Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bankomat Geldbezug EC-Karte

Kein verdächtig wackelnder Aufsatz, doch der Bankomat könnte trotzdem präpariert sein.  bild: shutterstock

Neue Gefahr für Bank- und Kreditkarten-Nutzer: Das musst du über Deep Insert Skimming wissen

Die Schweiz ist von raffinierten Skimming-Angriffen betroffen. Die neuste Generation von Bankomat-Wanzen ist dünn wie ein Rasiermesser und darum kaum zu erkennen. Und auch die Haftungsfrage scheint nicht geklärt.



Nicht nur die Smartphones werden immer dünner, sondern auch die Hardware von Kriminellen. Schweizer Unternehmen und ihre Kunden, die Geld vom Bankomaten beziehen oder mit der Karte am Automaten bezahlen, sehen sich mit einer neuen Gefahr konfrontiert. Im Schlitz, in den die Debitkarte oder Kreditkarte eingeführt wird, könnte ein ultradünner Scanner verborgen sein.

Das heimliche Auslesen der auf dem Magnetstreifen gespeicherten Kundendaten – kombiniert mit dem Erfassen des PIN-Codes – bezeichnen Fachleute als Skimming.

Der amerikanische IT-Sicherheitsexperte und Blogger Brian Krebs berichtet in einem aktuellen Beitrag über die kaum auffindbaren Bankomat-Wanzen. Er beruft sich auf ein Schreiben des international tätigen Geldautomaten-Herstellers NCR, das an Finanzinstitute ging sowie auf eigene Recherchen.

Hier sind die wichtigsten Fragen und Antworten:

Wie funktioniert die Angriffsmethode?

Neu ist die Angriffsmethode nicht. Doch werden die Kriminellen dank Miniaturisierung wieder erfolgreicher, nachdem es 2014 noch geheissen hatte, Skimming sei im Rückgang.

Fachleute sprechen nun von Deep Insert Skimming.

«Kriminelle schieben die aus einem dünnen Metallblättchen, Lesegerät und Speicherchip sowie dünner Batterie bestehenden Geräte direkt in den Kartenschlitz, wo sie die Kartendaten aufzeichnen. In Kombination mit einer versteckten Kamera, die bei der Bankomat-Nutzung den PIN-Code abgreift, bekommen sie so alles, was sie zum Beheben (sic!) von fremden Konten brauchen.»

quelle: heise.de

Bild

Sichergestellte Bankomat-Wanzen mit flacher Batterie und Mini-Kamera. Neuere Modelle sollen noch raffinierter konstruiert sein. bild: krebsonsecurity.com

Wie können sich Bankomat-Nutzer schützen?

Da die Wanzen kaum von blossem Auge zu erkennen sind, wird das Abschirmen der PIN-Code-Eingabe (mit der Hand oder einem Gegenstand) noch wichtiger. Denn nur wenn auch der PIN-Code ergaunert wird, können die Kriminellen später mit den heimlich gescannten Kundendaten Geld abheben.

Das Problem bei den neusten Skimming-Angriffen: Es könnte sein, dass die Kamera sehr nahe bei der Tastatur versteckt ist, was wiederum das Risiko erhöht, ausgespäht zu werden. Gemäss dem NCR-Sicherheitsexperten Charlie Harrow fand man bei manipulierten Geldautomaten zwar ein ultradünnes, in den Schlitz eingeführtes Lesegerät, aber keine Kamera.

Ich dachte, europäische Karten seien sicher?

Europäische Bankkarten – Kreditkarten und Maestro-Karten – sind mit einem integrierten Mikrochip (EMV-Spezifikation) geschützt. Dieser Chip bietet gegenüber dem noch immer vorkommenden Magnetstreifen massive Sicherheitsvorteile. Weil die Daten verschlüsselt gespeichert sind, wird das Kopieren der Karte praktisch verunmöglicht.

Da aber in den USA und weiteren Ländern im asiatisch-pazifischen Raum immer noch Geldautomaten oder Kassen-Terminals auf die Magnetstreifen zugreifen, versuchen die Kriminellen dort ihr Glück. Sprich: Sie verkaufen die gestohlenen Kundendaten an Kollegen in «unsicheren» Ländern. Diese fabrizieren dann gefälschte Bankomat-Karten und versuchen damit, bei alten Automaten Geld abzuheben.

«Während Kartentransaktionen in Europa über den kopiersicheren EMV-Chip abgewickelt werden, ist der Magnetstreifen für internationalen Einsatz der Karte unabdingbar. Er ist und bleibt damit der Schwachpunkt auf der Karte. Solange Länder wie USA oder Russland die Chiptechnologie noch nicht anwenden bzw. auf den Magnetstreifen nicht verzichtet werden kann, wird es weiterhin Skimming-Versuche geben.»

quelle: six payment services

Umso wichtiger wird darum das so genannte Geo-Blocking. Das ist ein Schutzmechanismus, der hierzulande von Six Payment Services vorangetrieben wird. Konkret geht es darum, Bezüge in fremden Ländern im Vornherein zu verunmöglichen.

«Dabei kann die Bank im Auftrag des Karteninhabers den Einsatzbereich jeder einzelnen Karte auf seine Reise- und Nutzungsgewohnheiten abstimmen und die Bezugsmöglichkeit individuell geografisch einschränken. Beispielsweise kann eine Karte für eher unsichere Regionen wie Nord- und Südamerika, Asien oder Afrika gesperrt werden. Für einen Urlaub in diese Regionen kann das Geoblocking vorübergehend aufgehoben werden. Damit wird die Nutzbarkeit der Datensätze nach einer eventuellen Skimming-Attacke deutlich herabgesetzt.»

quelle: six payment services

Der an sich praktische Schutz hat seine Tücken: Bei SRF Online gab es schon 2014 einen Bericht über Maestro-Karten, die wegen Geo-Blocking im Ausland nicht funktionierten.

Wie schlimm ist die Situation in der Schweiz?

Über konkrete Fälle, respektive Opfer, ist nichts bekannt. Auf der Anti-Skimming-Website der Polizei steht dazu nichts.

Laut Brian Krebs sind grundsätzlich alle Hersteller von Geldautomaten betroffen, darunter Unternehmen in der Schweiz, aber auch in folgenden Ländern:

Sind auch Geldautomaten der Post betroffen?

Davon ist auszugehen.

Postfinance-Mediensprecher Johannes Möri schreibt uns, zu Angriffen auf Schweizer Geldautomaten gebe man keine Zahlen bekannt und mache aus sicherheitstechnischen Überlegungen auch keine Angaben zu den Abwehrmassnahmen.

Skimming sei kein neues Phänomen sondern trete ähnlich wie andere Betrugsmuster in regelmässigen Abständen immer wieder auf. «Entsprechend sind wir uns dieser Thematik bewusst – auch in Bezug auf Deep Insert Skimmer.»

«Wir empfehlen unseren Kunden Geoblocking zu aktivieren. Mit diesem Service kann der Bargeldbezug im Ausland mit der PostFinance Card geografisch eingeschränkt werden. Damit wird ein wirksamer Schutz vor Skimming, respektive dem missbräuchlichen Einsatz der Kartendaten erreicht.»

Postfinance-Sprecher Johannes Möri

Weiter ruft der Postfinance-Sprecher folgende allgemeine Vorsichtsmassnahmen in Erinnerung:

Weitere Informationen rund um die Sicherheit von Karten finde man unter www.card-security.ch.

Sind denn die Automaten nicht geschützt? 

Laut Brian Krebs bringen die bisherigen Anti-Skimming-Massnahmen nichts. Die ultradünnen, im Schlitz verborgenen Lesegeräte würden nicht erkannt. Ausserdem verfehlten in die Geldautomaten eingebaute Störsender ihren Zweck, wenn die Wanzen die abgefangenen Informationen nicht via Funk übermitteln, sondern direkt auf einem Chip speichern.

Trotzdem besteht Aussicht auf Besserung: Der Bankomat-Hersteller NCR testet gemäss eigenen Angaben ein Firmware-Update. Die Bankomaten-Software soll damit in der Lage sein, das eingeführte Spionage-Tool zu erkennen.

Grundsätzlich gilt: Bei Geldautomaten, die in gesicherten Räumen stehen und mit Videokameras überwacht werden, dürfte das Skimming-Risiko kleiner sein. Die Gauner dürften die Bankomat-Wanzen eher an kaum kontrollierten Standorten und zum Beispiel bei Billettautomaten einsetzen.

Wer haftet?

Das scheint eine schwierige Frage zu sein...

«Die Frage der Haftung nach einem Kartendelikt kann nicht allgemeingültig beantwortet werden. In der Regel hängt die Haftung von der Art des Vorfalls, dem eigenen Verhalten bzw. Verschulden und dem Kartenvertrag ab. Fest steht grundsätzlich, dass jeder für seine Karte selber verantwortlich ist. Liegt eine Verletzung der Sorgfaltspflicht vor, haftet man in den meisten Fällen selber.»

quelle: stop-skimming.ch

An Geldautomaten lässt sich auch mit Mastercard, Visa oder einer anderen Kreditkarte Geld abheben. watson hat beim Kreditkarten-Aussteller Swisscard nachgefragt, ob Kunden die Sorgfaltspflicht verletzen, wenn sie am Geldautomaten die PIN-Abgabe nicht abschirmen. Die nicht restlos beruhigende Antwort von Mediensprecher Urs Knapp:

Grundsätzlich ist der Kunde für den Schutz seines PIN-Codes vor Ausspähen verantwortlich. Im konkreten Schadenfall muss abgeklärt werden, ob eine Sorgfaltsverletzung vorliegt oder nicht.

Das deutsche Fernsehen berichtete Anfang Jahr über Skimming. Damals war die neue Methode noch nicht bekannt, es gab aber raffinierte Attrappen...

abspielen

YouTube/marktcheck

Das könnte dich auch interessieren:

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

Der Bundesrat beschliesst neue Corona-Massnahmen

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Kommentar

Darum solltest du WhatsApp jetzt löschen und zur (sicheren) Konkurrenz wechseln

WhatsApp-User werden durch geänderte Nutzungsbedingungen verunsichert. Spätestens jetzt schlägt die Stunde der datenschutzfreundlichen Alternativen.

WhatsApp-User müssen bis spätestens am 8. Februar den neuen Nutzungsbedingungen zustimmen – sonst können sie den Messenger-Dienst nicht mehr verwenden.

Das Problem laut alarmierenden Medienberichten, die seit Tagen kursieren: Wer akzeptiert, willige ein, sehr viele persönliche Informationen mit Facebook zu teilen.

Zwar versichert Facebook, das Teilen der User-Daten diene der Sicherheit und Integrität aller Facebook-Produkte. Das Unternehmen wolle damit gegen Spam, Drohungen, Missbrauch und …

Artikel lesen
Link zum Artikel