht einfach, eine genaue Kartenkopie zu erstellen und sie für Zahlungen in Geschäften und Abhebungen an Geldautomaten zu verwenden. Anfangs wurden die Daten mit einem speziellen Gerät ausgelesen – einem Skimmer, der an einem Geldautomaten oder einem Terminal in einem Geschäft angebracht wurde. Ergänzend dazu wurde eine Kamera oder ein spezielles Pad auf der Tastatur des Terminals verwendet, um die PIN-Nummer der Karte zu ermitteln. Nachdem die Betrüger einen Kartenabdruck und die dazugehörige PIN erhalten hatten, übertrugen sie diese Daten auf eine leere Karte und benutzten sie an Geldautomaten oder in Geschäften.

In einigen Teilen der Welt funktioniert diese Technologie immer noch, aber mit dem Aufkommen von Chipkarten hat sich ihre Effektivität deutlich reduziert. Eine Chipkarte ist nicht so leicht zu kopieren. Deshalb haben Kriminelle damit begonnen, Zahlungsterminals mit Schadcode zu infizieren, der bei der Bearbeitung eines rechtmäßigen Kaufs einige Daten von der Karte kopiert. Mit diesen Informationen versenden Kriminelle dann raffiniert generierte Zahlungsaufforderungen. Im Wesentlichen versenden sie nur Daten, die zuvor auf dem Magnetstreifen aufgezeichnet wurden, kennzeichnen die Transaktion aber als über den Chip abgewickelt. Das ist dann möglich, wenn Banken verschiedene Transaktionsparameter nicht detailliert genug abgleichen und die EMV-Protokolle, an die sich alle Transaktionen mit Chipkarten halten müssen, nicht korrekt umsetzen.

Bei Banken, die nicht unter einer solchen Laxheit leiden, wenden die Angreifer einen noch raffinierteren Trick an. Sobald ihr Opfer eine legitime Zahlung vornimmt, fordert das infizierte Zahlungsterminal die eingeführte Karte auf, eine zusätzliche betrügerische Transaktion durchzuführen. So wird die Karte selbst nicht kopiert, aber es werden trotzdem Extrabeträge von ihr abgezogen.

So können Sie sich schützen: Versuchen Sie, die Funktion für kontaktloses Bezahlen auf Ihrem Telefon zu nutzen, da diese besser geschützt ist. Falls Sie Ihre Karte dennoch in ein Terminal einführen müssen, achten Sie darauf, dass das Eingabefeld für den PIN-Code nicht verdächtig verändert ist. Verdecken Sie das Feld bei der Eingabe des Codes mit Ihrer Hand, Ihrer Handtasche oder einem anderen Gegenstand. Sollte das Terminal plötzlich keine kontaktlosen Zahlungen mehr akzeptieren, ungewöhnliche Meldungen auf dem Bildschirm erscheinen oder die PIN wiederholt eingegeben werden müssen, ist dies ein Grund, misstrauisch zu werden und zusätzliche Schutzmaßnahmen zu ergreifen. So können Sie z. B. sofort Ihren Kontoauszug überprüfen oder ein geringes Verfügungslimit für die Karte festlegen.

„Kugelsichere“ Portemonnaies
Es gibt mittlerweile RFID-geschützte Portemonnaies und Taschen zu kaufen, die verhindern, dass die darin enthaltenen physischen Karten aus der Ferne ausgelesen werden, zum Beispiel in öffentlichen Verkehrsmitteln. An einem solchen Schutz gibt es nichts auszusetzen – er funktioniert wirklich. In der Praxis wird dieses Angriffsszenario jedoch praktisch nie genutzt. Bei einem solchen Schnell-Scan lassen sich nur grundlegende Informationen von der Karte ablesen, und das reicht in der Regel nicht aus, um eine Zahlung zu tätigen. Zugleich ist es aber sehr einfach, die letzten Einsatzorte und Beträge von kontaktlosen Zahlungen herauszufinden!

Kartendatendiebstahl über das Internet

Hier haben es die Betrüger auf die Daten von Bankkarten abgesehen, um online Zahlungen vornehmen zu können. Dazu gehören in der Regel die Kartennummer, das Gültigkeitsdatum und die Kartenprüfnummer (CVV/CVC); je nach Land können auch der Name des Karteninhabers, die Postleitzahl oder die Reisepassnummer abgefragt werden. Es gibt mindestens drei effektive Möglichkeiten, wie Betrüger diese Daten sammeln:

  1. Sie ködern das Opfer mit einem gefälschten Online-Shop, einer Phishing-Kopie eines echten Online-Shops oder unter dem Vorwand, Geld für wohltätige Zwecke zu sammeln.
  2. Abfangen der Daten durch Infizieren entweder der Webseite des tatsächlichen Online-Shops (Web-Skimmer) oder des Computers/Smartphones des Opfers (Banking-Trojaner).
  3. Hacken eines realen Online-Shops und Stehlen der gespeicherten Zahlungskartendaten der Kunden. Eigentlich sollten Online-Shops niemals alle Kartendaten aufbewahren, aber leider wird diese Vorschrift oft nicht eingehalten.

Obwohl diese Diebstahlmethode veraltet ist, wird sie weiterhin Bestand haben. So hat sich unserer Analyse zufolge die Zahl der Angriffe auf Bankdaten im Jahr 2022 fast verdoppelt.

So können Sie sich schützen: Zunächst sollten Sie sich eine virtuelle Karte für Online-Zahlungen zulegen. Falls es nicht zu schwierig oder zu teuer ist, lassen Sie sich eine neue virtuelle Karte ausstellen und sperren Sie die alte mindestens einmal im Jahr. Legen Sie darüber hinaus ein niedriges Verfügungslimit für Ihre Online-Zahlungskarte fest oder lassen Sie nur einen sehr geringen Geldbetrag auf der Karte. Vergewissern Sie sich, dass Ihre Bank Online-Zahlungen immer mit einem Einmalcode bestätigt (mit 3-D Secure oder ähnlichen Verfahren). Und schließlich sollten Sie die Zahlungsformulare und Adressen der Websites, auf denen Sie Ihre finanziellen Daten eingeben, sorgfältig prüfen. Um dieses Problem zu umgehen, sollten Sie Cybersicherheits-Tools verwenden, die Online-Zahlungen sicher schützen.

Karten- und Telefondiebstahl der alten Schule

Diese Methode ist selbstverständlich die auffälligste und offensichtlichste Form des Diebstahls, aber sie ist immer noch weit verbreitet. Gerissene Kriminelle können Karten für Online-Zahlungen verwenden, indem sie einen Online-Shop finden, bei dem keine zusätzlichen Prüfcodes eingegeben werden müssen. Noch einfacher, aber nicht weniger effektiv ist es, eine gestohlene Karte für eine Kontaktlos-Zahlung zu verwenden, bei der keine PIN eingegeben werden muss. In der Regel gibt es ein Limit für solche Zahlungen, und in einigen Ländern wird die Karte nach drei bis fünf solcher Zahlungen gesperrt, aber im Vereinigten Königreich beispielsweise kann der Verlust eines Opfers durch diese primitive Methode des Diebstahls leicht 500 britische Pfund (5 × 100 £) betragen. Ein Mobiltelefon ist für Diebe immer ein wertvolles Gut, und wenn es Google Pay aktiviert hat, ist es möglich, innerhalb des zulässigen Zahlungslimits zu handeln und dem Opfer einen zusätzlichen Schaden zu verursachen, selbst wenn die Karte gesperrt ist.

Sicherheitsforscher haben gezeigt, dass es manchmal sogar möglich ist, kontaktlose Zahlungen durchzuführen, selbst wenn eine Karte nach dreimaliger Eingabe einer falschen PIN gesperrt wurde. Außerdem könnten Angreifer einige Daten mit einem gesperrten Telefon austauschen und dann modifizierte Aufzeichnungen dieses Austauschs verwenden, um einmalige betrügerische Zahlungen vorzunehmen. Zum Glück wurden beide Angriffsarten von Sicherheitsforschern entdeckt, sodass die Hoffnung besteht, dass Betrüger diese Methoden noch nicht einsetzen.

So können Sie sich schützen: Am besten setzen Sie sich für den täglichen Gebrauch relativ niedrige Ausgabenlimits für Ihre Karten. Sofern Ihre Bank dies zulässt, können Sie ein gesondertes, niedriges Kontingent für kontaktlose Zahlungen festlegen. Natürlich sollten Sie darauf achten, dass Sie das Limit im Notfall schnell wieder erhöhen können. Alternativ können Sie sich auch eine virtuelle Karte mit niedrigem Limit ausstellen lassen und Google/Apple/Samsung Pay damit verknüpfen. Wenn die Zahlungs-App so eingestellt werden kann, dass sie nur Zahlungen von einem entsperrten Telefon zulässt, sollten Sie dies tun.

Abschließend weisen wir darauf hin, dass sich in vielen Ländern derzeit Regelungen durchsetzen, die Opfern eine teilweise oder vollständige Entschädigung für Betrug gewähren. Um davon zu profitieren, empfehlen wir Ihnen, bei allen Kartenzahlungen vorsichtig zu sein, den schnellsten Benachrichtigungsweg einzurichten (Push oder SMS) und Ihre Bank schnellstmöglich zu kontaktieren, wenn Sie verdächtige Transaktionen feststellen.

Tipps