Cambridge-Forscher hacken Chipkarten-Zahlungssystem

Zwei Forscher des Cambridge University Computer Laboratory haben ein Szenario nachgestellt, wie Hacker die neuesten Sicherheitsmaßnahmen britischer Banken umgehen können. Saar Drimer und Steven Murdoch hatten bereits vergangenen Monat demonstriert, wie sich ein angeblich manipulationssicherer Chipkartenleser mit PIN-Eingabe zum Tetrisspielen umfunktionieren lässt. Mit der Erweiterung dieses Hacks ist es ihnen nun gelungen, das Chip-und-PIN-System durch die Umleitung von Karteninformationen von einer echten auf eine falsche Karte zu überlisten.

In dem Modellversuch zahlte ein Kunde eine Restaurantrechnung mit seiner Bankkarte, indem er seine Daten in einen scheinbar echten Kartenleser eingab. In Wirklichkeit war das Gerät allerdings nicht mit der Bank, sondern mit einem Laptop verbunden, der die Karteninformationen direkt an einen beliebigen Rechner, etwa in einem Juweliergeschäft, hätte weiterleiten können. Auf diese Weise hätten Kriminelle die völlige Kontrolle über das Bezahlterminal gehabt. So wäre es ihnen beispielsweise möglich gewesen, dem Restaurantbesucher einen Zahlungsbetrag von 40 Dollar anzeigen zu lassen, während mit den übertragenen Karteninformationen eigentlich 4000 Dollar vom Konto abgebucht worden wären.

Die Forscher wollten mit ihrem Experiment zeigen, dass das im vergangenen Jahr in England eingeführte System nicht so sicher sei, wie von den Banken behauptet. Die Kombination aus Chip und PIN schütze nicht vor dieser Art von Angriff. Dennoch sollten Kunden nach dem Willen der Banken für Missbrauchsfälle verantwortlich gemacht werden, in denen die PIN-Nummer benutzt wurde, kritisierten die Cambridge-Wissenschaftler. „Wenn ein Kunde mit einer Chipkarte bezahlt, muss er darauf vertrauen, dass der Kartenleser die korrekte Transaktionssumme anzeigt. Unser Versuch hat jedoch gezeigt, dass ein Terminal jederzeit durch ein manipuliertes Gerät ersetzt werden kann, das keinerlei verdächtige Spuren aufweist.“