Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bankomat Geldbezug EC-Karte

Kein verdächtig wackelnder Aufsatz, doch der Bankomat könnte trotzdem präpariert sein.  bild: shutterstock

Neue Gefahr für Bank- und Kreditkarten-Nutzer: Das musst du über Deep Insert Skimming wissen

Die Schweiz ist von raffinierten Skimming-Angriffen betroffen. Die neuste Generation von Bankomat-Wanzen ist dünn wie ein Rasiermesser und darum kaum zu erkennen. Und auch die Haftungsfrage scheint nicht geklärt.



Nicht nur die Smartphones werden immer dünner, sondern auch die Hardware von Kriminellen. Schweizer Unternehmen und ihre Kunden, die Geld vom Bankomaten beziehen oder mit der Karte am Automaten bezahlen, sehen sich mit einer neuen Gefahr konfrontiert. Im Schlitz, in den die Debitkarte oder Kreditkarte eingeführt wird, könnte ein ultradünner Scanner verborgen sein.

Das heimliche Auslesen der auf dem Magnetstreifen gespeicherten Kundendaten – kombiniert mit dem Erfassen des PIN-Codes – bezeichnen Fachleute als Skimming.

Der amerikanische IT-Sicherheitsexperte und Blogger Brian Krebs berichtet in einem aktuellen Beitrag über die kaum auffindbaren Bankomat-Wanzen. Er beruft sich auf ein Schreiben des international tätigen Geldautomaten-Herstellers NCR, das an Finanzinstitute ging sowie auf eigene Recherchen.

Hier sind die wichtigsten Fragen und Antworten:

Wie funktioniert die Angriffsmethode?

Neu ist die Angriffsmethode nicht. Doch werden die Kriminellen dank Miniaturisierung wieder erfolgreicher, nachdem es 2014 noch geheissen hatte, Skimming sei im Rückgang.

Fachleute sprechen nun von Deep Insert Skimming.

«Kriminelle schieben die aus einem dünnen Metallblättchen, Lesegerät und Speicherchip sowie dünner Batterie bestehenden Geräte direkt in den Kartenschlitz, wo sie die Kartendaten aufzeichnen. In Kombination mit einer versteckten Kamera, die bei der Bankomat-Nutzung den PIN-Code abgreift, bekommen sie so alles, was sie zum Beheben (sic!) von fremden Konten brauchen.»

quelle: heise.de

Image

Sichergestellte Bankomat-Wanzen mit flacher Batterie und Mini-Kamera. Neuere Modelle sollen noch raffinierter konstruiert sein. bild: krebsonsecurity.com

Wie können sich Bankomat-Nutzer schützen?

Da die Wanzen kaum von blossem Auge zu erkennen sind, wird das Abschirmen der PIN-Code-Eingabe (mit der Hand oder einem Gegenstand) noch wichtiger. Denn nur wenn auch der PIN-Code ergaunert wird, können die Kriminellen später mit den heimlich gescannten Kundendaten Geld abheben.

Das Problem bei den neusten Skimming-Angriffen: Es könnte sein, dass die Kamera sehr nahe bei der Tastatur versteckt ist, was wiederum das Risiko erhöht, ausgespäht zu werden. Gemäss dem NCR-Sicherheitsexperten Charlie Harrow fand man bei manipulierten Geldautomaten zwar ein ultradünnes, in den Schlitz eingeführtes Lesegerät, aber keine Kamera.

Ich dachte, europäische Karten seien sicher?

Europäische Bankkarten – Kreditkarten und Maestro-Karten – sind mit einem integrierten Mikrochip (EMV-Spezifikation) geschützt. Dieser Chip bietet gegenüber dem noch immer vorkommenden Magnetstreifen massive Sicherheitsvorteile. Weil die Daten verschlüsselt gespeichert sind, wird das Kopieren der Karte praktisch verunmöglicht.

Da aber in den USA und weiteren Ländern im asiatisch-pazifischen Raum immer noch Geldautomaten oder Kassen-Terminals auf die Magnetstreifen zugreifen, versuchen die Kriminellen dort ihr Glück. Sprich: Sie verkaufen die gestohlenen Kundendaten an Kollegen in «unsicheren» Ländern. Diese fabrizieren dann gefälschte Bankomat-Karten und versuchen damit, bei alten Automaten Geld abzuheben.

«Während Kartentransaktionen in Europa über den kopiersicheren EMV-Chip abgewickelt werden, ist der Magnetstreifen für internationalen Einsatz der Karte unabdingbar. Er ist und bleibt damit der Schwachpunkt auf der Karte. Solange Länder wie USA oder Russland die Chiptechnologie noch nicht anwenden bzw. auf den Magnetstreifen nicht verzichtet werden kann, wird es weiterhin Skimming-Versuche geben.»

quelle: six payment services

Umso wichtiger wird darum das so genannte Geo-Blocking. Das ist ein Schutzmechanismus, der hierzulande von Six Payment Services vorangetrieben wird. Konkret geht es darum, Bezüge in fremden Ländern im Vornherein zu verunmöglichen.

«Dabei kann die Bank im Auftrag des Karteninhabers den Einsatzbereich jeder einzelnen Karte auf seine Reise- und Nutzungsgewohnheiten abstimmen und die Bezugsmöglichkeit individuell geografisch einschränken. Beispielsweise kann eine Karte für eher unsichere Regionen wie Nord- und Südamerika, Asien oder Afrika gesperrt werden. Für einen Urlaub in diese Regionen kann das Geoblocking vorübergehend aufgehoben werden. Damit wird die Nutzbarkeit der Datensätze nach einer eventuellen Skimming-Attacke deutlich herabgesetzt.»

quelle: six payment services

Der an sich praktische Schutz hat seine Tücken: Bei SRF Online gab es schon 2014 einen Bericht über Maestro-Karten, die wegen Geo-Blocking im Ausland nicht funktionierten.

Wie schlimm ist die Situation in der Schweiz?

Über konkrete Fälle, respektive Opfer, ist nichts bekannt. Auf der Anti-Skimming-Website der Polizei steht dazu nichts.

Laut Brian Krebs sind grundsätzlich alle Hersteller von Geldautomaten betroffen, darunter Unternehmen in der Schweiz, aber auch in folgenden Ländern:

Sind auch Geldautomaten der Post betroffen?

Davon ist auszugehen.

Postfinance-Mediensprecher Johannes Möri schreibt uns, zu Angriffen auf Schweizer Geldautomaten gebe man keine Zahlen bekannt und mache aus sicherheitstechnischen Überlegungen auch keine Angaben zu den Abwehrmassnahmen.

Skimming sei kein neues Phänomen sondern trete ähnlich wie andere Betrugsmuster in regelmässigen Abständen immer wieder auf. «Entsprechend sind wir uns dieser Thematik bewusst – auch in Bezug auf Deep Insert Skimmer.»

«Wir empfehlen unseren Kunden Geoblocking zu aktivieren. Mit diesem Service kann der Bargeldbezug im Ausland mit der PostFinance Card geografisch eingeschränkt werden. Damit wird ein wirksamer Schutz vor Skimming, respektive dem missbräuchlichen Einsatz der Kartendaten erreicht.»

Postfinance-Sprecher Johannes Möri

Weiter ruft der Postfinance-Sprecher folgende allgemeine Vorsichtsmassnahmen in Erinnerung:

Weitere Informationen rund um die Sicherheit von Karten finde man unter www.card-security.ch.

Sind denn die Automaten nicht geschützt? 

Laut Brian Krebs bringen die bisherigen Anti-Skimming-Massnahmen nichts. Die ultradünnen, im Schlitz verborgenen Lesegeräte würden nicht erkannt. Ausserdem verfehlten in die Geldautomaten eingebaute Störsender ihren Zweck, wenn die Wanzen die abgefangenen Informationen nicht via Funk übermitteln, sondern direkt auf einem Chip speichern.

Trotzdem besteht Aussicht auf Besserung: Der Bankomat-Hersteller NCR testet gemäss eigenen Angaben ein Firmware-Update. Die Bankomaten-Software soll damit in der Lage sein, das eingeführte Spionage-Tool zu erkennen.

Grundsätzlich gilt: Bei Geldautomaten, die in gesicherten Räumen stehen und mit Videokameras überwacht werden, dürfte das Skimming-Risiko kleiner sein. Die Gauner dürften die Bankomat-Wanzen eher an kaum kontrollierten Standorten und zum Beispiel bei Billettautomaten einsetzen.

Wer haftet?

Das scheint eine schwierige Frage zu sein...

«Die Frage der Haftung nach einem Kartendelikt kann nicht allgemeingültig beantwortet werden. In der Regel hängt die Haftung von der Art des Vorfalls, dem eigenen Verhalten bzw. Verschulden und dem Kartenvertrag ab. Fest steht grundsätzlich, dass jeder für seine Karte selber verantwortlich ist. Liegt eine Verletzung der Sorgfaltspflicht vor, haftet man in den meisten Fällen selber.»

quelle: stop-skimming.ch

An Geldautomaten lässt sich auch mit Mastercard, Visa oder einer anderen Kreditkarte Geld abheben. watson hat beim Kreditkarten-Aussteller Swisscard nachgefragt, ob Kunden die Sorgfaltspflicht verletzen, wenn sie am Geldautomaten die PIN-Abgabe nicht abschirmen. Die nicht restlos beruhigende Antwort von Mediensprecher Urs Knapp:

Grundsätzlich ist der Kunde für den Schutz seines PIN-Codes vor Ausspähen verantwortlich. Im konkreten Schadenfall muss abgeklärt werden, ob eine Sorgfaltsverletzung vorliegt oder nicht.

Das deutsche Fernsehen berichtete Anfang Jahr über Skimming. Damals war die neue Methode noch nicht bekannt, es gab aber raffinierte Attrappen...

Play Icon

YouTube/marktcheck

Das könnte dich auch interessieren:

Miet-Weihnachtsbäume sind in Hipster-Hochburgen in – doch die Sache hat einen Haken

Link to Article

Knatsch im Bundesrat? Das zähe Ringen um die Schlüsseldepartemente

Link to Article

In diesem Land wohnt nur ein einziger Schweizer. Wir haben mit ihm gesprochen

Link to Article

Welche dieser absolut dämlichen Studien gibt es tatsächlich?

Link to Article

Brennende Leichen und blühender Aberglaube – ein Besuch in Indiens heiligster Stadt

Link to Article

Jetzt ist es da! Das geilste Polizeiauto der Schweiz

Link to Article

Viva la nonna! – weshalb ich mega Fan vom neuen Jamie-Oliver-Buch bin (dazu 5 Rezepte)

Link to Article

Über Zürich fliegen jetzt die Viren-Drohnen

Link to Article

«Meine 20 Jahre ältere Affäre erniedrigt mich»

Link to Article

Diese 13 Bilder zeigen, wieso «Doppeladler» völlig zu Recht das Wort des Jahres ist

Link to Article

Ade Pelz: Schweizer zeigen Canada Goose die kalte Schulter

Link to Article

Doch noch geeinigt! 30 Minuten vor Ablauf der Deadline rief Nylander in Toronto an

Link to Article

Queen Ariana Grande singt sich mit neuem Song auf den YouTube-Thron 👀

Link to Article

11 Dinge, die du schon immer von einem orthodoxen Juden wissen wolltest

Link to Article

So läuft das Weihnachtsessen mit den Arbeitskollegen ab. Immer. Jedes Jahr. Die Timeline

präsentiert vonBrand Logo
Link to Article

Warum die Chinesen die Amerikaner im KI-Wettrennen schlagen werden

Link to Article

Der Super-Beau, der in weniger als 15 Minuten alles verkackt!

Link to Article

Netflix killt die nächste Superhelden-Serie

Link to Article

Die Weihnachtswünsche dieser alten Leute sind so bescheiden, dass es dir das Herz bricht

Link to Article

7 ausgefallene Punsch-Rezepte, die du diesen Winter unbedingt ausprobieren solltest!

präsentiert vonBrand Logo
Link to Article

Herzschmerz pur! 15 Leute erzählen, wie sie vom Seitensprung ihres Partners erfuhren

Link to Article

7 Duschmomente, die uns (vermutlich) allen bekannt vorkommen 

Link to Article

Du regst dich über die Migros-Suppe auf? Dann kennst du diese Gender-Produkte noch nicht!

Link to Article

Wutbürger nehmen Grossrätin wegen Baby ins Visier– und so reagiert der Grossvater 

Link to Article

Nach SBI-Niederlage: Jetzt beginnt der nächste Streit in der Aussenpolitik

Link to Article

Das Sexismus-Dinner des FC Basel sorgt weltweit für Schlagzeilen

Link to Article

«Es war alles ein verdammter Fake»: Schweizer Adoptiveltern packen aus

Link to Article

Führerscheinentzug nach 49 Minuten – so witzelt die Polizei über den «Tagesschnellsten»

Link to Article
Alle Artikel anzeigen

Abonniere unseren Newsletter

31
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
31Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • TheCloud 11.05.2016 19:15
    Highlight Highlight Einfacher aber wirkungsvoller Trick:
    Magnetstreifen mit einem starken Magneten zerstören, dann nützt Skimming nicht mehr und man kann trotzdem bezahlen.
    Bargeldbezug geht nur noch bei den Automaten, die den Chip zur Authentifizierung benutzen, meines Wissens Post, gibt es noch weitere?
    Wäre Froh um input
    • Alnothur 12.05.2016 00:42
      Highlight Highlight Grundsätzlich alle Automaten in der Schweiz. Alternativ auch einfach Geoblocking bei allen Staaten, die noch Magnetstreifen verwenden, aktivieren. Ist bei meiner Bank (BEKB) dankenswerterweise Standard.
  • TheBean 11.05.2016 16:15
    Highlight Highlight Bestellt euch eine V PAY. Ist vom Prinzip das gleiche wie eine Maestro-Karte, allerdings wird der Magnetstreifen nicht mehr benötigt.

    Führt im Ausland zu Problemen, da die Terminals oft nur den Magnetstreifen erkennen. Europaweit funktionierts aber bestens.
  • IchHabeAuchNeMeinung 11.05.2016 15:24
    Highlight Highlight Schon interessant wie die reichste Branche der Welt, welche die besten Mathematiker und Kryptologen beschäftigt es nicht schafft uns endlich eine bessere Lösung als diesen total veralteten PIN zu bieten.
    Kann es sein, dass wir den Banken scheissegal sind..?
    • tomtom1 11.05.2016 15:43
      Highlight Highlight Hast du den Artikel überhaupt gelesen?
    • Pascal Mona 11.05.2016 16:02
      Highlight Highlight Hmmm ob die Bankenbranche reicher als die IT-Branche (wo es ja nie und nimmer Angriffe gibt...) ist, bin ich nicht so sicher. Zudem mit dem angebotenen GeoBlocking gibt es eine Lösung welche das Skimming nutzlos macht (würde es konsequent aktiviert) und in Europa wird ja schon länger auf die sicherere Chip-Technologie gesetzt, wie oben beschrieben sind v.a. die USA Schuld, da man diese nicht einfach unter Druck setzten kann... stell dir vor man würde nun einfach den Magnetstreifen entfernen und niemand könnte mehr in den USA Geld beziehen, das gäbe hier einen viel grösseren Aufschrei!
    • IchHabeAuchNeMeinung 11.05.2016 18:36
      Highlight Highlight Der Punkt ist, dass der Pincode längst überfällig ist, ausserdem lehnt die Bank die voll umfängliche Haftung für ihr Produkt ab. Dass der Benutzer für den Code verantwortlich ist war vor 50 Jahren eine zeitgemässe Einschätzung der Situation, bei der modernen Sicherheitslage ist das schlicht nicht mehr realistisch. Die Bank kann die Sicherheit ihrer Automaten nicht garantieren und schiebt das Risiko einfach auf den Konsument. Und heutzutage eine Offline Lösung zu fordern ist schlicht anachronisch.
    Weitere Antworten anzeigen
  • Dä Brändon 11.05.2016 15:14
    Highlight Highlight Und die EU möchte doch sooo gerne eine bargeldlose Gesellschaft.
    • Olaf44512 11.05.2016 15:29
      Highlight Highlight Das wär dann eben besser weils dann eben keine Geldautomaten mehr gibt. Mann.
    • Pascal Mona 11.05.2016 16:25
      Highlight Highlight Naja Olaf, hast du auch gelesen, das dass Skimming meist nicht an Bancomaten passiert (da überwacht) sondern an SBB-Automaten, Tankautomaten usw. usw.! Also hat där Brändon da schon irgendwo recht! Aber natürlich gibt es bisher und wohl auch in naher Zukunft deutlich mehr Strafdelikte mit Bargeld als mit Buchgeld!
    • Dä Brändon 11.05.2016 16:31
      Highlight Highlight Man muss ich immer genau erkundigen Olaf, einfach drauflos schreiben kann jeder.
  • Human 11.05.2016 15:13
    Highlight Highlight Klar bin ich für meine Bankkarte selbst verantwortlich, aber ich glaub nicht das es die Bank gerne sieht wenn ich erstmal mit einem Schraubenzieher im Schlitz rumstocher um sicher zu gehen ...
    • allesklar 14.07.2016 14:41
      Highlight Highlight ja, das finde ich nämlich den etwas unklaren Bereich in der Haftungsfrage: der Bancomat ist ja eindeutig Eigentum der Bank; dass ich mich um die Geheimhaltung meins PINs kümmern muss geht ja in Ordnung, aber wenn ich die technische Funktion des Bancomaten einschätzen können muss, finde ich das ein bisschen zu viel verlangt. Und der anderswo genannte Vergleich mit dem Auto hinkt: denn das gehört in der Regel mir selbst und daher bin auch dafür verantwortlich.
  • Madison Pierce 11.05.2016 14:58
    Highlight Highlight Kann jemand bestätigen, dass die Bancomaten bei uns nur den Chip lesen und keinen Fehler bringen, wenn kein Magnetstreifen drauf ist?

    Wollte eigentlich schon lange den Magnetstreifen abkratzen, aber hab mich noch nicht getraut.
    • giguu 11.05.2016 15:15
      Highlight Highlight Wollte ich auch gerade fragen! Wäre wirklich interessant zu wissen. Es würde schon reichen mit einem magneten über den streifen zu fahren.
    • IchHabeAuchNeMeinung 11.05.2016 15:20
      Highlight Highlight Wenn du den Magnetstreifen ab machst akzeptieren die Bankomaten deine Karte nicht mehr, nur noch die Zahlungsterminals werden die Karte akzeptieren.
    • Olaf44512 11.05.2016 15:30
      Highlight Highlight Ich hatte mal eine mit defektem Chip. Mit der konnte ich bei Postfinance abheben, bei allen andern jedoch nicht. Weiss aber nicht wie die reagieren wenn nur Chip drauf ist.
    Weitere Antworten anzeigen
  • Tepesch 11.05.2016 14:37
    Highlight Highlight Eigentlich wäre es praktisch, wenn man immer eine Karte mit und eine ohne Magnetstreifen erhalten würde. So könnte man standardmässig immer die ohne verwenden, hätte im Notfall aber noch die andere.
    • sonic 11.05.2016 15:14
      Highlight Highlight @Jaing Du kannst ja alle Länder blockieren, welche du nicht bereist.
    • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 11.05.2016 15:39
      Highlight Highlight Oder was wenn der Magnetstreifen einfach auf der anderen Seite waere....
    • Pascal Mona 11.05.2016 15:53
      Highlight Highlight @Tepesch; grundsätzlich ja eine gute Idee, aber die Frage nach dem Nutzen/Kosten Verhältnis stellt sich da natürlich schon. Ich persönlich würde da keine "grossen" Mehrkosten auf mich nehmen für eine zweite meist "nutzlose" Karte! Zudem gibt es eine Karte ohne Magnetstreifen: VPay!
      @Jaing, also bitte, da wird mit dem GeoBlocking eine effektive Methode angeboten und nur weil du zu faul bist, lehnst du diese einfach kategorisch ab? Ich habe CH + Europa freigeschaltet, somit ist alles "spontane" frei, bei weiten Reisen lasse ich die Karte entsperren, schlimmstenfalls sogar erst nach Reiseantritt!
    Weitere Antworten anzeigen

Kriminelle versenden gefälschte Swisscom-Rechnungen per E-Mail – so erkennst du den Betrug

Eine neue Phishing-Welle grassiert seit heute Mittag in der Schweiz. Die Betrüger fälschen Swisscom-E-Mails, um an Passwörter, Kreditkartendaten etc. ihrer Opfer zu gelangen und somit das Bankkonto leerzuräumen. Das Computer Emergency Response Team des Bundes schreibt auf Twitter:

Der E-Banking-Trojaner Gozi war erstmals 2007 entdeckt worden. Er wird von Internet-Kriminellen immer wieder verändert und per Fake-Mails oder manipulierte Webseiten neu in Umlauf gebracht. Wer in die Falle tappt, …

Artikel lesen
Link to Article