"Die unerträgliche Leichtigkeit des PIN-Diebstahls"

23. November 2006, 14:07
  • rechenzentrum
  • security
image

Forscher behaupten, Codes von Bankkarten seien schlecht gegen internen Betrug gesichert – Betreiber meinen das Gegenteil.

Forscher behaupten, Codes von Bankkarten seien schlecht gegen internen Betrug gesichert – Betreiber meinen das Gegenteil.
Israelische Forscher haben eigenen Angaben zufolge eine schwere Sicherheitslücke im globalen Finanznetzwerk entdeckt und schlagen Alarm. Omer Berkman und Odelia Moshe Ostrovsky, beide Wissenschaftler an der School of Computer Science in Tel Aviv beschreiben in ihrem Papier "The unbearable lightness of PIN cracking" die Anfälligkeit von Finanzsystemen, die bei Geldbezügen zum Einsatz kommen. Korrupte Bankmitarbeiter könnten auf einfache Weise PIN-Codes von Kartenbesitzern ausspionieren und für betrügerische Zwecke missbrauchen.
Was die Forscher sagen
Die Schwachstelle liege im Verfahren, wie die PIN-Codes verschlüsselt und quer durch das internationale Finanzsystem geschickt werden. Das Problem sei noch um ein Vielfaches grösser, als bislang angenommen, so die Verfasser. Bei bisherigen Attacken führten etwa 15 Versuche, den Code herauszufinden, zum Erfolg. Nun würden ein bis zwei Versuche ausreichen, um in den Besitz des korrekten PINs zu kommen, warnen die Forscher. Das Herausfinden eines vierstelligen Codes per Versuch- und Irrtum sollte eigentlich im Schnitt 5000 Versuche erfordern.
Knackpunkt dabei sind die so genannten "Switches". Sobald der Kartenbesitzer seinen PIN bei einem Geldautomaten eingibt, wird dieser samt Kontonummer zwecks Überprüfung zur Hausbank oder zu einem anderen autorisierten Institut geschickt. Da jedoch normalerweise keine direkte Verbindung zur Hausbank besteht, werden die PINs über eine grosse Anzahl von Switches geschickt, schreiben die Autoren. Um den Code zu schützen wird er in ein PIN-Block-Format umgewandelt und verschlüsselt. Jeder Switch aber entschlüsselt den EPB (Encrypted PIN Block), verifiziert das PIN-Block-Format und schreibt es wenn notwendig um. Anschliessend wird der PIN-Block wieder verschlüsselt und gemeinsam mit einem Transport-Key an den nächsten Switch gesendet, wo sich das Prozedere wiederholt – auf dem Switch ist der PIN also eine Zeit lang unverschlüsselt.
Genau hier liege der grosse Schwachpunkt, an dem betrügerische Bankmitarbeiter ansetzen können, monieren die Forscher. Sie könnten sich am Switch der eigenen Bank zu schaffen machen und sich auf diese Weise Kontonummern inklusive passender PIN-Codes aneignen. Die Angriffe könnten in enormem Schadensmass erreichen, denn manche Switches bearbeiten 18 Millionen Datensätze pro Stunde, so die Autoren.
"Der beunruhigendste Aspekt dieses möglichen Angriffes ist, dass das gesamte System nur so sicher ist, wie die unsicherste Bank", meint dazu Security-Experte Bruce Schneier. Man könnte annehmen, dass es reiche, wenn die eigene Bank strenge Sicherheitsrichtlinien umgesetzt hat. Allerdings muss der Kunde nun dem weltweiten System vertrauen, denn ein Mitarbeiter eines Instituts, mit dem man noch nie etwas zu tun hatte, könnte den PIN-Code
ebenso stehlen und Geld abheben, so Schneier.
Und die Gegenposition
"So einfach ist es nicht, denn praktisch ist ein solcher Diebstahl unmöglich", widerspricht Susanne Stöger, Sprecherin von First Data Austria, einem Unternehmen das sich auf die Abwicklung des bargeldlosen, kartengestützten Zahlungsverkehrs spezialisiert hat.
"Das Umschlüsseln der PIN-Blocks ist notwendig, da die nationalen Betreiber verschiedene Schlüssel verwenden, um ihre Sicherheit zu gewährleisten. Dies geschieht jedoch unter absolut hohen Sicherheitsvorkehrungen. Die Geräte, die diese Umschlüsselung vornehmen, stehen in aller Regel in einem Hochsicherheitstrakt und unterliegen der "FIPS"-Norm. Diese schreibt vor, wie im Fall eines versuchten Missbrauchs vorzugehen ist", führt Stöger im Gespräch mit 'pressetext' aus. Dabei kämen Selbstzerstörungsmechanismen zum Einsatz, die sofort alle Daten löschen, sobald der Versuch eines Einbruchs festgestellt wird. "Nicht einmal unser Sicherheitschef kann sich Zugriff zu diesem System verschaffen, noch viel weniger gelingt das einem 'normalen' Bankangestellten."
Kreditkarten kopieren per MP3-Player
Dass Betrug jedoch - mit etwas technischem Wissen - auch anders geht, bewiesen Gauner aus Grossbritannien. Sie fingen die Bankdaten ohne aufwendige Hacking-Aktivitäten ab. Die dreisten Diebe gingen mit Hilfe eines MP3-Players ans Werk und ergaunerten umgerechnet rund 300'000 Euro.
Die Bande habe laut 'Times of London die Telefonleitungen der Geldautomaten angezapft. Über einen Adapter für die Telefonbuchse leiteten die Betrüger die Signale des Geldautomaten an den MP3-Rekorder.
Der Geldautomat erzeugt, ähnlich wie ein Analog-Modem, Audiosignale, die über die Telefonleitung geleitet werden und von einem Modem wieder in Daten umgewandelt werden. Diese Geräusche zeichneten die Ganoven auf und fütterten damit ein Programm, das diese Signale wieder in digitale Daten umwandeln konnte. Damit erstellten sie mehrere Kopien von Kreditkarten und gingen auf Shopping-Tour. (pte)

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023