• EC Terminal Sicherheitslücken

Bargeldlose Zahlsysteme weisen Sicherheitslücken auf

EC Karten Terminals können gehackt werden

Der bargeldlose Zahlungsverkehr hat sich in Deutschland bereits seit längerer Zeit eingebürgert, da es für den Konsumenten überaus benutzerfreundlich gestaltet wurde, den Wareneinkauf mit der EC-Karte zu bezahlen. Was viele Menschen jedoch nicht wissen ist, dass sich hinter diesem Bezahlvorgang ein durchaus aufwendiger IT Service verbirgt, der über einIT Management abgewickelt wird. Mit einem neuen Trick jedoch können Hacker problemlos die EC-Zahlungsterminals attackieren und auf diese Weise ihre Opfer um enorme Geldsummen erleichtern.

Nahezu alle Stellen betroffen

Aufgedeckt wurde die Lücke im Sicherheitssystem der Bezahlprotokolle von einem Experten aus dem Bereich IT Service. Karsten Nohl warnte selbstverständlich umgehend öffentlich vor diesem Risiko und erläuterte gleichzeitig die Vorgehensweise der Internet-Betrüger. Ein paar Informationen wird dem Terminal einprogrammiert, dass dieses Gerät in einem ganz bestimmten Geschäft steht. Im Grunde genommen wird lediglich das Bezahlsystem des Opfergeschäfts kopiert, so dass das „IT Management“ der Hacker sich Gutscheine ausdrucken können. Diese Funktion ist ursprünglich für Kunden vorgesehen, die den Einkauf ihrer Waren bei dem jeweiligen Geschäft zurückgeben möchten. Dass die Hacker dabei jedoch überhaupt keinen Einkauf getätigt haben ist für den jeweiligen Händler nur schwerlich nachzuvollziehen. Das Geld wird jedoch von dem Betreiber des realen Terminals abgebucht. Karsten Nohl wies darauf hin, dass es enorm leicht sei, die benötigten Informationen für diesen Betrugsvorgang zu beschaffen. Es wird zum einen das Service-Passwort benötigt und zum Anderen die Terminal-ID. Das Service-Passwort ist jedoch bei nahezu jedem Gerät des jeweiligen Netzbetreibers identisch und mitunter sogar im Internet zu finden. Die Terminal-ID findet sich für gewöhnlich auf dem Kaufbeleg des Kunden. Für den letzten Schritt benötigt der Betrüger nunmehr lediglich noch ein paar Zahlen.

Das Prinzip wird in der gängigen Praxis als „Shopshifting“ bezeichnet und beruht darauf, dass die Hacker eine Verbindung mit dem Bezahlsystem des Leihgerätinhabers aufbauen, wobei die Technik eines anderen Geräts verwendet wird. Während das Geld, das aus diesem Angriff generiert wird, dem Hacker gut geschrieben wird erhält der Leihgeräteinhaber die Rechnung. Laut Karsten Nohl ist es jedoch möglich, sich gegen diesen Angriff zur Wehr zu setzen. Anhand der IP-Adresse kann jeder Leihgeräteinhaber prüfen, ob ein zweites Gerät in Verwendung ist.

2017-08-10T16:13:57+00:00