Vor Kurzem wechselten die USA vom Gebrauch unsicherer Magnetstreifen bei Kredit- und Debitkarten zu besser geschützten Chip-und-PIN-Karten, die durch den EMV-Standard reguliert sind. Ein bedeutender Schritt, um die Sicherheit von Transaktionen zu erhöhen und Kartenbetrug zu reduzieren.
Auf dem Security Analyst Summit zeigten unsere Forscher, wie eine brasilianische Gruppe Karteninformationen stiehlt und Kopien von Chip-und-PIN-Karten erstellt.
Tweet
Unsere Forscher haben jedoch kürzlich herausgefunden, dass eine Gruppe Cyberkrimineller aus Brasilien eine Möglichkeit entwickelt hat, Kartendaten zu stehlen und auch Chip-und-PIN-Karten erfolgreich zu klonen. Unsere Experten präsentierten ihre Forschung auf dem Security Analyst Summit 2018. Wir werden versuchen, die komplexe Vorgehensweise in einem kurzen Beitrag zu erklären.
Jackpotting: So werden Geldautomaten geplündert
Bei der Suche nach Malware, die von einer brasilianischen Gruppe namens Prilex zum Jackpotting von Geldautomaten genutzt wurde, stießen unsere Forscher auf eine modifizierte Version der Malware, die über einige zusätzlichen Funktionen verfügt, mit deren Hilfe POS-Terminals infiziert und Kartendaten gesammelt werden konnten.
Die Malware war in der Lage POS-Software zu modifizieren, um es Dritten zu ermöglichen, die von einem POS an eine Bank übertragenen Daten zu erfassen. Auf diese Weise konnten die Kriminellen auf Kartendaten zugreifen.
Die Kartendaten allein sind allerdings nur die halbe Miete. Um an Geld zu kommen, mussten die Kriminellen erfolgreich Kopien der Karten erstellen; ein Prozess, der mittels Chip und mehrfacher Authentifizierung (eigentlich) erschwert werden sollte.
Die Prilex-Gruppe hat jedoch eine gesamte Infrastruktur entwickelt, mit der ihre „Kunden“ geklonte Karten erstellen können.
Um zu verstehen, wie und warum das möglich ist, sollten Sie zunächst einen kurzen Blick auf die Funktionsweise von EMV-Karten werfen. Was das Klonen betrifft, werden wir versuchen, es in diesem Beitrag so einfach wie möglich zu halten.
So funktioniert der Chip-und-Pin-Standard
Der Chip auf der Karte ist nicht nur ein Flash-Speicher, sondern ein winziger Computer, auf dem Anwendungen ausgeführt werden können. Wenn der Chip in ein POS-Terminal eingeführt wird, beginnt die Abfolge mehrerer Schritte.
Der erste Schritt ist die Initialisierung: Das Terminal empfängt grundlegende Informationen wie den Namen des Karteninhabers, das Ablaufdatum der Karte und eine Liste der Anwendungen, die von der Karte ausgeführt werden können.
Danach folgt ein optionaler Schritt: die Datenauthentifizierung. Hierbei überprüft das Terminal die Karte auf ihre Authentizität. Ein Prozess, bei dem die Karte mithilfe von kryptographischen Algorithmen validiert wird.
An dritter Stelle steht ebenfalls ein optionaler Schritt: die Karteninhaberverifizierung. Der Karteninhaber muss entweder den PIN-Code eingeben oder eine Unterschrift leisten (abhängig davon, wie die Karte programmiert wurde). Mit diesem Schritt soll sichergestellt werden, dass es sich bei der zahlenden Person auch tatsächlich um den Karteninhaber handelt.
Zu guter Letzt erfolgt die Transaktion. Beachten Sie hierbei, dass lediglich die Schritte 1 und 4 obligatorisch sind. Mit anderen Worten: Authentifizierung und Verifizierung können übersprungen werden – und genau an dieser Stelle kommen die Brasilianer ins Spiel.
Mit diesen Tricks arbeitet die Gruppe
Auf einer Karte können also x-beliebige Anwendungen ausgeführt werden. Beim ersten Kontakt verlangt der POS nach Informationen über die auf der Karte verfügbaren Anwendungen. Die Anzahl und Komplexität der für die Transaktion erforderlichen Schritte hängt von eben diesen verfügbaren Anwendungen ab.
Die Brasilianer haben deshalb eine Java-Anwendung für die Ausführung von Karten erstellt. Diese Anwendung teilt dem POS-Terminal beispielsweise mit, dass keine Datenauthentifizierung durchgeführt werden muss. Das bedeutet, es erfolgen keine kryptografischen Vorgänge, wodurch den Kriminellen die nahezu unmögliche Aufgabe erspart bleibt, an die privaten Krypto-Schlüssel der Karte zu gelangen.
Was bleibt ist die PIN-Authentifizierung. Es gibt jedoch eine Möglichkeit diese mithilfe einer weiteren Anwendung, die auf der Karte ausgeführt wird, zu umgehen, bzw. zu täuschen.
Ja, Sie haben richtig gelesen: mithilfe einer Anwendung der Cyberkriminellen kann jede beliebige Zahlenkombination als „korrekt“ angezeigt werden. Das bedeutet, dass der Kriminelle, der die Karte mit sich führt, lediglich vier zufällige Ziffern eingeben muss – die immer akzeptiert werden.
Kartenbetrug als Dienstleistung
Die Infrastruktur, die von Prilex entwickelt wurde, enthält das oben beschriebene Java-Applet: eine Client-App namens „Daphne“ mit der Informationen auf Chipkarten geschrieben werden können (Lese- bzw. Schreibgeräte für Smartcards sowie unbeschriebene Smartcards können preiswert und völlig legal gekauft werden.) Dieselbe App wird verwendet, um den Geldbetrag zu prüfen, der von der Karte abgehoben werden kann.
Die Infrastruktur umfasst zudem die Datenbank mit Kartennummern und anderen Daten. Ob es sich um eine Kredit- oder Debitkarte handelt, spielt dabei keine Rolle; „Daphne“ kann beide Karten problemlos klonen. Die Kriminellen verkaufen diesen „Service“ als Paket, meistens an andere Kriminelle in Brasilien, die dann die geklonten Karten erstellen und verwenden.
Fazit
Dem Bericht „Global Consumer Card Fraud“ von Aite aus dem Jahr 2016 zufolge, kann man davon ausgehen, dass so gut wie alle Nutzer kompromittiert wurden. Ob es sich hierbei um eine Karte mit Magnetstreifen oder eine sicherere Chip-und-PIN-Karte handelt, spielt keine Rolle.
Da Kriminelle nun tatsächliche eine Methode entwickelt haben, um die smarten Karten zu klonen, kann man darin eine sehr ernst zu nehmende finanzielle Bedrohung sehen. Wenn Sie vermeiden möchten, durch Kartenbetrug erhebliche Geldbeträge zu verlieren, empfehlen wir Folgendes:
- Behalten Sie den Transaktionsverlauf Ihrer Karte im Auge. Wenn Sie verdächtige Ausgaben bemerken, rufen Sie Ihre Bank so schnell wie möglich an und blockieren Sie die Karte sofort.
- Verwenden Sie wenn möglich Android Pay oder Apple Pay; Hier werden Ihre Kartendaten nicht an den POS weitergegeben.
- Verwenden Sie eine separate Karte für Internet-Zahlungen, da diese Karte mit größerer Wahrscheinlichkeit kompromittiert wird als die, die Sie nur in Geschäften vor Ort verwenden.