Kontrollieren Sie regelmäßig Ihre Kreditkartenrechnungen? Nein? Nun, das sollten Sie grundsätzlich tun. Außerdem sind momentan Betrüger mit geklonten Karten in europäischen Städten unterwegs. Und das trotz des laut den Kreditinstituten sicheren Chip+PIN-Konzeptes.
c’t und der Zeit gelang es, die Vorgehensweise der Betrüger nachzuvollziehen. Zentraler Punkt ist das im Untergrund für etwa 20.000€ gehandelte Werkzeug MacGyver. Dies wird zusammen mit weiteren Daten – wie sie in Datenbanken gestohlener Kreditkartendaten aus diversen Fällen vorhanden sind – auf im Internet frei zu kaufende Java-Smartcards geschrieben. Die farblosen Karten werden danach bedruckt und geprägt, sodass sie nur noch äußerst schwer von regulären Kreditkarten zu unterscheiden sind.
Beim Zahlvorgang verhält sich MacGyver gegenüber dem Bezahlterminal wie eine Visa-, Mastercard- oder American-Express-App. Dabei akzeptiert sie eine beliebige PIN wie „0000“. Im Anschluss sendet die App gemäß des EMV-Standards kryptographisch gesicherte Daten zur Transaktion sog. Authorization Request Cryptogram (ARQC) an das die Karte herausgebende Kreditinstitut. c’t gibt hier an, ihre Analysten entdeckten, dass MacGyver nicht in der Lage ist, korrekte ARQCs zu erzeugen. An dieser Stelle sparen die Banken offenbar an der aufwändigen Prüfung der kryptographisch gesicherten Informationen und autorisieren die Transaktion dennoch.
//matthias.p
Quellen (Stand 23.01.2016):
| www.heise.de | c’t 03/2016 |