Thema: Phisher entdecken Geldautomatenkarten

[SiLæncer]

Avivah Litan von Gartner hat einen Report veröffentlicht, dem zufolge Phisher in zunehmenden Maße die ergaunerten Daten nutzen, um sich so genannte "white cards" zu erstellen, mit denen sie an Automaten Geld von den Konten abheben. Unter "white cards" versteht man im Banken-Jargon eine weiße Blankokarte, auf deren Magnetstreifen Kontoinformationen abgelegt werden. Diese sehen den Geldautomatenkarten sehr ähnlich und dienen beispielsweise als Schlüsselkarten für Hotels.

Nun wird auch klar, wofür einige Phishing-Websites diese Karteninformationen abfragen. Allerdings sollte man noch mißtrauischer als sowieso schon werden, wenn eine Seite für Online-Banking einem die Daten für die davon nicht betroffene Automatenkarte entlocken möchte.

Diese Betrugsart ist eine neue Stufe in der kriminellen Evolution, sind doch die Abhebungen nicht zu stornieren wie bei Online-Kontoabbuchungen und auch schwieriger zu verfolgen. Möglich wird der Einsatz dieser "white cards" dadurch, dass offenbar manche Geldausgabeterminals die Herkunft der Karten nicht verifizieren, so eine der Folgerungen des Reports. Phisher würden sich sogar in Foren austauschen, welche Terminals keine derartige Prüfung durchführen.

Auf dem Magnetstreifen der Geldautomatenkarten befindet sich ein dreistelliger Card Verification Code (CVC). Dieser ist nicht auf der Karte abgedruckt und lässt sich somit auch nicht über Phishing ausspähen. Somit müssten die Bankautomaten nur diesen Wert überprüfen und könnten damit die Echtheit der Karte verfizieren.

Amerikanischen Medien zufolge messen einige Banken diesem Phänomen wenig Bedeutung zu, andere Geldinstitute hingegen sehen darin den ersten ernstzunehmenden Angriff auf das PIN-basierte Geldausgabeverfahren. Laut dem Gartner-Report sei ein weltweiter Anstieg mit diesem "white card"-Betrug zu verzeichnen. So wurde Geld von amerikanischen Konten beispielsweise aus Rumänien abgehoben. Inwiefern auch das europäische EC-System von diesem Problem betroffen ist, bleibt bislang unklar.

Quelle und Links : http://www.heise.de/newsticker/meldung/62369

[SiLæncer]

Trotz des jüngsten Fahndungserfolgs des Bundeskriminalamts und der bulgarischen Behörden ist der Betrug mit gefälschten EC-Karten weiter ein ernstes Problem. Nachdem vergangene Woche bekannt wurde, dass an einem manipulierten Geldautomaten in Frankfurt während der Fußball-WM Kartendaten abgegriffen wurden, ließ der E-Payment-Anbieter Europay Austria jetzt über 4000 Karten vorsorglich sperren, die an vermutlich manipulierten Kartenterminals in österreichischen Läden eingesetzt worden waren. Dort seien Kartendaten kopiert und PIN-Nummern ausspioniert worden. In Österreich entzündete sich daraufhin eine Debatte über die Sicherheit des Systems.

Vergangene Woche hatte die Frankfurter Rundschau berichtet, dass an einem manipulierten Geldautomaten der Deutschen Bank in der Frankfurter Innenstadt Kartendaten und PIN-Nummern ausspioniert worden seien. Während der Fußball-Weltmeisterschaft seien Betrüger an dem außenliegenden Automaten an die Daten von etwa 220 Karten gekommen. Mit den angefertigten Duplikaten hätten die Täter dann im Ausland insgesamt 300.000 Euro abgehoben. Die Deutsche Bank will den entstandenen Schaden ersetzen.

An den Geldautomaten gehen die Datendiebe immer gleich vor. Ein zusätzliches Lesegerät wird vor den Eingabeschlitz für die Karten montiert und gut getarnt. Die Eingabe der PIN-Nummer wird mittels einer kleinen Funkkamera aufgezeichnet oder mit einfachsten Mitteln wie Puder auf der Tastatur ausspioniert. Wie eine Sprecherin der Berliner Sparkasse erklärte, eignen sich aufgrund unterschiedlicher Bauweisen nicht alle Automatentypen für dieses so genannte "Skimming". Auch würden Geldautomaten in Deutschland die kopierten Karten erkennen. Deshalb müssen die Betrüger im Ausland abheben. Das dauert länger, und die betrügerischen Abhebungen werden von den Kunden schneller entdeckt.

Auch die mit den gestohlenen Daten österreichischer Bankkunden erzeugten Kartenduplikate kamen im Ausland – insbesondere in Frankreich – zum Einsatz. Zusammen mit dem Prozessdienstleister First Data International, der bargeldlosen Zahlungsverkehr europaweit abwickelt, hat Europay nach eigenen Angaben die möglicherweise kompromittierten Karten ermittelt und vorsorglich sperren lassen. Von etwa 500 der betroffenen Konten soll auch Geld abgehoben worden sein. Europay versicherte, eventuell aufgetretene Schäden sofort zu ersetzen. Verdächtige Buchungen sollten die Kunden umgehend ihren Banken melden.

Inzwischen haben die "Skimmer" ihre Methoden aber offenbar weiter entwickelt. Österreichische Medien berichten unter Berufung auf Polizeiangaben, mindestens vier Kartenterminals seien so manipuliert worden, dass Kartendaten und PIN auf einem zusätzlich eingebauten Chip gespeichert werden konnten. Die Täter hätten dann das Terminal gestohlen und die Daten ausgelesen. Anderen Berichten zufolge soll es auch Methoden geben, bei denen ein zusätzlich eingebauter Chip die Daten per SMS an die Täter übermittelt oder die Datenleitung zum Terminal angezapft werde.

Die österreichische Datenschutzorganisation ARGE Daten bezweifelt dieses Manipulations-Szenario. Sie hält das ganze System für anfällig und überholt. Die Darstellung des Hergangs sei technisch wenig plausibel, teilte die Organisation mit. Manipulationen an der Hardware seien nur dann erfolgversprechend, wenn auch die Software des Geräts eine entsprechende Funktion unterstützen würde. Ein solcher Chip müsse auf die Tastatur und die Daten der Karte zugreifen können. Bei einem sauberen technischen Design dürfe das gar nicht gehen.

Die ARGE Daten vermutet daher, die Täter könnten geheime Fuktionen der Terminals ausnutzen, die weder den Ladenbesitzern noch den Kartenkunden bekannt seien. Im Online-Betrieb sollten die Terminals eigentlich keine Daten speichern. Allerdings verfügten die Geräte für den in Österreich auch üblichen Offline-Betrieb über eine Speicherfunktion. Für die ARGE Daten ist es denkbar, dass die Täter mögliche Software-Konfigurationen nutzen, die eine Datenspeicherung auch im Online-Modus erlaubten.

Die österreichischen Behörden bleiben den Berichten zufolge bei ihrer Darstellung und weisen auf vergleichbare Fälle im Ausland hin. Auch in Italien sollen in den vergangenen Monaten Kartenterminals manipuliert worden sein. Europay wies die Vorwürfe der Datenschützer scharf zurück. "Für die Öffentlichkeit ist der technische Hintergrund nicht hilfreich, darum kümmern sich Spezialisten", hieß es in einer Mitteilung. Die Darstellung der ARGE Daten sei "hypothetisch und inhaltlich falsch".

Quelle : www.heise.de

[SiLæncer]

Der Schaden, den Betrügerbanden durch Manipulation an Geldautomaten anrichten, soll inzwischen in die Millionen geht. Laut dpa hätten die Täter allein in Niedersachsen nach einer Schätzung des Landeskriminalamtes (LKA) seit Jahresbeginn rund acht Millionen Euro ergaunert. Die Banden seien nach Aussage des LKA seit Januar landesweit in mindestens 16 Orten an 30 Automaten aktiv gewesen. Zuletzt wurden Bankautomaten in Göttingen, Braunschweig und Hannover mit dem so genannten "Skimming"-Verfahren manipuliert.

An den Geldautomaten gehen die Datendiebe dabei immer gleich vor. Ein zusätzliches Lesegerät wird vor den Eingabeschlitz für die Karten montiert und gut getarnt. Die Eingabe der PIN-Nummer wird mittels einer kleinen Funkkamera aufgezeichnet oder mit einfachsten Mitteln wie Puder auf der Tastatur ausspioniert. Teilweise sind die Lesegeräte mit GSM-Modulen ausgestattet, um die Daten per SMS zu verschicken. Daneben gibt es auch Geräte, die Kartendaten und PIN auf einem eingebauten Chip speichern, von wo sind dann später von den Betrügern zum Erstellen gefälschter EC-Karten ausgelesen werden können.

In Niedersachsen sollen so an jedem manipulierten Geldautomaten die Kartendaten und die PIN von etwa 150 Bankkunden ausgespäht worden sein. Mit den kopierten Karten heben die Gauner dann im Ausland – in Deutschland erkennen die Geldautomaten nachgemachte Karten – Geld von den Konten dieser Kunden ab. Die Beute soll durchschnittlich 2000 Euro betragen.

Quelle : www.heise.de

[SiLæncer]

Es ist immer das gleiche: Ist Geld vom Girokonto auf dubiose Weise verschwunden, weisen die Banken auf Nachfrage der Opfer unisono jegliche Verantwortung zurück und spielen ihren Joker "schuldhaft verletzte Sorgfaltspflicht" aus. Eine Haftung schließen die Banken in solchen Fällen aus, Geld zurück gibts nicht, der Fehler liegt aus ihrer Sicht immer beim Kunden. Damit machen es sich die Banken aber zu einfach, denn ihre Systeme bieten zu wenig Schutz.

Schaut man sich die Bilder manipulierter Geldautomaten an, bekommt man das kalte Grausen: So unscheinbare Tastaturaufsätze und Lesegerät-Vorsätze lassen wohl nur bei geschulten BKA-Beamten Verdacht auf einen Betrugsversuch aufkommen. Selbst Kartenlesegeräte an Tankstellen und in Geschäften können ohne Wissen des Inhabers manipuliert sein, um Kunden die Daten ihrer EC-Karte nebst Geheimnummer zu klauen. Nicht viel anders sieht es beim Phishing im Online-Banking aus: Immer häufiger tauchen wirklich täuschend echt nachgemachte Webseiten auf, bei denen man schon sehr genau hinschauen muss, um eine Fälschung zu erkennen. Nicht zuletzt nehmen es die Banken mit der Sorgfalt selbst nicht so genau, wenn es etwa um Cross-Site-Scripting- oder Frame-Spoofing-Lücken auf ihren eigenen Webseiten geht.

Da stellt sich die Frage, wieviel Sorgfalt der Bankkunde eigentlich aufbringen muss, um im Streitfall einen Richter davon zu überzeugen, nichts falsch gemacht zu haben, damit er eine Chance auf Ausgleich des Schadens hat. Auch wenn oft noch das Gegenteil zu hören ist: Das EC-Karten- und das PIN/TAN-Verfahren ist an heutigen Maßstäben gemessen nicht mehr als sicher einzustufen. Es stammt noch aus der Zeit des Online-Banking über BTX, das EC-Karten-Verfahren wurde Anfang der Achtziger des vergangenen Jahrtausends eingeführt. Die Betrüger hatten viel Zeit, ihre Betrugsmethoden zu verfeinern. Die Banken hingegen haben technisch nur marginal nachgebessert.

Solange die Banken keine neuen Verfahren wie HBCI fürs Online-Banking und manipulationssichere EC-Karten-Terminals und Geldautomaten flächendeckend etabliert haben, sollten deutsche Richter im Streitfall die Frage nach der Sorgfaltspflicht eher den Banken als den Kunden stellen. Dann müssten die Banken ihr offenbar lückenhaftes Kundensicherheitskonzept aufdecken -- und sich etwa die unbequeme Frage stellen lassen, warum mit den Überwachungskameras der Geldautomaten offenbar nur in Ausnahmefällen eine Manipulation zeitnah entdeckt und verhindert wird.

Quelle : www.heise.de

[SiLæncer]

Angriff der Karten-Kloner

Mit ausgespähten Kartendaten räumen Betrüger Bankkonten leer. Die Methoden sind simpel und doch so raffiniert, dass man als Bankkunde kaum eine Chance hat, dem Betrug zu entgehen.

Online-Banking machen Sie nicht, Ihre EC-Karte steckt noch im Portemonnaie, die PIN haben Sie geheim gehalten, und trotzdem hat jemand Geld von Ihrem Konto abgehoben? Vielleicht sind Sie das Opfer eines Skimming-Angriffs: Mit manipulierten Geldautomaten sammeln Betrüger die Daten von EC-Karten, um davon Kopien anzufertigen und später Geld abzuheben. Die erforderliche PIN wird einfach elektronisch mitgelesen.

Auch in Geschäften oder an Tankstellen ist man vor solchen Angriffen nicht sicher. Kredit- und EC-Karten-Terminals werden oft ohne Wissen des Ladeninhabers manipuliert. Von dem Angriff bemerken auch die Opfer gewöhnlich erstmal nichts. Der Schlag trifft die meisten erst Wochen später, wenn die Kriminellen mit den Kartenkopien die Konten leerräumen.

War bislang Phishing in aller Munde, macht nun Skimming (bedeutet im Englischen so viel wie abschöpfen) die Runde. Nach Angaben der Landeskriminalämter sind die dadurch verursachten Schäden in den letzten Monaten rasant angestiegen. Allein in Nordrhein-Westfalen verzeichnete das Landeskriminalamt dieses Jahr bis Oktober 120 Fälle von Manipulationen, während es im gesamten Vorjahr 68 Skimming-Angriffe registrierte.

Bei einem einzigen Angriff tappen oft viele Opfer in die Falle. Gezählt haben die LKAs nur solche Vorkommnisse, bei denen die Bank selbst die Manipulation bemerkte und beim LKA zur Anzeige brachte oder die Gaukelei aufflog, als ein Kunde plötzlich Teile des Geldautomaten in der Hand hielt. Das LKA Bayern gelangte auf diese Weise zwischen Januar und März an 23 Aufsatzgeräte und sechs Videoleisten, mit denen die Karten- Kloner die Automaten manipulierten, um Kartendaten abzufangen.

Von den Polizeibehörden sind genaue Zahlen schwer zu erhalten, da es in diesem Bereich keine zentrale Erfassung gibt. Meistens landet die Anzeige eines Skimming-Vorfalls bei der Polizeidienststelle um die Ecke, die das Delikt statistikfeindlich als Zahlungskarten- Kriminalität verbucht. Aussagekräftige Zahlen liefert indes die von der EURO Kartensysteme GmbH betriebene Zentrale Debit-Schadensbekämpfung (ZDS), an die Banken die Daten verschiedener Schadensfälle mit Maestro-EC-Karten weiterleiten. Die ZDS sucht anhand der übermittelten Schadensdaten nach einem gemeinsamen Nenner, beispielsweise den manipulierten Automaten einer bestimmten Bank, den alle Opfer in einem bestimmten Zeitraum benutzt haben.


Muss das so aussehen? Manchmal wird nur die Original-Tastatur (rechts) mit einem Aufsatz (links) überklebt, manchmal auch die komplette Leiste (unten).

Alarmierendes Ergebnis der ZDS: Allein von Januar bis September 2007 wurden 891 Skimming-Angriffe an 251 Automaten bundesweit entdeckt. Offenbar sind einige der Automaten bei Skimmer-Banden sogar so beliebt, dass sie des Öfteren Ziel von Manipulationen sind. Nordrhein-Westfalen führt die Statistik mit 438 Attacken einsam an, an zweiter Stelle steht Baden-Württemberg mit 129 Manipulationen. Bis der Schnittpunkt solcher Fälle aber gefunden ist, vergehen Monate, mögliche Beweise wie Videoaufnahmen der Kameraüberwachung sind längst überspielt und die meist aus Rumänien oder Bulgarien stammenden Täter über alle Berge. Bislang haben die Banken alle vom ZDS nachgewiesenen Skimming- Schäden kulant erstattet. Einen Skimming- Fall, bei dem ein Opfer auf dem Schaden sitzen geblieben ist, soll es bislang nicht gegeben haben.

Die Skimming-Ausrüstung besteht aus einem Miniatur-EC-Kartenleser, der den Magnetstreifen der Karte ausliest und einer Videoleiste, die die PIN-Eingabe aufzeichnet. Der Mini-Leser wird einfach mit doppelseitigem Klebeband von außen vor den Leseschlitz des Geldautomaten geklebt. Für das ungeübte Auge ist das Mini-Lesegerät kaum zu erkennen, da es in Form und Farbe zum Geldautomaten passt. Manchmal installieren die Banden auch eine vollständige neue Frontplatte aus feinem Stahlblech. Die abgegriffenen Daten werden gespeichert und nach dem Abbau in einen PC übertragen oder gleich per Funk an die vor der Bankfiliale im Auto wartenden Betrüger übermittelt.

Die Videoleiste birgt eine kleine Kamera, die durch ein winziges Loch auf das Tastaturfeld schaut; sie wird meist im oberen Bereich des Automaten platziert. Manchmal montieren die Betrüger die Kamera auch an der Seite, etwa hinter dem bei einigen Automaten zu findenden Prospekthalter. Auch die Videoaufzeichnung der PIN-Eingabe wird meistens zwischengespeichert. In anderen Fällen benutzten die Kartenkopierer statt der Kamera eine Nachbildung der Tastatur, die auf das Original geklebt wurde. Die Anschläge werden mechanisch an die echte Tastatur durchgereicht und dabei protokolliert. Mit diesem Trick arbeiten meistens die rumänischen Skimmer-Banden, während die bulgarischen Banden die Videomethode vorziehen.

Mehr...

Quelle : www.heise.de

[SiLæncer]

Die Methoden nennen sich Skimming, libanesische Schlinge oder Schulter-Surfen, sie alle haben das gleiche Ziel: Kunden an Bankautomaten um ihr Bares zu betrügen. Obwohl ihre Tricks seit Jahren bekannt sind, werden die Betrüger immer erfolgreicher.

Frankfurt am Main - Manipulation an Geldautomaten hat im vergangenen Jahr zu rund 10.000 Fällen von Datenklau geführt. Insgesamt seien bundesweit 459 Automaten präpariert worden, um Daten von EC-Karten zu kopieren, sagte die Sprecherin von Euro-Kartensysteme, Margit Schneider am Mittwoch auf Anfrage der ddp/Dow Jones Wirtschaftsnachrichten. Das seien 45 Prozent mehr als noch 2006.

Beim sogenannten "Skimming" würden die Täter meist ein Vorsatzgerät auf den Einzugsschlitz montieren, mit dem die Daten ausgelesen werden könnten, während eine Videokamera die PIN-Eingabe aufzeichnet. Anschließend könne dann ein Duplikat der Karte angefertigt werden. "Allerdings sind Fälschungen aufgrund eines Echtheitsmerkmals im Kartenkörper, dem EMV-Chip, nur im Ausland einsetzbar", sagte die Sprecherin. Ausländische Automaten entsprächen diesem Sicherheitstandard oft nicht.

Da die Manipulationen selbst für Experten mitunter schwer zu erkennen seien, komme grundsätzlich das betroffene Kreditinstitut für den Schaden auf. Als zusätzliches Sicherheitsinstrument seien deutsche Geldautomaten zudem mit Anti-Skimming-Modulen wie zum Beispiel Magnetstörfeldern ausgestattet, um den Datenklau zu verhindern.

Weit weniger aufwändig und nicht weniger erfolgreich sind die Methoden des "Schulter-Surfens" und die so genannte libanesische Schlinge.

Seichte Tricks, steile Profite

Beim Schulter-Surfen blickt der Betrüger ganz schlicht über die Schulter der Person, die ihre PIN in den Automaten eingibt. Jetzt muss sie nur noch die Karte in ihre Hände bekommen - per Taschendiebstahl oder mit einer so genannten libanesischen Schlinge. Dabei präpariert der Betrüger den Geldautomaten so, dass die Karte darin stecken bleibt. Oft bieten die Betrüger dann sogar noch Hilfe an, regen etwa eine erneute Eingabe der PIN an, um die Karte frei zu bekommen - und die Eingabe besser beobachten zu können. Zieht sich der Kunde ohne seine Karte frustriert zurück, angelt sich der Betrüger die Geldkarte mit der libanesischen Schlinge wieder aus dem Bankautomaten und hebt umgehend Geld ab, bevor die Karte gesperrt werden kann.

Wenn Diebe von EC-Karten unmittelbar nach der Tat mit Eingabe der PIN-Nummer Geld von Bankautomaten abheben, steht der Karteninhaber unter Beweiszwang. Er muss nachweisen, dass er nicht selbst zur missbräuchlichen Verwendung der Karte beigetragen hat. Mit dieser Begründung hat das Oberlandesgericht (OLG) Frankfurt die Klage einer Verbraucherschutzzentrale abgewiesen, die im Auftrag von zwölf Kunden eine Bank verklagt hatte (Urteil vom 30. Januar 2008, Az: 23 U 38/05).

Das Unternehmen Euro-Kartensysteme empfiehlt Bankkunden, das Tastaturfeld bei der PIN-Eingabe stets zu verdecken. Hinweiszettel, die zu einer mehrmaligen Eingabe der Geheimnummer auffordern, dürften keinesfalls befolgt werden. Attrappen ließen sich mitunter erkennen, da sie sich zum Beispiel durch leichtes Rütteln vom Gerät lösen können. Bei Verdachtsmomenten seien unverzüglich das Geldinstitut und die Polizei zu informieren. Wenn die Karte vom Geldautomaten eingezogen wird, sollte der Kunde sie sofort sperren lassen.

Weitere Informationen zum Sperrverfahren und zum Betrug mit Zahlungskarten gibt es im Internet unter polizei-beratung.de, kartensicherheit.de oder bei jeder Polizeidienststelle.

Quelle : www.spiegel.de

[SiLæncer]

Banken knausern bei Anti-Skimming-Technik

Das Bundeskriminalamt schlägt Alarm, weil die Manipulationen von Geldautomaten im Jahr 2008 massiv zugenommen hat. Verbraucherschützer beklagen, die Banken seien untätig und setzten zu wenig Anti-Skimming-Technik ein.
Das Jahr 2008 brachte in Deutschland erneut eine starke Zunahme der Manipulationen von Geldautomaten. 809 Bargeldmaschinen waren Ziel von Manipulationen, so das Bundeskriminalamt. Das bedeutet im Vergleich zum Vorjahr mit 459 manipulierten Automaten eine Steigerung von 77 Prozent. "Insgesamt steigt die Zahl der Manipulationen von Geldautomaten in Deutschland seit 2001 kontinuierlich", so das BKA.

Verbrecher attackieren einzelne Geldautomaten dabei mehrfach. So wurden 2008 insgesamt rund 2.400 Angriffe auf Geldautomaten (2007: 1.349) gezählt. Schwerpunkte der Geldautomaten-Manipulationen liegen in den Bundesländern Nordrhein-Westfalen, Baden-Württemberg und Bayern.

Im Ausland wurden im Jahr 2008 insgesamt 514 (2007: 332) Geldautomaten oder andere Lesegeräte festgestellt, an denen Betrüger deutsche Kartendaten abgegriffen hätten. 75 Prozent dieser Taten wurden in Italien, Rumänien, den Niederlanden, Frankreich und in der Türkei verübt.

Kriminelle kopieren den Magnetstreifen der EC-Karte und spähen die Geheimzahl der Kunden aus, um anschließend das Konto zu leeren. Die Betrüger setzen gefälschte Debitkarten ein, auf denen sie die erschlichenen, echten Kartendaten aufbringen. Dadurch entstand nach Schätzungen des Bundeskriminalamts ein Schaden in Höhe von über 40 Millionen Euro. Durch Sperrungen von 160.000 Karten (2007: circa 80.000) wurde zusätzlich ein potenzieller Schaden im dreistelligen Millionenbereich verhindert.

Der Bundesverband der Verbraucherzentralen wirft den Banken vor, kaum sogenannte Anti-Skimming-Module einzusetzen, die das Ausspähen von Kundendaten mit falschen Lesegeräten und Tastaturen erschweren. Die Module kosteten weniger als 1.000 Euro und könnten Manipulationen an Bankautomaten weitgehend verhindern. Im August 2008 seien weniger als 20 Prozent der 54.000 deutschen Geldautomaten mit entsprechenden Geräten ausgerüstet gewesen.

Der Bundesverband Deutscher Banken betont dagegen, dass Videoüberwachung sowie Aufsätze für Geldautomaten verstärkt im Einsatz seien. Bis Ende 2010 würden durch eine EU-Initiative in ganz Europa die Magnetstreifen an den EC- und Kreditkarten durch Chips ersetzt.

Quelle : www.golem.de

[SiLæncer]

Der Sicherheitsdienstleister Sophos warnt vor neuer Malware, die in der Lage ist, den Geldautomaten des US-Herstellers Diebold die Daten von Bankkunden zu entlocken. Sophos spricht von insgesamt drei Trojanern, die den Kartenleser der Automaten anzapfen können.

Angeblich sollen unter Umständen auch die Geräte anderer Hersteller betroffen sein. Wie ein Vertreter von Sophos gegenüber den Kollegen von 'The Register' erklärte, enthalten die Trojaner auch Code, mit dem die gestohlenen Daten verschlüsselt werden können. Außerdem soll der Abruf von Passwörtern und ähnlichen Daten über die Druckfunktion der Geldautomaten möglich sein.

Ein Angreifer, der über die entsprechenden Codes verfügt, könnte sich die Informationen von den kompromittierten Geräten also sogar vor Ort ausdrucken lassen. Der Hersteller Diebold erfuhr nach eigenen Angaben im Januar von dem Problem, als in Russland erstmals versucht wurde, mit Hilfe der Malware geheime Informationen zu sammeln.

Die Täter sollen inzwischen überführt worden sein. Diebold arbeitet nun mit den Behörden bei den weiteren Ermittlungen zusammen, heißt es. Die betroffene Software wurde inzwischen aktualisiert. Sie heißt Agilis 91x und wird zur Verwaltung großer Netzwerke von Geldautomaten genutzt, die von Diebold und anderen Herstellern stammen.

Bisher ist nur wenig über die Autoren der neuen Malware bekannt. Nach Angaben von Sophos soll es sich um den ersten Fall handeln, in dem Schadsoftware speziell für Geldautomaten entwickelt wurde. Da sie auch Umrechnungsfunktionen für osteuropäische Währungen enthält, gehen die Sicherheitsexperten davon aus, dass die Autoren aus der gleichen Region stammen.

Die Software lässt sich nicht von Außen auf die Geräte bringen. Der Angreifer muss über direkten Zugang verfügen, um sie einspielen zu können, da die Automaten nicht über Laufwerke für Wechselmedien verfügen und im Normalfall keine Internetanbindung besitzen. Als Betriebssystem kommt bei den betroffenen Geldautomaten übrigens ein Windows zum Einsatz.

Quelle : http://winfuture.de

[SiLæncer]

Banken schützen ihre Kunden noch immer nicht ausreichend gegen so genannte Skimming-Angriffe an Geldautomaten, bei denen Kriminelle sich Zugang zu den Konten verschaffen.

Diese Ansicht vertritt zumindest der "Bundesverband der öffentlich bestellten und vereidigten sowie qualifizierten Sachverständigen" (BVS). Demnach würden die bereits vorhandenen Sicherheits-Technologien zum Schutz vor Skimming-Attacken nur schleppend eingeführt.

"Die Banken scheuen die Kosten der Umrüstung und zahlen ihren Kunden lieber das gestohlene Geld zurück. Das ist unverantwortlich, denn auch die Schadensausgleichsfonds der Banken werden letztlich über Gebühren und damit von den Bankkunden finanziert", sagte BVS-Präsident Roland Vogel.

Skimming funktioniert relativ einfach: Die Kriminellen installieren ein zusätzliches Kartenlesegerät am entsprechenden Schacht des Geldautomaten und lesen damit den Magnetstreifen aus. Die Daten werden dann auf eine neue Karte kopiert. Über eine Handykamera über dem Tastaturfeld oder eine Aufsatztastatur kommen sie außerdem in den Besitz der PIN und können auf das Konto zugreifen.

Skimming sei durch technische Umrüstungen aber leicht zu bekämpfen, so der BVS. Die EDV-Experten des Verbands verweisen auf Anti-Skimming- Module, die ein magnetisches Störfeld um den Karteneinzugsschlitz legen und so die Lesegeräte der Kriminellen unbrauchbar machen. Einen Fortschritt in der Anti- Skimming-Technik bieten EC-Karten, die mit fälschungssicheren EMV-Chips ausgerüstet sind.

Inzwischen haben viele Banken den goldfarbenen EMV-Chip auf ihren Karten eingeführt. "Der Chip ist ein kleiner Computer, der aktiv Sicherheitsprogramme ausführen kann. Ein Magnetstreifen hingegen lässt sich nur einseitig und passiv auslesen, ist also wesentlich anfälliger für kriminelle Angriffe", so Vogel.

Der Verband forderte die deutschen Banken auf, ihre Geldautomaten zügig und flächendeckend mit Anti-Skimming-Modulen aufzurüsten sowie die Versorgung ihrer Kunden mit modernen Chipkarten sicherzustellen. In Europa sollen bis Ende 2010 alle Kreditkarten und Kartenterminals auf den sicheren EMV-Standard umgestellt sein, die meisten europäischen EC-Karten haben bereits einen solchen Chip.

Quelle : http://winfuture.de

[SiLæncer]

Im vergangenen Jahr entstanden insgesamt mehr als 40 Millionen Euro Schaden durch den Diebstahl von EC- und Kreditkartendaten. Obwohl die Methoden durchschaubar sind, fallen Kunden immer wieder auf solchen Datenklau herein.

Auch weiterhin boomt der Diebstahl von EC- und Kreditkartendaten. Laut dem Bundeskriminalamt (BKA) waren im Jahr 2009 allein in Deutschland mehr als 100.000 Menschen von Datendiebstählen durch insgesamt 960 manipulierte Geldautomaten betroffen. Im Vergleich zum Vorjahr stieg die Zahl kriminell genutzter Automaten damit um 20%. In den meisten Fällen ließen sich größere Schäden angeblich vermeiden, weil die Kunden ihre Karten zeitnah sperren ließen. Dennoch schätzt das BKA die entstandenen Schäden auf etwa 40 Millionen Euro.

Drastischer sieht die Situation außerhalb Deutschlands aus. Vor allem in Südafrika, dem diesjährigen Austragungsort der Fußballweltmeisterschaft, wurden im vergangenen Jahr etwa 1.000 deutsche EC- und Kreditkarten ausgelesen und deren Daten zu illegalen Transaktionen verwendet. Häufiger geschehen solche elektronischen Diebstähle nur noch in Frankreich und der Türkei. Hier belief sich der Gesamtschaden auf knapp zwei Millionen Euro.

Social Engineering ist dabei eine beliebte Taktik, um an eine entsprechende Karte zu gelangen. BKA-Präsident Jörg Ziercke erklärt, in Kapstadt und Johannesburg werde Touristen Hilfe bei der Benutzung von Geldautomaten angeboten. Auf diese Weise wandere die Karte in die Hände des Betrügers, der ihre Daten mit einem kleinen Handskimmer auslese. Im Folgenden werde dann nur noch die PIN der Karte bei der Eingabe am Automaten beobachtet. Dadurch ist der Datentransfer perfekt und das Konto des Automatenkunden steht dem neuen Besitzer der Kartendaten zur freien Verfügung. Da die Karte selbst dabei jedoch nicht entwendet wird, fällt dem Konteninhaber der Diebstahl erst bei der nächsten Prüfung des Kontostandes oder durch Mitteilungen der Bank auf.

Gerade im WM-Jahr bietet sich diese unauffällige Form des Datendiebstahls aufgrund der Massen von Fußballtouristen an. Bei der nächsten BKA-Statistik wird sich dann zeigen, wie viele Deutsche diesmal wieder auf den hilfsbereiten Fremden am Geldautomaten hereingefallen sind.

Quelle: futurezone.orf.at

[SiLæncer]

Der IT-Security-Forscher Barnaby Jack will an der Black-Hat-Hacker-Konferenz Verfahren zeigen, mit denen sich gängige Bankomaten knacken lassen.

Schon letzten Sommer wollte Barnaby Jack sein Wissen in Sachen Bankomaten-Security und -Hacking an der Black-Hat-Konferenz preisgeben. Damals hatte sein Arbeitgeber, Juniper Networks, ihn gebeten, auf seinen Vortrag zu verzichten.

Heuer ist Jack wieder da, arbeitet für eine andere Firma und ist mehr als gewillt, den Vortrag endlich zu halten. Unter dem Titel "Jackpotting Automated Teller Maschines" will er an der Black-Hat-Konferenz in Las Vegas, die Ende Juli stattfinden wird, für Wirbel sorgen. Dabei will er mehrere Wege aufzeigen, mit deren Hilfe Bankomaten geleert werden können. Darunter werden Attacken sein, die aus der Ferne und übers Netzwerk stattfinden können. Er will ebenfalls ein Multi-Plattform-Rootkit für Geldautomaten präsentieren und aufzeigen, wie sich Banken gegen dies Art von Angriffen wehren können.

Derzeit werden Bankomaten noch sehr brachial angegriffen. Cyberkriminelle installieren etwa falsche Kartenleser und verstecken Kameras, der die Finger der Bankkunden aufnehmen und so deren PIN erfassen. Mit diesen Informationen stellen die Bankräuber des digitalen Zeitalters dann gefälschte Bankkarten her und leeren die Konten der Opfer.

Nicht so die Angriffsarten von Jack. Er zeigt auf, wie Bugs in der Software der Geldautomaten ausgenutzt werden, um sie ihres Inhalts zu berauben. Dabei lässt er noch offen, um welche Hersteller und welche Software es sich handelt. In Sachen Bankomat-Hacking könnte also ein heisser Sommer bevorstehen.

Quelle : www.tecchannel.de

[SiLæncer]

Die zum Abgreifen von EC-Kartendaten verwendeten Skimming-Vorsätze an Geldautomaten senden ihre Daten immer häufiger per SMS an die Kriminellen. Beim Skimming kopieren die Betrüger den Magnetkartenstreifen von Geldkarten am Kartenschlitz und spähen die PIN durch Tastaturaufsätze oder Mini-Kameras aus, um Kopien anzufertigen und damit Geld abzuheben (Details dazu auch im Artikel "Angriff der Karten-Kloner").

Mit der neuen Generation müssen die Skimming-Geräte die Daten nicht mehr über einen längeren Zeitraum sammeln und die Karten lassen sich so im Wohnzimmer in Echtzeit klonen. Zudem halbiert sich das Risiko für die Betrüger, geschnappt zu werden, da das Abmontieren der Aufsätze und Auslesen der Daten nach einem Raubzug entfällt. Einzig für die Montage müssen sie noch einen Geldautomaten aufsuchen. Ganz neu ist die Masche indes nicht, bereits seit Längerem versenden einige Skimming-Geräte die Daten per Nahfunk. Dabei müssen die Täter dann aber mit einem Empfänger in Reichweite bleiben.

Zu einfach um wahr zu sein: Skimming vom Sofa aus könnte Gelegenheitskriminelle dazu verlocken, auf solche Angebote einzugehen.

Im Internet finden sich bereits einige "Skimming-für-Dummies"-Sets, die neben den Schlitz- und Tastaturaufsätzen mit GSM-Funktion auch gleich noch einen Kartenschreiber zum Anfertigen der Kopien feilbieten – und das teilweise für nur 1800 US-Dollar. Doch nach Meinung des Bloggers Brian Krebs versuchen bei solchen Angeboten offenbar Betrüger andere Gelegenheits-Kriminelle abzuzocken: Hinter den Angeboten stehe keine funktionierende Hardware. Der Preis für echte Skimming-Hardware mit GSM etwa für Geldautomaten von NCR fing laut Krebs bei 8000 US-Dollar an. Für die GSM-Funktion kämen laut seinem Bericht zerlegte Handys mit größeren Akkus zum Einsatz.

Auch in Deutschland hat zumindest das Landeskriminalamt Niedersachsen den Einsatz von Handys beim Skimming beobachtet. Auf Anfrage von erklärte die LKA-Pressestelle, dass diese in der Regel aber nur zum Fotografieren oder Filmen der Tastatureingaben diene und nicht zum Versenden der gesammelten Daten.

Quelle : www.heise.de

[SiLæncer]

Als Maßnahme gegen das 2010 stark angestiegene Ausspähen der Daten von EC- und Kreditkarten an Geldautomaten fordert das Bundeskriminalamt magnetstreifenlose Karten, berichtet die Frankfurter Allgemeine Sonntagszeitung. Seit dem 1.1.2011 werden die Transaktionen zwischen Karte und Geldautomat im Euro-Raum von dem EMV-Chip abgewickelt, der die im Magnetstreifen enthaltenen Daten verschlüsselt speichert und das Fälschen von Karten unmöglich machen soll. Dennoch haben die meisten EC- und Kreditkarten weiterhin einen Magnetstreifen.

Laut Frankfurter Allgemeiner Sonntagszeitung schlägt das BKA den Banken vor, standardmäßig EC- und Kreditkarten ohne Magnetstreifen auszugeben und lediglich Kunden, die ihre Karten auch im außereuropäischen Ausland einsetzen, eine zweite Karte mit Magnetstreifen auszuhändigen. Das sollen lediglich fünf Prozent der Bankkunden sein.

Laut Bundeskriminalamt wurden bereits im ersten Halbjahr 2010 so viele Skimming-Fälle registriert wie im gesamten Vorjahr. Dabei manipulieren Betrüger Geldautomaten, aber zunehmend auch Kartenterminals und Kassen so, dass beim Einschieben der EC- oder Kreditkarte die Daten auf dem Magnetstreifen ausgelesen und gespeichert oder versendet werden. Gleichzeitig nimmt eine Kamera die PIN auf, die der Kartenbesitzer eingibt. Mit diesen Informationen ist es möglich, ein Duplikat der Karte herzustellen.

Quelle : www.heise.de

[SiLæncer]

Betrüger haben über manipulierte Kartenterminals in einem Baumarkt in Hannover die Daten und PINs von EC-Karten kopiert. Durch damit angefertigte Kartenkopien hoben sie dann nach einem Bericht der Hannoverschen Allgemeinen Zeitung von Bankautomaten in den USA Geld von 140 Opfern ab. Die Höhe des Schadens ist noch unklar.

Die Täter hatten laut Bericht offenbar mehrere Terminals an den Kassen in einem Hornbach-Baumarkt im Stadtteil Linden manipuliert und über zwei Wochen lang die Daten von den Magnetstreifen mitgelesen. Nach Polizeiangaben sei dies der erste Fall in Hannover.

Wie genau die Täter die Terminals manipulierten ist unklar. Denkbar ist, dass die Geräte vor Ort mit einer zusätzlichen Elektronik ausgestattet und die Daten später ausgelesen wurden. Möglicherweise wurden zuvor gestohlene Geräte präpariert und dann gegen die Baumarktgeräte ausgetauscht. 2008 wurden sogar Fälle bekannt, in denen Terminal bereits ab Werk mit Skimming-Modulen ausgestattet waren, die die Daten per GSM an die Skimmer weiterleiteten.

Neu sind die Skimming-Versuche in Geschäften nicht. Bereits 2007 wurde ein hessischer Baumarkt Opfer eines Angriffs, bei dem mehr als 560 Kunden das Konto leergeräumt wurde; der Schaden betrug fast 1 Million Euro. Ende 2010 wurde Aldi USA von einer Skimming-Welle heimgesucht. Im europäischen Ausland ist zudem auch das Skimming an Tankstellen-Terminals verbreitet.

Da die Banken immer mehr Aufwand treiben, das Skimming an Bankautomaten zu verhindern, könnten die Kriminellen künftig verstärkt auf das Ausspähen von Kartendaten in Geschäften, Tankstellen und Restaurants ausweichen. Allerdings ist der Aufwand und das Risiko, erwischt zu werden, erheblich höher.

Das auf den Kartenchip zurückgreifende EMV-Verfahren soll dank der verschlüsselten Kommunikation zwischen Karte, Terminal und Bankserver das Ausspähen verhindern. Allerdings ist aus Kompatiblitätsgründen auf den Karten immer noch der Magnetstreifen untergebracht. Das Bundeskriminalamt fordert deshalb das sogenannte 'Magstripe-Controlling'. Dieses beinhaltet Maßnahmen wie etwa die Reduzierung der Einsatzmöglichkeiten der Karte nach Risikoländern, die Festlegung von Limits für Auslandsabhebungen sowie die grundsätzliche Deaktivierung der Karte für den Einsatz in 'Nicht-Chip-Ländern'. Damit hätten die Skimmer im vorliegenden Fall die Kartenkopien etwa in den USA nicht benutzen können.

Quelle : www.heise.de

[SiLæncer]

Im Mainzer Hauptbahnhof haben Kriminelle EC-Kartendaten und PINs von Bahnkunden an drei Fahrtkartenautomaten ausgespäht. Die Polizei fand nach einem Zeugenhinweis an zwei Automaten Skimming-Hardware, an einem weiteren fanden sie Klebereste, was darauf hindeutet, dass auch dieser Automat manipuliert war. Die Kriminellen haben zum einen die Magnetstreifendaten mit einem Aufsatz vor dem Kartenschlitz abgegriffen und zum anderen die dazugehörigen PINs mittels einer kleinen Kamera oberhalb des PIN-Eingabefelds gespeichert.

Dies ist nicht der erste Fall dieser Art: Wie ein Sprecher der Deutschen Bahn auf Rückfrage von heise Security bestätigte, wurden bereit im März rund zehn Fahrkartenautomaten in Oberhausen, Koblenz, Bielefeld und Mülheim (Ruhr) für Skimming missbraucht. Die Bahn hat daraufhin ihr Sicherheitspersonal und die Bundespolizei angewiesen, die Automaten regelmäßig zu kontrollieren. Zudem wurde ein Update auf den Geräten installiert, das die Kunden bei der PIN-Eingabe anweist, das Tastenfeld zu bedecken.

Bislang hatten es die Kriminellen vor allem auf Geldautomaten und EC-Terminals in Geschäften abgesehen. Auch Tankstellenautomaten wurden bereits von Kriminellen mit Skimming-Hardware ausgerüstet. Der für das Skimming genutzte Magnetstreifen wird hierzulande eigentlich gar nicht mehr für den Zahlungsverkehr benötigt, da in der Regel nur der Chip ausgelesen wird. Der Magnetstreifen dient als Backup und für Transaktionen in Ländern, die bei der Zahlungsabwicklung noch nicht den Chip auswerten – in diese Länder reisen auch die Kriminellen, um ihre erbeuteten Magnetstreifendaten zu Geld zu machen.

Quelle : www.heise.de