Thema: Sicherheitsrisiko Kreditkarte

[SiLæncer]

Die Kreditkartenfirma MasterCard hat einen Datendiebstahl bei einem Dienstleister für Zahlungsabwicklungen bestätigt und warnt jetzt vor möglichen Folgen. Dies berichtet unter anderem das Wall Street Journal. Anscheinend wurden die Daten über eine Sicherheitslücke bei der Firma Global Payments erbeutet. Dem Bericht zufolge schätzt man die Zahl der gefährdeten Kreditkartenkonten derzeit auf etwa 50.000, ohne jedoch das ganze Ausmaß überschauen zu können.

Ein Sprecher von MasterCard betonte, es seien keine konzerneigenen Rechner kompromittiert worden. Die US-Behörden seien bereits alarmiert und hätten ihre Ermittlungen aufgenommen. Ebenso soll eine unabhängige Organisation für Datensicherheit den Fall untersuchen. Konkrete Zahlen, wie viele Kreditkartenkonten kompromittiert wurden, nannte das Unternehmen nicht.

Der erste Bericht über den Vorfall stammt vom Security-Experten Brian Krebs unter Berufung auf gut informierte Kreise. Seinen Angaben zufolge sind sowohl Karten von MasterCard als auch Visa betroffen. Er geht dabei von einem drastischen Szenario aus: Durch die entwendeten Daten könnten schlimmstenfalls bis zu 10 Millionen Karten kompromittiert sein.

Krebs zufolge liegt der Einbruch bereits einige Wochen zurück und fand irgendwann zwischen dem 21. Januar und 25. Februar statt. Dabei sollen auch sogenannte "Track-1"- und "Track 2"-Daten entwendet worden sein – anhand dieser lassen sich neue Kreditkarten fälschen.

Noch lässt sich nicht beziffern, wie viel Schaden durch den Datenklau entstanden ist. Mit Bezug auf zwei anonyme Quellen meldet Krebs, dass Transaktionen mit betroffenen Kreditkarten bislang vor allem im Stadtgebiet von New York beobachtet wurden. Gleichzeitig verwies er auf den Finanzdienstleister Public Service Credit Union (PSCU), der bereits mehr als 56.000 betroffene Visa- und MasterCard-Konten ausgemacht haben will. Bei 876 von diesen seien bereits illegale Aktivitäten beobachtet worden. Von Visa liegt noch keine Stellungnahme zum Thema vor.

Quelle : www.heise.de

[Jürgen]

Ich habe ja schon vor Jahren davor gewarnt, dass RFID-Signale mit geeigneten Antennen durchaus über etliche Meter Distanz funktionieren müssten.
Trotzdem können solche Antennen klein und unauffällig sein, sodass man sie am Leib tragen oder sonstwie verstecken kann.

Die Einmal-CVV, die nur für eine Transaktion gültig ist, stellt in meinen Augen kein Hindernis dar, mit dem Kriminelle von ihrem Tun abgehalten werden könnten.
Da solche Daten per Funk leicht und in quasi beliebiger Anzahl erfasst werden können, lohnt sich so ein Angriff auch bei nur einer Buchung pro Karte.
Und das Risiko einer Entdeckung des Erfassungsortes ist nahe Null, wenn die illegalen Buchungen nicht vom gleichen Ort erfolgen.
Es bedarf ja noch nicht einmal irgendeines offiziellen Zahlungsvorgangs dort, weil das reine Vorbeigehen an einem Spionage-Empfänger genügt.
Theoretisch könnte sich jemand unauffällig mit einem getarnten Gerät irgendwo am Bahnhof, in der Einkaufsstraße oder vor einem Stadion aufhalten, abrufen und speichern, die Daten irgendwann später über irgendein Internetcafe oder offenes WLAN anwenden, um einen Geldtransfer auszulösen.
Ein paar hundert Euro pro Datensatz sind da allemal drin.

Lediglich der Weiterverkauf der erbeuteten Daten dürfte danach weitgehend entfallen.

Es würde mich zudem sehr wundern, wenn diese Einmal-CVV nicht auch bei genau einem (scheinbar) normalen Zahlungsvorgang anwendbar wäre, wenn man diese auf eine gefälschte Karte aufdruckte.

Mein Fazit:

Sollten sich RFID-bestückte Karten irgendwann wirklich nicht mehr vermeiden lassen, dann müssten diese zumindest in einer gut geschirmten Hülle verwahrt werden, um vor den meisten solcher Angriffe geschützt zu sein.

Und zugelassene Geräte müssten unbedingt so geschützt sein, dass sie bei jedem Fremdsignal Alarm schlagen und eine Blockade bewirken.
Das allerdings wird nicht zu erwarten sein.

Was bleibt?
Bargeld lacht...

Jürgen

[SiLæncer]

Die Sicherheitslücke beim Zahlungsabwickler Global Payments, durch die zahlreiche Kreditkarten großer Anbieter kompromittiert wurden, ist anscheinend umfangreicher als gedacht. Aus einem Bericht des Fachdienstes Bankinfosecurity geht hervor, dass das Sicherheitsproblem bereits seit Januar 2011 bestanden haben soll. Global Payments hatte zunächst nur bekannt gegeben, dass zwischen 21. Januar 2012 und 25. Februar 2012 eine Lücke von Hackern ausgenutzt wurde.

Ebenfalls könnte die Zahl potenziell bedrohter Kreditkarten deutlich höher liegen. Hier hatte Global Payments ursprünglich von etwa 1,5 Millionen gefährdeten Konten gesprochen. Unter Bezug auf anonyme Insider meldete das Wall Street Journal mindestens 7 Millionen betroffene Debitkonten. Eine Stellungnahme von Global Payments zu diesen neuen Information liegt momentan nicht vor, die eigens dazu eingerichtete Webseite ist immer noch auf dem Stand vom 1. Mai 2012.

Das tatsächliche Ausmaß des Schadens ist derzeit noch schwer einzuschätzen. Bislang sind nur einzelne, vergleichsweise kleine Betrugsfälle bekannt geworden. So berichtete der Security-Blogger Michael Krebs unter anderem von Prepaid-Kreditkarten, die in den USA mit kompromittierten Kontonummern recodiert und dann für Käufe benutzt wurden. Die Union Savings Bank soll laut seinen Angaben 75.000 US-Dollar (aktuell rund 59.000 Euro) durch den Missbrauch der Daten verloren haben, ferner waren Aufwendungen von 10.000 Dollar (8000 Euro) für die Aussendung neuer Karten nötig.

Nachdem der Vorfall Ende März 2012 ans Licht der Öffentlichkeit kam, hatte zunächst Visa reagiert und Global Payments von der Liste zuverlässiger Dienstleister gestrichen. Mastercard und weitere Anbieter waren diesem Beispiel wenig später gefolgt, wie das Wall Street Journal berichtete.

Quelle : www.heise.de