Bezahlung mit EC und VISA ohne PIN möglich
Schon wieder sind die Banken und Sparkassen unter Zugzwang. Studenten der Universität Cambridge demonstrieren, wie man ohne Kenntnis der PIN und ohne Unterschrift eine autorisierte Abbuchung hinlegt. Ausgenutzt wurde ein Fehler im EMV-Protokoll.
Es gibt Kreditkartenopfer, die gegenüber ihrer Bank behaupten, dass sie selbst noch gar nicht ihre PIN kennen, weil der Umschlag noch versiegelt zu Hause liegt. Andere meinten, die PIN könne kein anderer kennen, weil sie sich die Nummer nur im Kopf merkten und die PIN nirgendwo in Schriftform existiere. Oft wurde ihnen unterstellt, dass sie grob fahrlässig gehandelt oder gar gelogen haben. Erstattet wurde dann der Schaden meistens nicht. Forscher von der University of Cambridge zeigen, dass solche Fälle durchaus vorkommen können.
Bei Zahlung mit EC identifiziert sich der Verkäufer vorzugsweise mit dem Chip seiner Karte und einer gültigen PIN. Doch die PIN braucht man gar nicht mehr -- es reicht eine x-beliebige, wenn man eine so genannte "Man-in-the-Middle"-Attacke ausübt. Mit relativ einfachen Manipulationsmaßnahmen muss man dafür das Terminal (Kartenleser) vorgaukeln, dass die getippte PIN korrekt verifiziert wurde. Der Bank, mit der das Terminal online in Verbindung steht, muss ferner mitgeteilt werden, dass gerade keine PIN eingegeben wurde. Der Rest wird über Sicherheitsmängel im EMV-Übertragungsprotokoll erledigt. Letztendlich wird das Geld vom Konto des Kunden abgebucht und landet als gültige Transaktion beim Betrüger.
EMV steht übrigens als Akronym für EC, Mastercard und Visa. Einsetzt wird das Protokoll primär in Europa und Nordamerika für 730 Millionen Karten im Umlauf. Die Autoren zeigen in ihrem PDF sehr detailliert die Sicherheitsmängel des EMV-Protokolls auf und werfen der Bankenindustrie vor, an dem 10 Jahre alten Protokoll keine ausreichenden Verbesserungen vorgenommen zu haben. Mehr dazu im 13-seitigen Pamphlet - siehe Quellenangabe.
- Security,
- Skimming ,
- EMV ,
- Kreditkarten ,
- Hack ,
- ohne-PIN-bezahlen
- Lancool K62 Midi-Tower - Red Dragon Edition
- LaCie Rugged eSATA Festplatte
- Tipp: Command & Conquer - Tiberian Sun gratis
- Aldi-Notebook mit Core i3 und Optimus
- Samsung: Neue EcoGreen HDDs mit bis zu 2 TB
- Schnäppchencheck: Dell Studio XPS8100
- Ausgezeichnetes Design, lange Laufzeit - MSI Wind U160
- Garmins nüvifone kommt nach Deutschland
- Studentenroboter von Intel auserkoren
- KeySonic-Tastaturen mit Anti-Ghosting-Funktion
- Skype jetzt auch für Symbian-Handys
- Panel-PC von Comp-Wall mit Multi-Touch
- HTC: Neue Android-Phones, verbessertes Sense-UI
- This is it: Festplatte mit Jackson-Film
- Acer 532g: ION-2-Netbook mit Optimus
- Bald neue, schnellere Vierkern-Athlons von AMD
- ASUS Home Server mit Atom N280
- HTC Smart für O2 ab April
jaja der mike wiedermal
Mit einer Bezeichnung wie EMV sollte man bei so einem Thema vorsichtig sein. In der E-Technik steht dieses Kürzel für "Elektromagentische Verträglichkeit" und nicht für EC, Mastercard und Visa.
Überfliegt man den Text ohne diese tolle Erklärung könnte man raus lesen das durch fehlerhafte Überladungen oder Entladungen die PIN zu umgehen ist.
Also lieber die Kartennamen ausschreiben bevor Gerüchte entstehen.
Hallo smallant,
das Protokoll heißt nun mal EMV. Im Text steht EMV nicht freistehend, sondern immer gefolgt von "Protokoll". Zusätzlich ist das Akronym "EMV" in der News erklärt. Das erachte ich als ausreichend.
Gruß Uwe
ah ja was ist heut zu tage noch sicher, so lange man seine ec karte nur an seriöse orte benutzt passiert schon nix, man sollte auch keinen ec automaten benutzen der irgent wo in der pampa liegt :-) ah und noch was keine millionen aufs girokonto lassen dann kann auch nix passieren :-)
aso wenn aber jemand nen hunderter von deim konto bucht stört es dich nicht?
Aber was ich nicht verstehe. Es gibt doch immernoch viele Läden bei dennen EC-Karte + Unterschrift reicht. Dabei ensteht ja auch eine gültige Transaktion, auch ohne das die Unterschrift geprüft wird!
Die Methode EC-Karte + Unterschrift funktioniert i.d.R. nur bei Kleinbeträgen. Per Zufallsgenerator kann aber auch die PIN verlangt werden.
ah ja was ist heut zu tage noch sicher, so lange man seine ec karte nur an seriöse orte benutzt passiert schon nix, man sollte auch keinen ec automaten benutzen der irgent wo in der pampa liegt :-) ah und noch was keine millionen aufs girokonto lassen dann kann auch nix passieren :-)
genau wenn man schon so viel kohle hat das sich solch eine sache als verlust herrausstellen würde dann doch lieber wie oma das bare inne socke in der matratze verschwinden lassen und und wie ich nen schwert hinter der wohnungstür
Ist mir beim Einkauf noch nie passiert, dass der Verkäufer seine Karte zieht ;-)
Ich denke aber das ganze ist nicht ganz Praxisnah. Der Verkäufer benötigt bei EMV ein entsprechendes Zertifikat. Somit lässt sich der Betrüger recht leicht identifizieren.
@larry
da diese aber gestohlen werden können, reicht das eben nicht mehr, da gerade über Sonn und Feiertage viele Geschäfte geschlossen sind und einen solchen Verlust eventuell nicht mal melden können. Desweiteren kann man diese Geräte bestimmt auch "kopieren" ist ja auch nur Software drauf die alles steuert.
Grundregel Nummer 1:
Die Karte nicht aus der Hand geben oder den Kassierenden bitten, vor Ort zu bleiben (die meisten seriösen Geschäfte sind mit mobilen Kartenlesern ausgestattet oder haben diese im öffentlichen bereich des Geschäfts plaziert, sodass der Kunde jederzeit auf das Gerät und/oder die Karte bzw. den Kassierenden sehen kann!)
Grundregel Nummer 2:
Speziell bei Kreditkartenabrechnungen die Posten kontrollieren und unstimmige Buchungen allenfalls durch das Kreditkarteninstitut stornieren lassen! Dazu hat man IMHO 4 odfer 6 Wochen Zeit, was aber in den AGB des Kartenvertrags drinsteht. Bei EC-Karten weiss ich das nicht genau, das austellende Kreditinstitut kann hierzu aber Auskunft geben!
Will der Begünstigte dann an sein Geld, muss er dann bei dem Kartenhalter aktiv werden. Jemand, der die Karte für eine unsaubere Buchung nutzen wollte, wird dies in der Regel nicht tun, es sei denn, er ist extrem dreist. Aber auch diese Leute werden spätestens unter Androhung einer gerichtlichen Auseinandersetzung auf ihre "Forderung" verzichten!
Die guten alten Magnetkarten entsprechen nunmal nicht mehr dem heutigen Standards, wenn sich da bald nichts ändert wird es immer häufiger solche Probleme geben. Ich hoffe das die Banken daraus lernen und auf bessere Technologien setzen werden!
naja die leute sind auch oft selbs schuld da sie viel zu leichtfertig mit den karten umgehen^^
mal verliert man sie auf einer party oda bei der busfahrt oder was auch immer^^
is ja alles kein wunder