Menü
Security

c't deckt auf: Kreditkarten-Betrug trotz Chip+PIN

Kreditkarten-Betrüger gehen mit geklonten Karten auf Raubzüge in europäischen Großstädten – trotz Chip und mit beliebiger PIN. c't analysierte exklusiv die Tricks der Betrüger, sowie die eingesetzte Software und fand auch das verantwortliche Problem.

Von
vorlesen Drucken Kommentare lesen 281 Beiträge
c't deckt auf: Kreditkarten-Betrug trotz Chip+PIN

Chip-Karten gelten eigentlich als weitgehend fälschungssicher. Doch c't enthüllt in der aktuellen Ausgabe, dass Betrügerbanden bereits mit geklonten Kreditkarten auf Raubzug gehen – auch hier in Europa beziehungsweise Deutschland. Sie nutzen dazu gestohlene Kreditkarten-Datensätze etwa aus dem Target-Hack; die PIN können sie frei wählen. In Zusammenarbeit mit der Zeit gelang es c't, erstmals die zum Klonen eingesetzte Software zu analysieren und die ausgenutzten Probleme des Bezahlstandards EMV aufzudecken.

Es gab bereits einige Berichte zu offenbar gefälschten EMV-Transaktionen vor allem in den USA und Brasilien. Allerdings konnten diese lediglich Vermutungen anstellen, wie das trotz des eigentlich sicheren Chip+PIN-Konzepts funktioniert haben könnte. Mit Hilfe von exklusiven Informationen eines Informanten aus der Carder-Szene konnten c't und Die Zeit diese Lücke füllen und die vermutlich auch dort eingesetzten Werkzeuge analysieren.

Kreditkarten-Betrug (8 Bilder)

Gefälschte EMV-Kreditkarte

Die gefälschten Kreditkarten unterscheiden sich kaum von echten.
(Bild: Bundeskriminalamt)

Die Software zum Fälschen von EMV-Karten wird seit etwa einem Jahr für über 20.000 Euro im Untergrund gehandelt. Sie beschreibt problemlos im Internet erhältliche Java-Smartcards mit einer App namens MacGyver und einigen zusätzlichen Daten. Für das richtige Aussehen sorgen Drucker und Prägemaschinen, so dass man schon recht genau wissen muss, auf was zu achten ist, um die Karten noch als Fälschung zu entlarven.

Die MacGyver-App gibt sich gegenüber Bezahlterminals als Visa-, Mastercard- oder American-Express-App aus. Sie akzeptiert bei einem Bezahlvorgang beliebige PINs wie "0000". Die Transaktion erfolgt dann im Online-Modus als Static Data Authentication (SDA) des EMV-Standards. Bei diesem Vorgang werden kryptographisch gesicherte Informationen zur Transaktion als so genanntes Authorization Request Cryptogram (ARQC) an den Herausgeber der Karte gesendet.

Die Analysen von c't ergaben, dass MacGyver keine validen ARCQs erzeugen kann. Doch eine Reihe von Banken sparen sich offenbar die aufwendige Prüfung der kryptographisch gesicherten Informationen und autorisieren die Transaktion lediglich auf Grund der ungesicherten Daten – also analog zu einer Zahlung, die nur über den Magnetstreifen abgewickelt wird. Das betrifft vor allem Banken in Ländern, die EMV und Chip+PIN jetzt erst einführen; also vor allem Institute in Asien, Süd- und US-Amerika.

IT-Experten eines großen deutschen Finanzdienstleistungs-Rechenzentrums bestätigten gegenüber c't, dass die MacGyver-Transaktionen wohl durchgehen würden, wenn die herausgebende Bank die verfügbaren Informationen nicht ausreichend prüft. Das sei aber bei ihnen und mit ziemlicher Sicherheit auch bei anderen deutschen Kreditkarten-Herausgebern nicht der Fall. Besitzer deutscher Kredit- oder gar EC-Karten kann MacGyver also wahrscheinlich nichts anhaben.

nachgehakt: Hintergrundinformationen zum Kreditkarten-Betrug

Mit den Erkenntnissen zum Kreditkartenmissbrauch trotz Chip+PIN konfrontiert, bestätigte uns auch das BKA dass der geschilderte Sachverhalt "bereits seit dem 1. Halbjahr 2015 bekannt" sei. Mehr noch: "Mehrere nach der beschriebenen Vorgehensweise hergestellte, ausländische Kreditkarten wurden zwischenzeitlich beim BKA begutachtet." Auch die Analyse der c't teilen die BKA-Experten für die Bekämpfung der Zahlungskartenkriminalität in der Gruppe Cybercrime: "Diese Art des Angriffs auf das EMV-System konnte nur erfolgreich verlaufen, weil die Echtheitsprüfung der Karten nicht regelkonform erfolgte. Auch wenn dem BKA bisher nur Fälle mit ausländischen Kartendaten bekannt wurden, sollten alle beteiligten deutschen Stellen sicherstellen, dass eine regelkonforme Prüfung ihrer Karten- bzw. Kartendaten erfolgt."

Mehr zu MacGyver, dem Informanten Alexander und den Tricks seiner Gang finden Sie hier:

Oder ab Donnerstag, den 28.1. in Die Zeit sowie in der c't 3/16. Die ist ab Freitag digital in der c't-App für Android und iOS verfügbar und liegt ab Samstag am Kiosk aus. (ju)