Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bankomat Geldbezug EC-Karte

Kein verdächtig wackelnder Aufsatz, doch der Bankomat könnte trotzdem präpariert sein.  bild: shutterstock

Neue Gefahr für Bank- und Kreditkarten-Nutzer: Das musst du über Deep Insert Skimming wissen

Die Schweiz ist von raffinierten Skimming-Angriffen betroffen. Die neuste Generation von Bankomat-Wanzen ist dünn wie ein Rasiermesser und darum kaum zu erkennen. Und auch die Haftungsfrage scheint nicht geklärt.

11.05.16, 14:27 12.05.16, 09:27


Nicht nur die Smartphones werden immer dünner, sondern auch die Hardware von Kriminellen. Schweizer Unternehmen und ihre Kunden, die Geld vom Bankomaten beziehen oder mit der Karte am Automaten bezahlen, sehen sich mit einer neuen Gefahr konfrontiert. Im Schlitz, in den die Debitkarte oder Kreditkarte eingeführt wird, könnte ein ultradünner Scanner verborgen sein.

Das heimliche Auslesen der auf dem Magnetstreifen gespeicherten Kundendaten – kombiniert mit dem Erfassen des PIN-Codes – bezeichnen Fachleute als Skimming.

Der amerikanische IT-Sicherheitsexperte und Blogger Brian Krebs berichtet in einem aktuellen Beitrag über die kaum auffindbaren Bankomat-Wanzen. Er beruft sich auf ein Schreiben des international tätigen Geldautomaten-Herstellers NCR, das an Finanzinstitute ging sowie auf eigene Recherchen.

Hier sind die wichtigsten Fragen und Antworten:

Wie funktioniert die Angriffsmethode?

Neu ist die Angriffsmethode nicht. Doch werden die Kriminellen dank Miniaturisierung wieder erfolgreicher, nachdem es 2014 noch geheissen hatte, Skimming sei im Rückgang.

Fachleute sprechen nun von Deep Insert Skimming.

«Kriminelle schieben die aus einem dünnen Metallblättchen, Lesegerät und Speicherchip sowie dünner Batterie bestehenden Geräte direkt in den Kartenschlitz, wo sie die Kartendaten aufzeichnen. In Kombination mit einer versteckten Kamera, die bei der Bankomat-Nutzung den PIN-Code abgreift, bekommen sie so alles, was sie zum Beheben (sic!) von fremden Konten brauchen.»

quelle: heise.de

Sichergestellte Bankomat-Wanzen mit flacher Batterie und Mini-Kamera. Neuere Modelle sollen noch raffinierter konstruiert sein. bild: krebsonsecurity.com

Wie können sich Bankomat-Nutzer schützen?

Da die Wanzen kaum von blossem Auge zu erkennen sind, wird das Abschirmen der PIN-Code-Eingabe (mit der Hand oder einem Gegenstand) noch wichtiger. Denn nur wenn auch der PIN-Code ergaunert wird, können die Kriminellen später mit den heimlich gescannten Kundendaten Geld abheben.

Das Problem bei den neusten Skimming-Angriffen: Es könnte sein, dass die Kamera sehr nahe bei der Tastatur versteckt ist, was wiederum das Risiko erhöht, ausgespäht zu werden. Gemäss dem NCR-Sicherheitsexperten Charlie Harrow fand man bei manipulierten Geldautomaten zwar ein ultradünnes, in den Schlitz eingeführtes Lesegerät, aber keine Kamera.

Ich dachte, europäische Karten seien sicher?

Europäische Bankkarten – Kreditkarten und Maestro-Karten – sind mit einem integrierten Mikrochip (EMV-Spezifikation) geschützt. Dieser Chip bietet gegenüber dem noch immer vorkommenden Magnetstreifen massive Sicherheitsvorteile. Weil die Daten verschlüsselt gespeichert sind, wird das Kopieren der Karte praktisch verunmöglicht.

Da aber in den USA und weiteren Ländern im asiatisch-pazifischen Raum immer noch Geldautomaten oder Kassen-Terminals auf die Magnetstreifen zugreifen, versuchen die Kriminellen dort ihr Glück. Sprich: Sie verkaufen die gestohlenen Kundendaten an Kollegen in «unsicheren» Ländern. Diese fabrizieren dann gefälschte Bankomat-Karten und versuchen damit, bei alten Automaten Geld abzuheben.

«Während Kartentransaktionen in Europa über den kopiersicheren EMV-Chip abgewickelt werden, ist der Magnetstreifen für internationalen Einsatz der Karte unabdingbar. Er ist und bleibt damit der Schwachpunkt auf der Karte. Solange Länder wie USA oder Russland die Chiptechnologie noch nicht anwenden bzw. auf den Magnetstreifen nicht verzichtet werden kann, wird es weiterhin Skimming-Versuche geben.»

quelle: six payment services

Umso wichtiger wird darum das so genannte Geo-Blocking. Das ist ein Schutzmechanismus, der hierzulande von Six Payment Services vorangetrieben wird. Konkret geht es darum, Bezüge in fremden Ländern im Vornherein zu verunmöglichen.

«Dabei kann die Bank im Auftrag des Karteninhabers den Einsatzbereich jeder einzelnen Karte auf seine Reise- und Nutzungsgewohnheiten abstimmen und die Bezugsmöglichkeit individuell geografisch einschränken. Beispielsweise kann eine Karte für eher unsichere Regionen wie Nord- und Südamerika, Asien oder Afrika gesperrt werden. Für einen Urlaub in diese Regionen kann das Geoblocking vorübergehend aufgehoben werden. Damit wird die Nutzbarkeit der Datensätze nach einer eventuellen Skimming-Attacke deutlich herabgesetzt.»

quelle: six payment services

Der an sich praktische Schutz hat seine Tücken: Bei SRF Online gab es schon 2014 einen Bericht über Maestro-Karten, die wegen Geo-Blocking im Ausland nicht funktionierten.

Wie schlimm ist die Situation in der Schweiz?

Über konkrete Fälle, respektive Opfer, ist nichts bekannt. Auf der Anti-Skimming-Website der Polizei steht dazu nichts.

Laut Brian Krebs sind grundsätzlich alle Hersteller von Geldautomaten betroffen, darunter Unternehmen in der Schweiz, aber auch in folgenden Ländern:

Sind auch Geldautomaten der Post betroffen?

Davon ist auszugehen.

Postfinance-Mediensprecher Johannes Möri schreibt uns, zu Angriffen auf Schweizer Geldautomaten gebe man keine Zahlen bekannt und mache aus sicherheitstechnischen Überlegungen auch keine Angaben zu den Abwehrmassnahmen.

Skimming sei kein neues Phänomen sondern trete ähnlich wie andere Betrugsmuster in regelmässigen Abständen immer wieder auf. «Entsprechend sind wir uns dieser Thematik bewusst – auch in Bezug auf Deep Insert Skimmer.»

«Wir empfehlen unseren Kunden Geoblocking zu aktivieren. Mit diesem Service kann der Bargeldbezug im Ausland mit der PostFinance Card geografisch eingeschränkt werden. Damit wird ein wirksamer Schutz vor Skimming, respektive dem missbräuchlichen Einsatz der Kartendaten erreicht.»

Postfinance-Sprecher Johannes Möri

Weiter ruft der Postfinance-Sprecher folgende allgemeine Vorsichtsmassnahmen in Erinnerung:

Weitere Informationen rund um die Sicherheit von Karten finde man unter www.card-security.ch.

Sind denn die Automaten nicht geschützt? 

Laut Brian Krebs bringen die bisherigen Anti-Skimming-Massnahmen nichts. Die ultradünnen, im Schlitz verborgenen Lesegeräte würden nicht erkannt. Ausserdem verfehlten in die Geldautomaten eingebaute Störsender ihren Zweck, wenn die Wanzen die abgefangenen Informationen nicht via Funk übermitteln, sondern direkt auf einem Chip speichern.

Trotzdem besteht Aussicht auf Besserung: Der Bankomat-Hersteller NCR testet gemäss eigenen Angaben ein Firmware-Update. Die Bankomaten-Software soll damit in der Lage sein, das eingeführte Spionage-Tool zu erkennen.

Grundsätzlich gilt: Bei Geldautomaten, die in gesicherten Räumen stehen und mit Videokameras überwacht werden, dürfte das Skimming-Risiko kleiner sein. Die Gauner dürften die Bankomat-Wanzen eher an kaum kontrollierten Standorten und zum Beispiel bei Billettautomaten einsetzen.

Wer haftet?

Das scheint eine schwierige Frage zu sein...

«Die Frage der Haftung nach einem Kartendelikt kann nicht allgemeingültig beantwortet werden. In der Regel hängt die Haftung von der Art des Vorfalls, dem eigenen Verhalten bzw. Verschulden und dem Kartenvertrag ab. Fest steht grundsätzlich, dass jeder für seine Karte selber verantwortlich ist. Liegt eine Verletzung der Sorgfaltspflicht vor, haftet man in den meisten Fällen selber.»

quelle: stop-skimming.ch

An Geldautomaten lässt sich auch mit Mastercard, Visa oder einer anderen Kreditkarte Geld abheben. watson hat beim Kreditkarten-Aussteller Swisscard nachgefragt, ob Kunden die Sorgfaltspflicht verletzen, wenn sie am Geldautomaten die PIN-Abgabe nicht abschirmen. Die nicht restlos beruhigende Antwort von Mediensprecher Urs Knapp:

Grundsätzlich ist der Kunde für den Schutz seines PIN-Codes vor Ausspähen verantwortlich. Im konkreten Schadenfall muss abgeklärt werden, ob eine Sorgfaltsverletzung vorliegt oder nicht.

Das deutsche Fernsehen berichtete Anfang Jahr über Skimming. Damals war die neue Methode noch nicht bekannt, es gab aber raffinierte Attrappen...

YouTube/marktcheck

Das könnte dich auch interessieren:

Diese Frauen haben etwas zu sagen – und der SVP wird dies nicht gefallen

Wieso, verdammt, find ich mich ein Leben lang hässlich?

«Dünne Menschen sind Arschlöcher»

Jetzt kommt das Gratis-Internet in den Zügen – es sei denn, du bist Swisscom-Kunde

In der Schweiz leben 2 Millionen Ausländer – aber aus diesen 3 Ländern ist kein einziger

Norilsk no fun? «Im Gegenteil», sagt Fotografin Elena Chernyshova

Wenn Instagram-Posts ehrlich wären – in 7 Grafiken

Wir haben Schweizer Eishockey-Stars verunstaltet – erkennst du sie trotzdem?

Ist Trump nun ein Faschist oder nicht?

Die 7 schlimmsten Momente, die du an einer Prüfung erleben kannst

Die Grünen sind die unverbrauchten Linken

Norilsk – no fun. Das ist Russlands härteste Stadt

«In einer idealen Welt wären Solarien verboten»

Diese Nachricht lässt jede Playstation 4 sofort abstürzen – so schützt du dich

Alle Artikel anzeigen

Abonniere unseren Daily Newsletter

31
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
31Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • TheCloud 11.05.2016 19:15
    Highlight Einfacher aber wirkungsvoller Trick:
    Magnetstreifen mit einem starken Magneten zerstören, dann nützt Skimming nicht mehr und man kann trotzdem bezahlen.
    Bargeldbezug geht nur noch bei den Automaten, die den Chip zur Authentifizierung benutzen, meines Wissens Post, gibt es noch weitere?
    Wäre Froh um input
    4 8 Melden
    • Alnothur 12.05.2016 00:42
      Highlight Grundsätzlich alle Automaten in der Schweiz. Alternativ auch einfach Geoblocking bei allen Staaten, die noch Magnetstreifen verwenden, aktivieren. Ist bei meiner Bank (BEKB) dankenswerterweise Standard.
      5 0 Melden
  • TheBean 11.05.2016 16:15
    Highlight Bestellt euch eine V PAY. Ist vom Prinzip das gleiche wie eine Maestro-Karte, allerdings wird der Magnetstreifen nicht mehr benötigt.

    Führt im Ausland zu Problemen, da die Terminals oft nur den Magnetstreifen erkennen. Europaweit funktionierts aber bestens.
    20 1 Melden
  • IchHabeAuchNeMeinung 11.05.2016 15:24
    Highlight Schon interessant wie die reichste Branche der Welt, welche die besten Mathematiker und Kryptologen beschäftigt es nicht schafft uns endlich eine bessere Lösung als diesen total veralteten PIN zu bieten.
    Kann es sein, dass wir den Banken scheissegal sind..?
    44 27 Melden
    • tomtom1 11.05.2016 15:43
      Highlight Hast du den Artikel überhaupt gelesen?
      44 6 Melden
    • Pascal Mona 11.05.2016 16:02
      Highlight Hmmm ob die Bankenbranche reicher als die IT-Branche (wo es ja nie und nimmer Angriffe gibt...) ist, bin ich nicht so sicher. Zudem mit dem angebotenen GeoBlocking gibt es eine Lösung welche das Skimming nutzlos macht (würde es konsequent aktiviert) und in Europa wird ja schon länger auf die sicherere Chip-Technologie gesetzt, wie oben beschrieben sind v.a. die USA Schuld, da man diese nicht einfach unter Druck setzten kann... stell dir vor man würde nun einfach den Magnetstreifen entfernen und niemand könnte mehr in den USA Geld beziehen, das gäbe hier einen viel grösseren Aufschrei!
      26 4 Melden
    • IchHabeAuchNeMeinung 11.05.2016 18:36
      Highlight Der Punkt ist, dass der Pincode längst überfällig ist, ausserdem lehnt die Bank die voll umfängliche Haftung für ihr Produkt ab. Dass der Benutzer für den Code verantwortlich ist war vor 50 Jahren eine zeitgemässe Einschätzung der Situation, bei der modernen Sicherheitslage ist das schlicht nicht mehr realistisch. Die Bank kann die Sicherheit ihrer Automaten nicht garantieren und schiebt das Risiko einfach auf den Konsument. Und heutzutage eine Offline Lösung zu fordern ist schlicht anachronisch.
      11 12 Melden
    Weitere Antworten anzeigen
  • Dä Brändon 11.05.2016 15:14
    Highlight Und die EU möchte doch sooo gerne eine bargeldlose Gesellschaft.
    39 26 Melden
    • Olaf44512 11.05.2016 15:29
      Highlight Das wär dann eben besser weils dann eben keine Geldautomaten mehr gibt. Mann.
      32 37 Melden
    • Pascal Mona 11.05.2016 16:25
      Highlight Naja Olaf, hast du auch gelesen, das dass Skimming meist nicht an Bancomaten passiert (da überwacht) sondern an SBB-Automaten, Tankautomaten usw. usw.! Also hat där Brändon da schon irgendwo recht! Aber natürlich gibt es bisher und wohl auch in naher Zukunft deutlich mehr Strafdelikte mit Bargeld als mit Buchgeld!
      31 5 Melden
    • Dä Brändon 11.05.2016 16:31
      Highlight Man muss ich immer genau erkundigen Olaf, einfach drauflos schreiben kann jeder.
      16 7 Melden
  • Human 11.05.2016 15:13
    Highlight Klar bin ich für meine Bankkarte selbst verantwortlich, aber ich glaub nicht das es die Bank gerne sieht wenn ich erstmal mit einem Schraubenzieher im Schlitz rumstocher um sicher zu gehen ...
    91 1 Melden
    • allesklar 14.07.2016 14:41
      Highlight ja, das finde ich nämlich den etwas unklaren Bereich in der Haftungsfrage: der Bancomat ist ja eindeutig Eigentum der Bank; dass ich mich um die Geheimhaltung meins PINs kümmern muss geht ja in Ordnung, aber wenn ich die technische Funktion des Bancomaten einschätzen können muss, finde ich das ein bisschen zu viel verlangt. Und der anderswo genannte Vergleich mit dem Auto hinkt: denn das gehört in der Regel mir selbst und daher bin auch dafür verantwortlich.
      1 0 Melden
  • Madison Pierce 11.05.2016 14:58
    Highlight Kann jemand bestätigen, dass die Bancomaten bei uns nur den Chip lesen und keinen Fehler bringen, wenn kein Magnetstreifen drauf ist?

    Wollte eigentlich schon lange den Magnetstreifen abkratzen, aber hab mich noch nicht getraut.
    24 1 Melden
    • giguu 11.05.2016 15:15
      Highlight Wollte ich auch gerade fragen! Wäre wirklich interessant zu wissen. Es würde schon reichen mit einem magneten über den streifen zu fahren.
      10 0 Melden
    • IchHabeAuchNeMeinung 11.05.2016 15:20
      Highlight Wenn du den Magnetstreifen ab machst akzeptieren die Bankomaten deine Karte nicht mehr, nur noch die Zahlungsterminals werden die Karte akzeptieren.
      9 2 Melden
    • Olaf44512 11.05.2016 15:30
      Highlight Ich hatte mal eine mit defektem Chip. Mit der konnte ich bei Postfinance abheben, bei allen andern jedoch nicht. Weiss aber nicht wie die reagieren wenn nur Chip drauf ist.
      6 0 Melden
    Weitere Antworten anzeigen
  • Tepesch 11.05.2016 14:37
    Highlight Eigentlich wäre es praktisch, wenn man immer eine Karte mit und eine ohne Magnetstreifen erhalten würde. So könnte man standardmässig immer die ohne verwenden, hätte im Notfall aber noch die andere.
    63 1 Melden
    • sonic 11.05.2016 15:14
      Highlight @Jaing Du kannst ja alle Länder blockieren, welche du nicht bereist.
      19 4 Melden
    • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 11.05.2016 15:39
      Highlight Oder was wenn der Magnetstreifen einfach auf der anderen Seite waere....
      1 11 Melden
    • Pascal Mona 11.05.2016 15:53
      Highlight @Tepesch; grundsätzlich ja eine gute Idee, aber die Frage nach dem Nutzen/Kosten Verhältnis stellt sich da natürlich schon. Ich persönlich würde da keine "grossen" Mehrkosten auf mich nehmen für eine zweite meist "nutzlose" Karte! Zudem gibt es eine Karte ohne Magnetstreifen: VPay!
      @Jaing, also bitte, da wird mit dem GeoBlocking eine effektive Methode angeboten und nur weil du zu faul bist, lehnst du diese einfach kategorisch ab? Ich habe CH + Europa freigeschaltet, somit ist alles "spontane" frei, bei weiten Reisen lasse ich die Karte entsperren, schlimmstenfalls sogar erst nach Reiseantritt!
      14 1 Melden
    Weitere Antworten anzeigen

Tausende Schweizer fallen gerade auf diesen Facebook-Betrug herein – das steckt dahinter

Seit einigen Wochen grassiert im deutschsprachigen Raum eine regelrechte Welle an Fake-Gewinnspielen. Auf Facebook gebe es so viele betrügerische Gewinnspiele «wie noch nie», schreibt das auf Online-Betrug spezialisierte Portal Mimikama.

Betrüger machen im Namen bekannter Marken wie Aldi, MediaMarkt oder Ikea mit vermeintlichen Verlosungen gezielt Jagd auf Postadressen, E-Mail-Adressen und Telefonnummern von Facebook-Nutzern. 

Obwohl die Masche alt ist, fallen im Moment wieder …

Artikel lesen