Tesco-Banking-Hack durch Visa-Karten-Schwachstelle?

Anfang November musste die britische Tesco-Bank das Online-Banking stoppen, weil unberechtigte Buchungen festgestellt wurden. Hat eine Schwachstelle in Visa-Kreditkarten die Zahlungsabflüsse ermöglicht?


Anzeige

Zum Hintergrund

An einem der ersten November-Wochenenden bemerkten 40.000 Kunden der Tesco-Bank plötzlich mysteriöse Buchungsvorgänge auf ihren Konten. Bei 20.000 Konten wurden Gelder abgebucht, ohne dass deren Besitzer Zahlungen vornahmen. Die Bank musste daher das System für Online-Bezahlvorgänge stoppen. Ich hatte im Beitrag 20.000 Kunden verlieren Geld – TESCO-Bank stoppt Online-Payment über den Fall berichtet. Laut diesem Artikel wurden 2,5 Millionen Pfund Guthaben von 9.000 Tesco-Konten gestohlen.

Die Visa-Karten-Schwachstelle

Jetzt kommt möglicherweise eine Erklärung, warum die Online-Kriminellen auf die Tesco-Bankkonten zugreifen konnten. Der britische The Guardian berichtet im Beitrag Tesco Bank cyber attack involved guesswork, study claims über eine neue Studie von Wissenschaftlern der Newcastle University.

Unter dem Namen distributed guessing attack" haben sie eine Methode entwickelt, die jegliche Sicherheitsprüfungen bei Visa-Karten umgehen kann. Mittels der Methode lässt sich die Kartennummer, das Ablaufdatum der Karte und der aus drei Ziffern bestehende Sicherheitscode (CVV) einer jeden Visa-Kreditkarte errechnen. Hierzu werden einfach Werte per Zufallszahl bestimmt und so lange probiert, bis eine Kombination passt.

Offenbar liefert das Visa-Zahlungssystem bei jeder Anfrage eine Rückmeldung, ob die angegebenen Daten stimmen. Und es findet keine Prüfung statt, ob tausende von Anfragen durchgeführt werden. Dadurch soll es binnen 6 Sekunden möglich sein, gültige Kreditkartendaten zu "erraten". Online-Betrüger können dann über eine Vielzahl von Webseiten mit Shop-Systemen diese Kreditkartendaten per Programm "probieren" lassen.

Die Forscher der Newcastle University haben weltweit 400 der größten Webshops, u.a. Google, Amazon, iTunes auf diese Sicherheitslücke abgeklopft und konnten über 300 Shops identifizieren, wo der Angriff über die Sicherheitslücke erfolgreich möglich gewesen wäre. Besitzt ein Hacker eine gültige Kreditkartennummer, kann er das Ablaufdatum in maximal 60 Schritten ermitteln (Hintergrund ist, dass Kreditkarten eine Gültigkeit von 60 Monaten besitzen). Auch die CVV lässt sich durch Probieren bestimmen.

Ob diese Schwachstelle ursächlich für die Tesco-Hacks waren, steht damit natürlich noch nicht fest. Aber es ist erschreckend, welche Sicherheitslücken in Zahlungssystemen existieren. Weitere Details sind diesem Artikel zu entnehmen. Nachtrag: Ein deutschsprachiger Artikel findet sich zwischenzeitlich bei heise.de.

Ähnliche Artikel:
20.000 Kunden verlieren Geld – TESCO-Bank stoppt Online-Payment
Banking-Trojaner-Alarm: Dreambot und Gugi
Android-Banking-Trojaner zielt auf deutsche Kunden
Banking-Trojaner Retefe
Phishing: Wirtschaftsschutz & Die Top 5 der E-Mail-Fallen
Hack der russischen Zentralbank, Millionenbeute


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Tesco-Banking-Hack durch Visa-Karten-Schwachstelle?

  1. Paul Brusewitz sagt:

    Die Lücke kann einem ja Wurscht sein, solange die Banken die volle Haftung übernehmen. Ich bin vor kurzem durch Übernahme zu einer neuen Bank gewechselt. Die will als Sicherheit für den Onlinebanking-Zugang eine 5-stellige Ziffernkombination.

    Das ist sowas von 90er Jahre …

    Als ob seit dem nix passiert wäre in der Online-Welt. Können Sie natürlich machen, dann sollen Sie aber auch bei Schäden voll haften, so dass kein Schaden beim Kunden hängen bleibt.

    MfG Paul B.

Schreibe einen Kommentar zu Paul Brusewitz Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.