Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

So einfach knacken Kriminelle Kreditkarten-Daten – und so einfach schützt du dich

Einer britischen Studie zufolge lassen sich Kreditkartendaten von Visa einfach durch Ausprobieren herausfinden. Schuld soll eine Schwachstelle im Sicherheitssystem sein. Sich zu schützen, ist allerdings ebenso einfach.



Ein Artikel von

Spiegel Online

Einer Studie der Newcastle University zufolge lassen sich die Sicherheitsdaten bestimmter Kreditkarten durch einfaches Ausprobieren herausfinden. Das System funktioniert den Forschern zufolge sogar dann, wenn der Angreifer nur die ersten sechs Ziffern einer Kreditkarte kenne. Diese geben lediglich Auskunft darüber, von welcher Bank die Karte ausgegeben wurde und um welchen Typ von Karte es sich handelt.

Die Forscher vermuten, dass die von ihnen beschriebene Methode Anfang November beim Angriff auf die britische Tesco-Bank verwendet wurde. Dabei gelang es Kriminellen, knapp drei Millionen Euro von 9000 Kreditkartenkonten abzubuchen.

FILE - In this Jan. 21, 2015, file photo, a sign indicating Visa credit cards are accepted is posted at a New York business. Visa reports financial results Thursday, July 21, 2016. (AP Photo/Mark Lennihan, File)

Kreditkartendaten von Visa lassen sich in bestimmten Fällen durch Ausprobieren erraten. Grund für Panik besteht aber nicht, da bei Betrug Visa oder der Händler haftet. Bild: Mark Lennihan/AP/KEYSTONE

Die von den Forschern skizzierte Vorgehensweise ist erschreckend einfach: Eine Spezialsoftware versucht in Hunderten oder gar Tausenden Onlineshops gleichzeitig Einkäufe per Kreditkarte zu bezahlen. Dabei sendet sie jedem Händler leicht veränderte Versionen der Kreditkartennummer, des Ablaufdatums und des CVV-Sicherheitscodes der Karte.

Aus den Reaktionen der Shops lasse sich dann erkennen, wenn eines der ausprobierten Merkmale korrekt gewesen sei. Die Forscher bezeichnen ihr Verfahren in Anlehnung an den Fachbegriff Distributed Denial of Service Attack (verteilter Überlastungsangriff) als Distributed Guessing Attack, also verteilten Rate-Angriff. Das trifft den Kern der Sache recht gut, da die Daten nicht errechnet, sondern erraten werden.

Image

Distributed Guessing Attack: Mit solchen Tools könnten Kriminelle automatisiert CVV-Codes von Kreditkarten erraten, indem sie zig Kombinationen bei Tausenden Online-Shops durchprobieren. Die Reaktion der Shops gibt den Angreifern Hinweise, ob Kreditkartennummer, Ablaufdatum oder CVV-Sicherheitscode stimmen.

Sechs Sekunden

«Diese Angriffsmethode nutzt zwei Schwachstellen aus, die jeweils für sich genommen nicht schlimm wären, in der Kombination aber ein ernsthaftes Risiko für das gesamte Bezahlsystem darstellen», schreibt Computerwissenschaftler Mohammed Ali, der die Studie geleitet hat.

Zum einen würde eine grosse Zahl ungültiger Bezahlversuche nicht erkannt, wenn sie von unterschiedlichen Websites ausgehen. Deshalb könne man nahezu unbegrenzt viele Variationen ausprobieren, selbst wenn jeder Onlineshop für sich die Zahl fehlerhafter Versuche auf zehn oder 20 begrenzt.

Zum anderen gebe es keinen Standard dafür, welche Datenfelder einer Kreditkarte Onlineshops bei Kreditkartentransaktionen abfragen. Sobald man von einem Händler die Rückmeldung bekommt, dass ein Datenfeld korrekt ist, beginnt man bei anderen, Zahlenkombinationen für die übrigen Daten auszuprobieren.

«Das bedeutet, dass es ziemlich einfach ist, an die Informationen zu kommen und sie wie ein Puzzle zusammenzusetzen», sagt Ali.

Der dreistellige Sicherheitscode beispielsweise sei zwar nur dem Karteninhaber bekannt, aber um diesen Herauszufinden, würden weniger als 1000 Versuche, verteilt auf 1000 Webshops benötigt. Weil das alles automatisiert per Software ablaufe, sei es möglich, einen Satz Kreditkartendaten binnen sechs Sekunden zu erraten.

So kann man sich absichern

Anfällig für diese Methode erwies sich in der Studie nur das System von Visa. Beim Wettbewerber Mastercard konnten die massenhaften Anfragen demnach nach weniger als zehn Versuchen erkannt werden, auch wenn diese über verschiedene Netzwerke gestreut waren.

Auf Anfrage kritisierte Visa, dass der Forschungsbericht nicht berücksichtige, dass das Unternehmen mehrere Sicherheitsstufen biete, um Betrug beim Onlineshopping vorzubeugen.

Das Unternehmen nannte beispielsweise «Verified by Visa», das auf dem 3D-Secure-Standard basiert. Bei diesem Sicherheitsmechanismus muss der Käufer seine Identität mittels eines Codes beim Kartenherausgeber bestätigen. Nutze ein Onlinehändler diese Methode nicht, übernehme er im Fall eines Missbrauchs das Risiko, teilt das Unternehmen mit. Zudem weist Visa darauf hin, dass Karteninhaber bei Verlust, Diebstahl oder Betrug durch die geltenden Haftungsregeln geschützt seien.

Martin Emms, Co-Autor der Studie, rät Kreditkartenkunden dazu, nur eine einzige Karte für Onlinezahlungen zu nutzen. Bei dieser Karte sollte das Limit so gering wie möglich gehalten werden. Zudem mahnt er zur Aufmerksamkeit. Kreditkartenkunden sollten regelmässig ihre Abrechnungen prüfen und auf ungewöhnliche Buchungen achten.

Wie immer also gilt, dass man sich auch und gerade beim Onlineshopping so gut wie nur möglich absichern sollte. Und natürlich, dass man Systeme wie sie Visa zur Absicherung von Onlinetransaktionen anbietet, unbedingt nutzen sollte. (brt)

Umfrage

Wie bezahlst du primär an der Ladenkasse?

  • Abstimmen

3,744 Votes zu: Wie bezahlst du primär an der Ladenkasse?

  • 19%Nichts geht über Bargeld
  • 34%Maestro-Karte mit PIN-Eingabe (EC)
  • 7%Kreditkarte mit PIN-Eingabe
  • 31%Kontaktlos mit Kredit- oder Debitkarte
  • 6%Kontaktlos mit Smartphone
  • 2%etwas anderes

Abonniere unseren Newsletter

6
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
6Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Sagitarius 06.12.2016 14:30
    Highlight Highlight Ich erhalte bei jeder Buchung eine SMS vom KK Anbieter. Somit krieg ich jede Buchung unmittelbar mit und kann darauf reagieren!
  • Grave 06.12.2016 12:52
    Highlight Highlight Wieder zurück zum tauschhandel, da hatt man diese probleme nicht ;)
  • Thomas_v_Meier 06.12.2016 10:46
    Highlight Highlight Ich benutze nur noch eine Prepaid KK. Lade sie auf wenn ich sie brauche und sonst befinden sich nur wenige Franken auf der KK.
    Einzige Momente in denen ich "Angreifbar" bin ist wenn ich im Ausland verweile......
  • Donald 06.12.2016 10:11
    Highlight Highlight Was bringt der Tipp nur eine Karte zu benutzen, wenn ja im Artikel gesagt wird, dass die "Hacker" einfach Daten erraten können?
    • Cash 06.12.2016 13:36
      Highlight Highlight Es geht um den möglichen Betrug auch feststellen zu können, da alle Internet Zahlungen mit nur einer Kreditkarte abgerechnet werden - so dass ungereimtheiten wie etwa Betrug schnell festgestellt werden kann.
    • Donald 06.12.2016 17:22
      Highlight Highlight Was für ein krasser Geheimtipp. Man kann auch einfach die Abrechnung kontrollieren und Unregelmässigkeiten melden.

Was du über die Bauernfängerei «Initiative Q» wissen musst

Seit Oktober geistert ein neues «Werde schnell und ohne Aufwand reich»-Schema durch die Social-Media-Kanäle und E-Mail-Inboxen. «Initiative Q» heisst das Projekt und bei Google sind die weltweiten Anfragen dieses Begriffs seit Ende Oktober explodiert.

Auch die Schweiz wurde vom «Initiative Q»-Hype nicht verschont:

Doch worum geht es dabei? Und ist es gefährlich? Wir klären auf.

«Initiative Q» will nach eigenen Angaben den weltweiten Zahlungsverkehr umkrempeln – ähnlich wie einige …

Artikel lesen
Link to Article