Forscher warnen vor neuem Kreditkartenbetrug

Dienstag den 13.12.2016

Ohne die Kreditkarte jemals in der Hand gehalten oder die Kartendaten gesehen zu haben, können Kriminelle binnen Sekunden das Konto plündern und nach Herzenslust einkaufen. Das belegt eine Studie der Newcastle University. Die Täter probieren einfach tausende Kombinationen von Kreditkarten-Informationen aus, bis sie ins Schwarze treffen. Probleme bereitet das vor allem Inhabern einer Visa Card. Konkurrent MasterCard sichert sein System gegen derlei Angriffe ab.

Rate-Angriff auf Kreditkartendaten

Rund drei Millionen Euro haben Täter in England mit dieser Methode bereits erbeutet, bei einer gezielten Attacke gegen eine einzige Bank. Davon gehen die Wissenschaftler zumindest aus. Demnach versuchen die Täter mithilfe von Software bei tausenden Onlineshops einzukaufen. Dabei nutzen sie jeweils leicht veränderte Kreditkartendaten. Benötigt werden die Kartennummer, das Ablaufdatum und der Sicherheitscode von der Kreditkartenrückseite.

Das System der Täter erkennt sofort, wenn Daten von einem Shop als korrekt ausgewiesen werden. Die Forscher sprechen von einer Distributed Guessing Attack, einem Rate-Angriff. „Diese Methode nutzt zwei Schwachstellen aus“, erklärt die Newcastle University. Für sich genommen seien sie nicht schlimm. Erst in Kombination stellten sie ein ernsthaftes Risiko dar.

Täter nutzen Schwachstellen aus

Schwachstelle Nummer eins: Selbst eine enorm große Zahl ungültiger Bezahlversuche wird teilweise nicht erkannt. Dabei ist es eher unerheblich, dass bei einigen Shops nach zehn oder 20 Versuchen Schicht im Schacht ist. Dann wird es einfach beim nächsten Onlinehändler probiert. Das gilt für Visa. MasterCard hingegen registriert den Angriff und macht die Schotten dicht.

Das zweite Problem: Es mangelt an einem Standard, welche Kreditkartendaten beim Bezahlvorgang abgefragt werden. Den Tätern reicht es, wenn sie eine positive Rückmeldung zu einem Datenfeld haben. Dann geht es mit dem nächsten weiter.

Der ganze Vorgang dauert nicht lange. Für den Sicherheitscode sind maximal 1.000 Versuche nötig, für das Ablaufdatum bis zu 60. Doch zunächst wird nach gültigen Kreditkartennummern gesucht. Hat man diese, geht es mit dem Ablaufdatum weiter und dann mit dem Card Validation Code – je nachdem, welche Informationen von den Shops erfragt werden. Bis der Datensatz komplett ist, vergehen weniger als sechs Sekunden.

Die Kreditkartenabrechnung prüfen

Verbraucher sollten daher ihre Kreditkartenabrechnung regelmäßig kontrollieren. Nur so lässt sich sicherstellen, dass man nicht Opfer eines dieser Angriffe geworden ist. Ebenfalls sehr wichtig: Die 3D-Secure-Verfahren Verified by Visa und der Secure Code von MasterCard, für die man sich umgehend registrieren sollte.

Einen Kommentar schreiben: