US-Banken droht riesiger Datenklau-Skandal

10. März 2006, 16:27
  • security
  • finanzindustrie
  • usa
image

Sicherheitslücke ermöglichte Hackern PIN-Code-Diebstahl: Resultiert daraus der "schlimmste Betrug aller Zeiten"?

Sicherheitslücke ermöglichte Hackern PIN-Code-Diebstahl: Resultiert daraus der "schlimmste Betrug aller Zeiten"?
Dem US-Bankwesen könnte ein Betrugsskandal bisher unbekannten Ausmaßes bevorstehen. Ermittler sind einem umfangreichen Bankkarten-Betrug auf die Schliche gekommen, bei dem es Hackern anscheinend gelungen ist, in den Besitz der PINs von Kundenkarten zu kommen.
Betroffen seien Tausende von mit PIN-Nummern geschützen Lastschriftkarten verschiedener US-Banken, wie die Sicherheitsexpertin Avivah Litan vermutet. Litan arbeitet beim renommierten IT-Marktforschungs- und -Beratungsinstitut Gartner und dürfte daher mit solchen Spekulationen nicht leichtfertig umgehen. Litan spricht in diesem Zusammenhang vom "schlimmsten Betrug aller Zeiten".
Betroffen seien nicht nur die Citibank, welche diese Woche Probleme bestätigte, sondern auch Banken wie die Bank of America, Wells Fargo, Washington Mutual sowie kleinere Finanzinstitute.
Leergeräumte Konten
Konkrete Informationen aus Bankkreisen sind dünn gesät. Litan zieht ihre Schlüsse daraus, dass die Citibank wie einige andere Institute alle PIN-basierten Transaktionen in den Ländern Kanada, Großbritannien und Russland diese Woche unterbunden hat und schon seit Wochen betroffene Bankkarten ihrer Kunden austauscht.
Die ersten Berichte über leergeräumte Konten wurden Anfang der Woche publik. Die Banken räumten Sicherheitsprobleme ein und teilten mit, dass die Austauschaktion als Sicherheitsmaßnahme für betroffene Bankkonten notwendig sei. Die Citibank habe im vergangenen Monat eine nicht näher genannte Anzahl von betrügerischen Bargeldbehebungen registriert, berichtete die 'New York Times'.
Wenn Kunden Lastschriftkarten zum Einkauf benutzen, werden bestimmte Karteninformationen beim Händler gespeichert. Litan bezieht sich auf Informanten aus dem Finanzbereich und geht davon aus, dass bei den Datenklaus zuwenig gut gesicherte Server eines Retailers angegriffen wurden. Die Hacker hätten dabei nicht nur Zugriff auf die Karteninformationen und die verschlüsselten PINs erhalten, sondern gleich auch noch die dazugehörigen Codes um die Daten zu entschlüsseln, entwenden können.
Der Schlüssel im Schloss
"Das Problem ist, dass Händler die Kartendaten, nachdem sie im Lesegerät eingegeben wurden, für die Verrechnung nicht sicher genug speichern. Im schlimmsten Fall werden auch die Chiffriercodes auf demselben System abgelegt", kritisiert Litan. "Das ist eine potenzielle Goldmine. Man bekommt mit einem einzigen erfolgreichen Hack die PIN-Codes und die Schlüssel, um sie zu lesen", so Litan.
Im vorliegenden Fall, so Litan, hätten die Diebe die erbeuteten Information genutzt, um Duplikate der Kundenkarten herzustellen. Mit diesen räumten sie dann die Konten via Geldautomaten leer.
Könnte so etwas auch in unseren breitegraden geschehen? Zumindest bei Europay glaubt man sich davor gefeit. Walter Bödenauer, Senior Vice President von Europay Austria erklärte auf Anfrage von 'pressetext': "Sofern die Eingabegeräte der Norm entsprechen und keine Dummy-Terminals sind, ist das Abgreifen der Karteninformationen und PINs bei unseren Systemen nicht möglich".
Das PIN-Set sei durch verschieden Verfahren gesichert. Bei der Kommunikation mit der Verrechnungsstelle sei sowohl die Nachricht als auch die Übertragung selbst verschlüsselt. Auch das PIN-Pad an sich könne nicht gehackt werden. "Schon der Versuch sich in das Code-Eingabegerät zu hacken, löst die Selbstzerstörung aller darauf befindlichen Daten aus", so Bödenauer.
Der US-Fall könnte sich noch ausweiten und ist laut Litan nur die Spitze des Eisbergs. Noch sei nicht geklärt welcher Händler Ziel des Angriffs war, jedoch könnte diese Art des Betrugs zum neuen Trend bei Kriminellen werden. "Hacker werden diese Sicherheitslücke so oft es geht ausnutzen. Denn es ist besser, direkt Geld bei einem Automaten zu erbeuten, als Produkte zu kaufen, die dann erst wieder zu Barem gemacht werden müssen", mahnt Litan. (pte/hjm)

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Swift schlägt zentrales Gateway für digitale Landeswährungen vor

Digitale Landeswährungen sind weltweit ein Thema für Zentralbanken. Swift glaubt, dass man sie relativ einfach über einen zentralen Hub vernetzen könnte.

publiziert am 5.10.2022
image

BIZ macht Vorschläge für Bigtech-Regulierungen

Damit die grossen Tech-Unternehmen im Finanzbereich keine marktbeherrschende Stellung einnehmen können, werden im Institut zwei verschiedene Ansätze diskutiert.

publiziert am 5.10.2022
image

Exchange Zero Day: Microsoft muss Workaround abändern

Der erste Workaround bietet nur wenig Schutz.

publiziert am 5.10.2022