Kreditkarten: Betrug trotz Chip+PIN möglich

Noch ein dickes Ei zum Wochenende: Bei Kredit- und EC-Karten werden zwischenzeitlich ja Chips statt Magnetstreifen eingesetzt und zur Zahlungsautorisierung lässt sich eine PIN verwenden. Ist bombensicher – so die Kreditkartenwirtschaft. Denkste, ist die neueste Erkenntnis – manchmal ist die PIN Schall und Rauch.

Brian Krebs hat bereits im April 2015 in diesem Blog-Beitrag auf Fälle von Kreditkartenbetrug in den USA und Brasilien hingewiesen, wo Chip-basierende Karten trotz der Absicherung durch EMV missbraucht wurden. EMV steht für Europay International, MasterCard und VISA) und ist eine Spezifikation für Chip-Zahlungskarten. Betroffen waren Visa und MasterCard, deren Kreditkarten wohl gefälscht wurden.

Das EMV-Verfahren ist aber keinesfalls so betrugssicher, wie man glauben kann. Laut Wikipedia ist es bereits 2010 Informatikern der Univerity of Cambrige einen Main-in-teh-middle-Angriff auf ein Zahlungsterminal (POS) auszuführen und die Transaktion auszutricken. So konnte ohne gültige PIN gezahlt werden.

Nun ist es heise.de, laut eigener Aussage, gelungen, das Chip+PIN-System von Kreditkarten über eine weitere Schwachstelle auszuhebeln. Hierzu wurde eine – im Darknet gehandelte – JavaSoftware mit dem Namen MacGyver auf die gefälschte Chip-Karte geschrieben. Damit kann sich die Kreditkarte gegenüber POS-Terminals als Visa-, Master- oder American Express-Kreditkarte ausgeben. Beim Bezahlen akzeptiert die Software beliebige PINs – der Zahlungsdatensatz wird dann verschlüsselt übertragen.

Normalerweise sollte dann bei der Prüfung im Zahlungsinstitut auffallen, dass die Authorization Request Cryptogram (ARQC)-Daten fehlerhaft sind. Offenbar wird diese Prüfung aber von einigen Banken nicht durchgeführt und die Zahlung geht durch. Die Schlamper sitzen wohl in Asien, sowie in Nord- und Südamerika. Deutsche Kreditkarten sollen nicht betroffen sein. Details könnt ihr im heise.de-Artikel oder hier bei der Zeit in einem gut geschriebenen Artikel nachlesen.