Wirtschaft
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

«PIN nutzlos»: ETH-Forscher entdecken Sicherheitslücke bei Kreditkarten



Zur

ETH findet ein Schlupfloch bei Kreditkarten. Bild: sda

Eine Schwachstelle im Protokoll des Kreditkartenunternehmens Visa erlaubt Betrügern, Beträge von Karten abzubuchen, die eigentlich mit einem PIN-​Code bestätigt werden müssten. Das teilte die ETH Zürich am Dienstag mit.

«Der PIN-​Code ist bei diesen Karten im Grunde genommen nutzlos», sagte der Informatiker Jorge Toro-​Pozo gemäss der Mitteilung. Da andere Unternehmen wie Mastercard, American Express oder JCB ein anderes Protokoll verwenden als Visa, sind diese Karten von der identifizierten Schwachstelle nicht betroffen. Möglicherweise besteht die Lücke aber auch bei Karten von Discover und UnionPay.

Die Basis für das bargeldlose Bezahlen ist der EMV-​Standard, der bei weltweit über neun Milliarden Karten zur Anwendung kommt. Diesen haben die Wissenschaftler unter die Lupe genommen und sind im Protokoll, das vom Kreditkartenunternehmen Visa eingesetzt wird, auf die Sicherheitslücke gestossen. Die Resultate der Arbeit wurden auf den Preprint-Server «arXiv» hochgeladen und noch nicht von anderen Wissenschaftlern begutachtet.

App überlistet Sicherheitssystem

Die ETH-Forschenden machten mit ihren eigenen Kreditkarten die Probe aufs Exempel: Der vermeintliche Betrug gelang ihnen in verschiedenen Geschäften. Dafür programmierten sie eine Android-App, die das Sicherheitssystem der Karte überlistet. Die App ermöglicht es Handys, vom Chip auf der Kreditkarte zu lesen und mit Bezahlterminals Informationen auszutauschen.

Um Geld von der Kreditkarte abzubuchen, lasen die Forschenden zunächst mit einem ersten Handy Daten von der Karte ein und übermittelten diese an ein zweites Handy. Mit diesem buchten sie dann den gewünschten Betrag an der Kasse ab. Das Android-Betriebssystem wies übrigens keine speziellen Sicherheitshürden auf, um die neu entwickelte App zu installieren.

Die Forschenden haben Visa bereits über die Sicherheitslücke informiert. Diese zu schliessen wäre laut ihnen nur mit geringem Aufwand verbunden: Drei Ergänzungen im Protokoll würden beim nächsten Softwareupdate auf den Bezahlterminals genügen. Die Karten müssten dafür nicht ersetzt werden, sagte Toro. (aeg/sda)

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

So manipulieren Karten unser Kaufverhalten

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

33
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
33Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • lilie 01.09.2020 14:56
    Highlight Highlight Warum wird sowas überhaupt veröffentlicht? Damit alle, welche noch einen Kreditkartenbetrug auf der Bucketlist haben, den jetzt noch erledigen können?

    Der Kreditkartenfirma melden, damit sie die Lücke schliessen kann, und gut ist. Diese Manie, alles an die Öffentlichkeit zu bringen, finde ich irgendwie bedenklich.
    • _andreas 01.09.2020 15:12
      Highlight Highlight In den meisten fällen wird es erst der Betreffenden Firma gemeldet und wenn diese nicht reagiert, dann wird es veröffentlich um die Firma zum handeln zu zwingen. Z. B. Google macht das mit Project Zero auch so.
    • Cash 01.09.2020 15:31
      Highlight Highlight Wie im Artikel erwähnt wurde es bereits Visa gemeldet, wenn diese nichts tun, ist so etwas öffentlicher Druck imme gut.
    • Adam Gretener 01.09.2020 15:45
      Highlight Highlight Von einem Geschäftspartner würde ich gerne wissen, wenn er solche Fehler hat.
    Weitere Antworten anzeigen
  • Mätse 01.09.2020 14:31
    Highlight Highlight Damit dieser Angriff klappt muss jemand meine Kreditkarte zuerst klauen.

    Quelle: https://ethz.ch/de/news-und-veranstaltungen/eth-news/news/2020/09/den-pin-code-ueberlisten.html
    • RandomNicknameGenerator 01.09.2020 16:25
      Highlight Highlight Oder einfach das Handy im Zug jemanden an den Geldbeutel halten... Zudem soll der PIN ja auch genau vor dem Fall schützen. Das Ziel ist 2-Faktor Authorisierung: der erste Faktor ist physisch (die Karte) und der zwei Wissensbasiert (die PIN oder in Apps alternativ der "Fingerabdruck"). Fehlt ein Element, ist die Karte nicht mehr sicher.
    • Seuli 01.09.2020 16:30
      Highlight Highlight @Mätse
      J-ein. Der eine Gauner ist mit dem Handy im Laden und versucht zu bezahlen, der andere Gauner mit dem zweiten Handy kann sich theoretisch irgendwo befinden und versuchen, jemandes Karte in der Tasche auszulesen.

      Wie gesagt, Theorie.
    • Alnothur 01.09.2020 16:39
      Highlight Highlight Bis 50 Franken kann man heutzutage sowieso ohne PIN bezahlen, ganz unsicher.
    Weitere Antworten anzeigen
  • Der Buchstabe I 01.09.2020 14:19
    Highlight Highlight Bei irgendeinem Online-Account:

    Gross- und Kleinbuchstaben, Zahlen, Sonderzeichen, 36 Stellen, das Blut einer Jungfrau, das Haar eines Einhorns.

    Bei der Kreditkarte:

    Zugriff auf dein gesamtes Vermögen Easy Brudi, vier Zahlen.
    • ands 01.09.2020 16:10
      Highlight Highlight Der Unterschied ist, dass bei einem Online-Account jeder, jederzeit, (oftmals) beliebig oft versuchen kann, auf deinen Account zuzugreifen. Bei der Kreditkarte benötigt man erstmal die Karte. Dann hat man einige Minuten bis maximal wenige Stunden, bis die Karte gesperrt ist.
    • kobL 01.09.2020 16:26
      Highlight Highlight Man hat genau drei Versuche, danach ist die Karte gesperrt. Bei einem Onlinekonto kann man es beinahe x-beliebig oft versuchen, darum muss da das Passwort vor allem länger sein, Komplexität ist eigentlich nicht so wichtig.

      Und man kann auch 6 Stellen als Pin benutzen, bei meinen KK ist es jedenfalls so.
    • Thorium 01.09.2020 16:59
      Highlight Highlight Bist nicht ganz up to Date. Das Blut einer Jungfrau ist seit meetoo nicht mehr zulässig. Ich nehme zur Sicherheit immer 100% vegane Passwörter.
  • Outfluencer 01.09.2020 14:03
    Highlight Highlight Wo gibts die App zum testen? 😂
  • Nora Flückiger 01.09.2020 12:44
    Highlight Highlight Ach ja, unsicher? Als ob irgend etwas auf einem Smartphone sicher ist!
    • Mätse 01.09.2020 14:27
      Highlight Highlight Es hat nichts mit dem Smartphone zu tun. Das von Visa verwendete Protokoll ist unsicher. Das Programm könnte auch auf einem anderen NFC-fähigen Geräte/Computer laufen.
    • Nora Flückiger 01.09.2020 15:10
      Highlight Highlight @Mätseben, auch auf einem Smartphone, das eh die meisten tagtäglich überall hin mitschleppen!
    • My Senf 01.09.2020 16:08
      Highlight Highlight Aha @Mätse z.B.?
      gehst Du mit der NFC Sound bar bezahlen?
      Du brauchst ApplePay oder GooglePay dazu ev. auch SamsungPay
      Das letzte mal als ich nachgeschaut habe konnte meine NFC Fähige Sound bar noch nicht mit GooglePay bezahlen
    Weitere Antworten anzeigen

Das steckt hinter den merkwürdigen Paket-SMS, die gerade Tausende Schweizer erhalten

SMS, die über den Lieferstatus bestellter Waren informieren, sind praktisch. Doch aktuell versenden Betrüger massenhaft Fake-SMS im Namen von Paketdiensten. Sie haben es auf Kreditkartennummern abgesehen – und locken die Opfer in eine Abofalle.

Schweizer Smartphone-Nutzer werden von einer neuen Phishing-Welle heimgesucht: Kriminelle versenden grossflächig betrügerische Fake-SMS im Namen von Paketlieferdiensten wie DHL oder FedEx. In den Kurznachrichten ist von einem unzustellbaren Paket die Rede. Die Sendung sei im Verteilzentrum angehalten worden. Am Ende der Nachricht folgt ein Link, mit dem man den Sendestatus verfolgen könne.

Der genaue Wortlaut und der Kurzlink, also die abgekürzte Internetadresse in der Phishing-SMS, können von …

Artikel lesen
Link zum Artikel