Cambridge-Forscher hacken Chipkarten-Zahlungssystem

Zwei Forscher des Cambridge University Computer Laboratory haben ein Szenario nachgestellt, wie Hacker die neuesten Sicherheitsmaßnahmen britischer Banken umgehen können. Saar Drimer und Steven Murdoch hatten bereits vergangenen Monat demonstriert, wie sich ein angeblich manipulationssicherer Chipkartenleser mit PIN-Eingabe zum Tetrisspielen umfunktionieren lässt. Mit der Erweiterung dieses Hacks ist es ihnen nun gelungen, das Chip-und-PIN-System durch die Umleitung von Karteninformationen von einer echten auf eine falsche Karte zu überlisten.

In dem Modellversuch zahlte ein Kunde eine Restaurantrechnung mit seiner Bankkarte, indem er seine Daten in einen scheinbar echten Kartenleser eingab. In Wirklichkeit war das Gerät allerdings nicht mit der Bank, sondern mit einem Laptop verbunden, der die Karteninformationen direkt an einen beliebigen Rechner, etwa in einem Juweliergeschäft, hätte weiterleiten können. Auf diese Weise hätten Kriminelle die völlige Kontrolle über das Bezahlterminal gehabt. So wäre es ihnen beispielsweise möglich gewesen, dem Restaurantbesucher einen Zahlungsbetrag von 40 Dollar anzeigen zu lassen, während mit den übertragenen Karteninformationen eigentlich 4000 Dollar vom Konto abgebucht worden wären.

Die Forscher wollten mit ihrem Experiment zeigen, dass das im vergangenen Jahr in England eingeführte System nicht so sicher sei, wie von den Banken behauptet. Die Kombination aus Chip und PIN schütze nicht vor dieser Art von Angriff. Dennoch sollten Kunden nach dem Willen der Banken für Missbrauchsfälle verantwortlich gemacht werden, in denen die PIN-Nummer benutzt wurde, kritisierten die Cambridge-Wissenschaftler. „Wenn ein Kunde mit einer Chipkarte bezahlt, muss er darauf vertrauen, dass der Kartenleser die korrekte Transaktionssumme anzeigt. Unser Versuch hat jedoch gezeigt, dass ein Terminal jederzeit durch ein manipuliertes Gerät ersetzt werden kann, das keinerlei verdächtige Spuren aufweist.“

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

16 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

20 Stunden ago