Digital

So einfach knacken Kriminelle Kreditkarten-Daten – und so einfach schützt du dich

Einer britischen Studie zufolge lassen sich Kreditkartendaten von Visa einfach durch Ausprobieren herausfinden. Schuld soll eine Schwachstelle im Sicherheitssystem sein. Sich zu schützen, ist allerdings ebenso einfach.

06.12.16, 09:43 06.12.16, 11:15

Ein Artikel von

Einer Studie der Newcastle University zufolge lassen sich die Sicherheitsdaten bestimmter Kreditkarten durch einfaches Ausprobieren herausfinden. Das System funktioniert den Forschern zufolge sogar dann, wenn der Angreifer nur die ersten sechs Ziffern einer Kreditkarte kenne. Diese geben lediglich Auskunft darüber, von welcher Bank die Karte ausgegeben wurde und um welchen Typ von Karte es sich handelt.

Die Forscher vermuten, dass die von ihnen beschriebene Methode Anfang November beim Angriff auf die britische Tesco-Bank verwendet wurde. Dabei gelang es Kriminellen, knapp drei Millionen Euro von 9000 Kreditkartenkonten abzubuchen.

Kreditkartendaten von Visa lassen sich in bestimmten Fällen durch Ausprobieren erraten. Grund für Panik besteht aber nicht, da bei Betrug Visa oder der Händler haftet. Bild: Mark Lennihan/AP/KEYSTONE

Die von den Forschern skizzierte Vorgehensweise ist erschreckend einfach: Eine Spezialsoftware versucht in Hunderten oder gar Tausenden Onlineshops gleichzeitig Einkäufe per Kreditkarte zu bezahlen. Dabei sendet sie jedem Händler leicht veränderte Versionen der Kreditkartennummer, des Ablaufdatums und des CVV-Sicherheitscodes der Karte.

Aus den Reaktionen der Shops lasse sich dann erkennen, wenn eines der ausprobierten Merkmale korrekt gewesen sei. Die Forscher bezeichnen ihr Verfahren in Anlehnung an den Fachbegriff Distributed Denial of Service Attack (verteilter Überlastungsangriff) als Distributed Guessing Attack, also verteilten Rate-Angriff. Das trifft den Kern der Sache recht gut, da die Daten nicht errechnet, sondern erraten werden.

Distributed Guessing Attack: Mit solchen Tools könnten Kriminelle automatisiert CVV-Codes von Kreditkarten erraten, indem sie zig Kombinationen bei Tausenden Online-Shops durchprobieren. Die Reaktion der Shops gibt den Angreifern Hinweise, ob Kreditkartennummer, Ablaufdatum oder CVV-Sicherheitscode stimmen.

Sechs Sekunden

«Diese Angriffsmethode nutzt zwei Schwachstellen aus, die jeweils für sich genommen nicht schlimm wären, in der Kombination aber ein ernsthaftes Risiko für das gesamte Bezahlsystem darstellen», schreibt Computerwissenschaftler Mohammed Ali, der die Studie geleitet hat.

Zum einen würde eine grosse Zahl ungültiger Bezahlversuche nicht erkannt, wenn sie von unterschiedlichen Websites ausgehen. Deshalb könne man nahezu unbegrenzt viele Variationen ausprobieren, selbst wenn jeder Onlineshop für sich die Zahl fehlerhafter Versuche auf zehn oder 20 begrenzt.

Zum anderen gebe es keinen Standard dafür, welche Datenfelder einer Kreditkarte Onlineshops bei Kreditkartentransaktionen abfragen. Sobald man von einem Händler die Rückmeldung bekommt, dass ein Datenfeld korrekt ist, beginnt man bei anderen, Zahlenkombinationen für die übrigen Daten auszuprobieren.

«Das bedeutet, dass es ziemlich einfach ist, an die Informationen zu kommen und sie wie ein Puzzle zusammenzusetzen», sagt Ali.

Der dreistellige Sicherheitscode beispielsweise sei zwar nur dem Karteninhaber bekannt, aber um diesen Herauszufinden, würden weniger als 1000 Versuche, verteilt auf 1000 Webshops benötigt. Weil das alles automatisiert per Software ablaufe, sei es möglich, einen Satz Kreditkartendaten binnen sechs Sekunden zu erraten.

So kann man sich absichern

Anfällig für diese Methode erwies sich in der Studie nur das System von Visa. Beim Wettbewerber Mastercard konnten die massenhaften Anfragen demnach nach weniger als zehn Versuchen erkannt werden, auch wenn diese über verschiedene Netzwerke gestreut waren.

Auf Anfrage kritisierte Visa, dass der Forschungsbericht nicht berücksichtige, dass das Unternehmen mehrere Sicherheitsstufen biete, um Betrug beim Onlineshopping vorzubeugen.

Das Unternehmen nannte beispielsweise «Verified by Visa», das auf dem 3D-Secure-Standard basiert. Bei diesem Sicherheitsmechanismus muss der Käufer seine Identität mittels eines Codes beim Kartenherausgeber bestätigen. Nutze ein Onlinehändler diese Methode nicht, übernehme er im Fall eines Missbrauchs das Risiko, teilt das Unternehmen mit. Zudem weist Visa darauf hin, dass Karteninhaber bei Verlust, Diebstahl oder Betrug durch die geltenden Haftungsregeln geschützt seien.

Martin Emms, Co-Autor der Studie, rät Kreditkartenkunden dazu, nur eine einzige Karte für Onlinezahlungen zu nutzen. Bei dieser Karte sollte das Limit so gering wie möglich gehalten werden. Zudem mahnt er zur Aufmerksamkeit. Kreditkartenkunden sollten regelmässig ihre Abrechnungen prüfen und auf ungewöhnliche Buchungen achten.

Wie immer also gilt, dass man sich auch und gerade beim Onlineshopping so gut wie nur möglich absichern sollte. Und natürlich, dass man Systeme wie sie Visa zur Absicherung von Onlinetransaktionen anbietet, unbedingt nutzen sollte. (brt)

Umfrage

Wie bezahlst du primär an der Ladenkasse?

  • Abstimmen

3,738 Votes zu: Wie bezahlst du primär an der Ladenkasse?

  • 19%Nichts geht über Bargeld
  • 34%Maestro-Karte mit PIN-Eingabe (EC)
  • 7%Kreditkarte mit PIN-Eingabe
  • 31%Kontaktlos mit Kredit- oder Debitkarte
  • 6%Kontaktlos mit Smartphone
  • 2%etwas anderes

Hol dir die App!

Brikne, 20.7.2017
Neutrale Infos, Gepfefferte Meinungen. Diese Mischung gefällt mir.
Abonniere unseren NewsletterNewsletter-Abo
7
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
7Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Sagitarius 06.12.2016 14:30
    Highlight Ich erhalte bei jeder Buchung eine SMS vom KK Anbieter. Somit krieg ich jede Buchung unmittelbar mit und kann darauf reagieren!
    9 2 Melden
  • Grave 06.12.2016 12:52
    Highlight Wieder zurück zum tauschhandel, da hatt man diese probleme nicht ;)
    4 6 Melden
  • Jaing 06.12.2016 12:43
    Highlight Die Tipps bringen nichts, da bei Kreditkarten immer was passieren kann. Ich kaufe ab und an online ein und zwar immer nur mit einer Kreditkarte. Vor rund einem Jahr dann auf einmal ein Anruf von Mastercard/UBS. Denen waren ungewöhnliche Buchungen am Vortag aufgefallen. Verschiedene Käufe in Online-Shops in China. Vorsorglich hatten sie meine Karte bereits gesperrt und die Buchungen zurückgezogen. Kein Aufwand und keine Kosten für mich. Von dem her ist man mit der Kreditkarte ziemlich auf der sicheren Seite.
    13 2 Melden
  • Thomas_v_Meier 06.12.2016 10:46
    Highlight Ich benutze nur noch eine Prepaid KK. Lade sie auf wenn ich sie brauche und sonst befinden sich nur wenige Franken auf der KK.
    Einzige Momente in denen ich "Angreifbar" bin ist wenn ich im Ausland verweile......
    17 3 Melden
  • Donald 06.12.2016 10:11
    Highlight Was bringt der Tipp nur eine Karte zu benutzen, wenn ja im Artikel gesagt wird, dass die "Hacker" einfach Daten erraten können?
    25 0 Melden
    • Cash 06.12.2016 13:36
      Highlight Es geht um den möglichen Betrug auch feststellen zu können, da alle Internet Zahlungen mit nur einer Kreditkarte abgerechnet werden - so dass ungereimtheiten wie etwa Betrug schnell festgestellt werden kann.
      2 0 Melden
    • Donald 06.12.2016 17:22
      Highlight Was für ein krasser Geheimtipp. Man kann auch einfach die Abrechnung kontrollieren und Unregelmässigkeiten melden.
      7 0 Melden

Facebook will deine Nacktfotos, um dich vor Rachepornos zu schützen – das steckt dahinter

In Australien testet Facebook eine Funktion, um die Verbreitung von Nacktbildern im Netz zu verhindern: Nutzer sollen dem Konzern ihre intimen Fotos einfach vorsorglich schicken 🤔.

Wie sorgt man am besten dafür, dass die eigenen Nacktfotos auf keinen Fall in fremde Hände geraten? Kaum jemand würde darauf wohl antworten, dass man solche Bilder am besten Facebook zur Verfügung stellen sollte. Doch in Australien lädt der Konzern seine Nutzer ein, genau das zu tun.

Wie die «Australian Broadcasting Company» (ABC) berichtet, will Facebook auf diese Weise die Verbreitung sogenannter Rachepornos eindämmen. So nennt man es, wenn erzürnte …

Artikel lesen