Skimming-Angriffe an Tankstellensäulen

[Dynamite]

Berichten in US-Medien zufolge haben Kriminelle in größerem Umfang die Lesegeräte für Bezahlkarten an Tankstellensäulen manipuliert, um an Kartendaten zu gelangen. Bislang kannte man solche Angriffe eher von Bankautomaten, bei denen Betrüger mit sogenannten Skimming-Aufsätzen vor dem Eingabeschlitz die Kartendaten auslesen, um damit später Kopien anzufertigen. Die PIN spähen sie mit einer versteckten Kamera oder einem zusätzlichen PIN-Pad aus, das sie über das Original-Tastenfeld legen. Details und Bilder dazu enthält auch der heise-Security-Artikel "Angriff der Karten-Kloner ".

In den neuen Fällen sendeten die an den Terminals der Säulen angebrachten Skimming-Geräte die ausgelesenen Daten per Bluetooth an die Kriminellen, die sich in der Nähe aufhalten. Mit den nachgemachten Karten konnten diese dann später laut Bericht Geld an Automaten abheben. Rund 180 Zapfsäulen mit Bezahlfunktion sollen die bislang unbekannten Täter manipuliert haben. Aufgefallen war der Betrug, weil sich zurückverfolgen ließ, dass mehrere dem Angriff zum Opfer gefallene Kunden eine bestimmte Säule der Kette 7-Eleven benutzt hatten.

Auch in Deutschland trifft man immer häufiger auf Tankstellen, auf denen man direkt an der Zapfsäule bezahlen kann. Dazu muss man aber bereits vor dem Tanken die Karte einstecken und die PIN eingeben, damit das Outdoor Payment Terminal (OPT) den Verfügungsrahmen prüfen kann. Bislang gibt es jedoch keine Berichte über erfolgreiche Skimming-Angriffe an deutschen Zapfsäulen.

Wie auch bereits bei bisherigen Terminals beim Händler gibt es auch auf Tankstellen Systeme, die das EMV-Verfahren unterstützen, bei der der Chip auf der Karte mehr oder minder verschlüsselt mit dem Terminal kommuniziert und so Skimming-Angriffe erschwert. Da sowohl EC- als auch Kreditkarten aus Kompatibiltätsgründen weiterhin eine Magnetstreifen tragen, können Betrüger diesen auslesen, um an die gewünschten Daten zu kommen.

Ob beim Bezahlen das EMV-Verfahren oder der Magnetstreifen benutzt wurden, ist letztlich für den Kunden ohne Belang – er bekommt den Schaden in der Regel immer erstattet. Der Unterschied ist nur für die Zuordnung der Haftung in Schadensfällen wichtig. War die Karte nicht EMV-fähig, haftet der Herausgeber, also in der Regel die Bank. War indes das Terminal nicht EMV-fähig, verschiebt sich die Haftung auf den Händler. Dass sich aber auch das EMV-Verfahren austricksen lässt, haben britische Forscher erst kürzlich zumindest für britische Karten gezeigt.

Quelle: Heise.de

[Dynamite]

Skimming vom Sofa aus

Die zum Abgreifen von EC-Kartendaten verwendeten Skimming-Vorsätze an Geldautomaten senden ihre Daten immer häufiger per SMS an die Kriminellen. Beim Skimming kopieren die Betrüger den Magnetkartenstreifen von Geldkarten am Kartenschlitz und spähen die PIN durch Tastaturaufsätze oder Mini-Kameras aus, um Kopien anzufertigen und damit Geld abzuheben (Details dazu auch im Artikel "Angriff der Karten-Kloner").

Mit der neuen Generation müssen die Skimming-Geräte die Daten nicht mehr über einen längeren Zeitraum sammeln und die Karten lassen sich so im Wohnzimmer in Echtzeit klonen. Zudem halbiert sich das Risiko für die Betrüger, geschnappt zu werden, da das Abmontieren der Aufsätze und Auslesen der Daten nach einem Raubzug entfällt. Einzig für die Montage müssen sie noch einen Geldautomaten aufsuchen. Ganz neu ist die Masche indes nicht, bereits seit Längerem versenden einige Skimming-Geräte die Daten per Nahfunk. Dabei müssen die Täter dann aber mit einem Empfänger in Reichweite bleiben.

Zu einfach um wahr zu sein: Skimming vom Sofa aus könnte Gelegenheitskriminelle dazu verlocken, auf solche Angebote einzugehen. Vergrößern Im Internet finden sich bereits einige "Skimming-für-Dummies"-Sets, die neben den Schlitz- und Tastaturaufsätzen mit GSM-Funktion auch gleich noch einen Kartenschreiber zum Anfertigen der Kopien feilbieten – und das teilweise für nur 1800 US-Dollar. Doch nach Meinung des Bloggers Brian Krebs versuchen bei solchen Angeboten offenbar Betrüger andere Gelegenheits-Kriminelle abzuzocken: Hinter den Angeboten stehe keine funktionierende Hardware. Der Preis für echte Skimming-Hardware mit GSM etwa für Geldautomaten von NCR fing laut Krebs bei 8000 US-Dollar an. Für die GSM-Funktion kämen laut seinem Bericht zerlegte Handys mit größeren Akkus zum Einsatz.

Auch in Deutschland hat zumindest das Landeskriminalamt Niedersachsen den Einsatz von Handys beim Skimming beobachtet. Auf Anfrage von heise Security erklärte die LKA-Pressestelle, dass diese in der Regel aber nur zum Fotografieren oder Filmen der Tastatureingaben diene und nicht zum Versenden der gesammelten Daten.

Quelle: Heise.de