pte20060310037 Technologie/Digitalisierung, Handel/Dienstleistungen

US-Banken droht PIN-Skandal

Sicherheitslücke ermöglichte Hackern PIN-Code-Diebstahl


Washington (pte037/10.03.2006/15:29) Dem US-Bankwesen könnte ein Betrugsskandal bisher unbekannten Ausmaßes entgegen rollen. Ermittler sind einem umfangreichen Bankkarten-Betrug auf die Schliche gekommen, bei dem es Hackern gelungen ist, in den Besitz der PINs von Kundenkarten zu kommen. Betroffen seien Tausende Karten von verschiedenen US-Banken, wie die Gartner-Sicherheitsexpertin Avivah Litan vermutet und in diesem Zusammenhang vom "schlimmsten Betrug aller Zeiten" spricht.

Die Informationen aus Bankkreisen sind dünn gesät. Gartner http://www.gartner.com zieht seine Schlüsse daraus, dass die Citibank http://www.citibank.com und einige andere Institute alle PIN-basierten Transaktionen in den Ländern Canada, Großbritannien und Russland diese Woche unterbunden hat und schon seit Wochen betroffene Bankkarten ihrer Kunden austauscht. Die ersten Berichte über leergeräumte Konten wurden Anfang der Woche publik. Die Banken räumten Sicherheitsprobleme ein und teilten mit, dass die Austauschaktion als Sicherheitsmaßnahme für betroffene Bankkonten notwendig sei. Die Citibank habe im vergangenen Monat eine nicht näher genannte Anzahl von betrügerischen Bargeldbehebungen registriert, berichtete die New York Times.

Litan bezieht sich auf Informanten aus dem Finanzbereich und geht davon aus, dass es sich bei den Betrugsfällen um ein PIN-Block-Muster handelt. Die Hacker haben sich Zugriff auf Server von Händlern verschafft und dabei die Karteninformationen, die verschlüsselten PINs, die Terminal Keys sowie vermutlich auch weitere Informationen, die sich am Magnetstreifen der Bankkarten befinden, entwenden können. "Das Problem ist, dass Händler die Kartendaten, nachdem sie im Lesegerät eingegeben wurden, für die Verrechnung nicht sicher genug speichern. Im schlimmsten Fall werden auch die Chiffriercodes auf demselben System abgelegt", kritisiert Litan. Diese Vorgehensweise macht es verlockend für Hacker. " Das ist eine potenzielle Goldmine. Man bekommt mit einem einzigen erfolgreichen Hack die PIN-Codes und die Schlüssel, um sie zu lesen", so Litan.

Im vorliegenden Fall, so Litan, hätten die Diebe die erbeuteten Information genutzt, um Duplikate der Kundenkarten herzustellen. Mit diesen räumten sie dann die Konten via Geldautomaten leer. Ein Szenario, das für Walter Bödenauer, Senoir Vice President von Europay Austria http://www.europay.at , unvorstellbar ist. "Sofern die Eingabegeräte der Norm entsprechen und keine Dummy-Terminals sind, ist das Abgreifen der Karteninformationen und PINs bei unseren Systemen nicht möglich", erklärt Bödenauer auf Anfrage von pressetext. Das PIN-Set sei durch verschieden Verfahren gesichert. Bei der Kommunikation mit der Verrechnungsstelle sei sowohl die Nachricht als auch die Übertragung selbst verschlüsselt. Auch das PIN-Pad an sich könne nicht gehackt werden. "Schon der Versuch sich in das Code-Eingabegerät zu hacken, löst die Selbstzerstörung aller darauf befindlichen Daten aus", so Bödenauer.

Der US-Fall könnte sich noch ausweiten und sei laut Litan nur die Spitze des Eisbergs. Noch sei nicht geklärt welcher Händler Ziel des Angriffs war, jedoch könnte diese Art des Betrugs zum neuen Trend bei Kriminellen werden. "Hacker werden diese Sicherheitslücke so oft es geht ausnutzen. Denn es ist besser, direkt Geld bei einem Automaten zu erbeuten, als Produkte zu kaufen, die dann erst wieder zu Barem gemacht werden müssen", mahnt Litan.

(Ende)
Aussender: pressetext.austria
Ansprechpartner: Andreas List
Tel.: ++43-1-81140-313
E-Mail: list@pressetext.com
|