Menü
Security

EMV-Verfahren: PIN-Prüfung von Kreditkarten ausgetrickst

Betrüger haben einen im Jahr 2010 als Proof of Concept vorgeführten Angriff auf die PIN-Prüfung von Kreditkarten ausgebaut und so Transaktionen im Wert von 600.000 Euro getätigt.

Von
vorlesen Drucken Kommentare lesen 85 Beiträge
Kreditkarte

(Bild: Assia Tria, David Naccache, Houda Ferradi, Rémi Géraud)

Mit einem selbst entwickelten Chip sollen Betrüger die Kommunikation zwischen Kreditkarte und Terminal als Man-in-the-Middle beeinflussen können. Im Zuge dessen akzeptieren manipulierte Kreditkarten jede PIN-Eingabe und einer Transaktion steht nichts im Wege.

2010 nutzten die Cambridge-Forscher noch ein sperriges FPGA-Board.

(Bild: Mike Bond, Ross Anderson, Saar Drimer, Steven J. Murdoch, )

Was bereits im Jahr 2010 unter Laborbedingungen mit vielen Gerätschaften funktioniert hat, haben Betrüger nun mit einem Chip, der so groß wie ein Fingernagel ist, realisiert. Dabei verlöten sie ihren Chip mit Original-Chips von geklauten Kreditkarten, erläutern die Forscher Assia Tria, David Naccache, Houda Ferradi und Rémi Géraud in ihrer Untersuchung (PDF-Download).

Der aufgelötete Chip klinkt sich in die Kommunikation zwischen Kreditkarte und Terminal. Dabei versichert der Man-in-the-Middle-Chip dem Chip auf der Kreditkarte, dass sich der Karteninhaber über eine Unterschrift ausgewiesen habe. Dem Terminal gegenüber signalisiert er hingegen, dass die PIN-Prüfung erfolgreich war.

Im Röntgenbild gut zu erkennen: Die Betrüger haben den Original-Chip (grün) mit ihrem Chip (türkis) verlötet.

(Bild: Assia Tria, David Naccache, Houda Ferradi, Rémi Géraud)

Anders als vielfach angenommen, hat die PIN nur die Aufgabe die Identität des Karteninhabers zu prüfen (cardholder verification); in die eigentliche Transaktion fließt sie nicht ein. Aus Gründen der Rückwärtskompatibilität reicht EMV jedoch auch eine cardholder verification via Unterschrift. Details zum Angriff beschreibt die heise-online-Meldung "PIN-Prüfung im EMV-Verfahren bei EC-und Kreditkarten ausgehebelt".

Die Betrügereien fanden bereits im Jahr 2011 in Belgien statt. Mittlerweile sollen fünf Mitglieder der Betrüger-Gruppe festgenommen worden sein.

Den Forschern zufolge gelten die gestohlenen Kreditkarten noch als Beweisstücke und sie konnten die Karten nicht direkt untersuchen. Bei Ihren Ergebnissen beziehen sie sich auf Röntgenaufnahmen der verlöteten Chips und stützen ihre Aussagen mit Erkenntnissen über die elektrische Leistungsabgabe der Chips im Zuge einer Transaktion.

Durch die Verlötung der beiden Chips soll die Dicke der Kreditkarte Tria et al. zufolge von 0,4 Millimetern (mm) auf 0,7 mm anwachsen. Dementsprechend lassen sich manipulierte Karten etwas schwerer in Kartenschlitze schieben; die Funktionsweise ist aber nicht beeinträchtigt, erklären die Forscher. (des)