Cambridge-Forscher hacken Chipkarten-Zahlungssystem

Zwei Forscher des Cambridge University Computer Laboratory haben ein Szenario nachgestellt, wie Hacker die neuesten Sicherheitsmaßnahmen britischer Banken umgehen können. Saar Drimer und Steven Murdoch hatten bereits vergangenen Monat demonstriert, wie sich ein angeblich manipulationssicherer Chipkartenleser mit PIN-Eingabe zum Tetrisspielen umfunktionieren lässt. Mit der Erweiterung dieses Hacks ist es ihnen nun gelungen, das Chip-und-PIN-System durch die Umleitung von Karteninformationen von einer echten auf eine falsche Karte zu überlisten.

In dem Modellversuch zahlte ein Kunde eine Restaurantrechnung mit seiner Bankkarte, indem er seine Daten in einen scheinbar echten Kartenleser eingab. In Wirklichkeit war das Gerät allerdings nicht mit der Bank, sondern mit einem Laptop verbunden, der die Karteninformationen direkt an einen beliebigen Rechner, etwa in einem Juweliergeschäft, hätte weiterleiten können. Auf diese Weise hätten Kriminelle die völlige Kontrolle über das Bezahlterminal gehabt. So wäre es ihnen beispielsweise möglich gewesen, dem Restaurantbesucher einen Zahlungsbetrag von 40 Dollar anzeigen zu lassen, während mit den übertragenen Karteninformationen eigentlich 4000 Dollar vom Konto abgebucht worden wären.

Die Forscher wollten mit ihrem Experiment zeigen, dass das im vergangenen Jahr in England eingeführte System nicht so sicher sei, wie von den Banken behauptet. Die Kombination aus Chip und PIN schütze nicht vor dieser Art von Angriff. Dennoch sollten Kunden nach dem Willen der Banken für Missbrauchsfälle verantwortlich gemacht werden, in denen die PIN-Nummer benutzt wurde, kritisierten die Cambridge-Wissenschaftler. „Wenn ein Kunde mit einer Chipkarte bezahlt, muss er darauf vertrauen, dass der Kartenleser die korrekte Transaktionssumme anzeigt. Unser Versuch hat jedoch gezeigt, dass ein Terminal jederzeit durch ein manipuliertes Gerät ersetzt werden kann, das keinerlei verdächtige Spuren aufweist.“

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

4 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago