Schutzmechanismus von EC-Karten ausgehebelt - Bezahlen ohne PIN
Britischen Forschern der Cambridge Universität ist es nach eigenen Angaben gelungen, den Schutzmechanismus von EC- und Kreditkarten auszuhebeln.
Nach einem Bericht des Branchendienstes "The Register" am Freitag ermöglicht das Verfahren eine Zahlungsauthorisation, ohne eine gültige PIN einzugeben. Tatsächlich ist eine beliebige vierstellige Zahlenkombination möglich: Der Hack wird
Technologisch gaukelten die Forscher der Karte eine Transaktion per legitimierter Unterschrift vor, obwohl eigentlich die Angabe einer PIN erforderlich wäre. Ironischerweise hebelt das Verfahren das moderne EMV-Verfahren aus, das nicht mehr auf einen Magnetstreifen, sondern einen Sicherheits-Chip setzt. EMV steht für Europay International, MasterCard und Visa.
Nach Angaben des "Register" klappt die Attacke nicht bei Geldautomaten - denn dort ist immer eine PIN-Eingabe erforderlich, die von einem zentralen Server authorisiert wird. Auch gesperrte EC- oder Kreditkarten sind offenbar nicht mehr angreifbar. Der Hack scheint für alle EMV-Zahlungsmittel gültig - nicht nur in England, sondern wohl auch in anderen europäischen Staaten wie Deutschland. Die Sicherheitsspezialisten Steven J. Murdoch, Saar Drimer, Ross Anderson und Mike Bond haben den Angriff veröffentlicht. Das Verfahren könnte Fälle aus der Vergangenheit erklären, bei denen betrogene EC-Kartenbenutzer abgezockt wurden, obwohl die PIN gar nicht bekannt war. Verbraucherschützer berichteten von Fällen, in denen die vierstelligen Nummern noch in verschlossenen Umschlägen aufbewahrt wurden. Die Kreditinstitute halten EMV für sicher.
Quelle magnus.de
Britischen Forschern der Cambridge Universität ist es nach eigenen Angaben gelungen, den Schutzmechanismus von EC- und Kreditkarten auszuhebeln.
Nach einem Bericht des Branchendienstes "The Register" am Freitag ermöglicht das Verfahren eine Zahlungsauthorisation, ohne eine gültige PIN einzugeben. Tatsächlich ist eine beliebige vierstellige Zahlenkombination möglich: Der Hack wird
Sie müssen registriert sein, um Links zu sehen.
ausführlich beschrieben und basiert auf einer Man-in-the-Middle-Attacke. Dabei werden die Daten zwischen Karte und Lesegerät ausgewertet. Technologisch gaukelten die Forscher der Karte eine Transaktion per legitimierter Unterschrift vor, obwohl eigentlich die Angabe einer PIN erforderlich wäre. Ironischerweise hebelt das Verfahren das moderne EMV-Verfahren aus, das nicht mehr auf einen Magnetstreifen, sondern einen Sicherheits-Chip setzt. EMV steht für Europay International, MasterCard und Visa.
Nach Angaben des "Register" klappt die Attacke nicht bei Geldautomaten - denn dort ist immer eine PIN-Eingabe erforderlich, die von einem zentralen Server authorisiert wird. Auch gesperrte EC- oder Kreditkarten sind offenbar nicht mehr angreifbar. Der Hack scheint für alle EMV-Zahlungsmittel gültig - nicht nur in England, sondern wohl auch in anderen europäischen Staaten wie Deutschland. Die Sicherheitsspezialisten Steven J. Murdoch, Saar Drimer, Ross Anderson und Mike Bond haben den Angriff veröffentlicht. Das Verfahren könnte Fälle aus der Vergangenheit erklären, bei denen betrogene EC-Kartenbenutzer abgezockt wurden, obwohl die PIN gar nicht bekannt war. Verbraucherschützer berichteten von Fällen, in denen die vierstelligen Nummern noch in verschlossenen Umschlägen aufbewahrt wurden. Die Kreditinstitute halten EMV für sicher.
Quelle magnus.de