Britische Forscher knacken Kreditkartenprüfung per Chip und PIN

Forscher der University of Cambridge haben einen fundamentalen Fehler im EMV-Standard gefunden, der zur Absicherung von Zahlungen mit Debit- und Kreditkarten verwendet wird. Er ermöglicht die Entwicklung von Geräten, die die Kommunikation zwischen einer Karte und einem Zahlungsterminal abfangen und verändern, um die Eingabe einer gültigen PIN-Nummer vorzutäuschen.

Professor Ross Anderson von der Cambridge University erklärte gegenüber ZDNet, die Absicherung per Chip und PIN sei künftig bedeutungslos. Er und seine Kollegen hätten Transaktionen durchgeführt, ohne eine korrekte PIN in ein Kartenlesegerät einzugeben. Der Test habe mit Kreditkarten von sechs unterschiedlichen Geldinstituten funktioniert, darunter Barclaycard, Bank of Scotland und HSBC. Der britische Fernsehsender BBC zeigt die von den Wissenschaftlern entdeckte Betrugsmethode in einem Video.

Der Fehler im EMV-Protokoll beruhe darauf, dass Karte und Terminal bei der Gültigkeitsprüfung mehrdeutige Daten erzeugten, die die Bank als gültig akzeptiere, so die Forscher. „Dadurch glaubt das Terminal, dass die korrekte PIN eingegeben wurde – und die Karte glaubt, dass die Zahlung mit einer Unterschrift autorisiert wurde“, sagte Saar Drimer, einer der Forscher der Universität Cambridge, gegenüber der BBC.

Mark Bowerman, Sprecher der UK Payments Administration, erklärte: „Wir nehmen den Bericht sehr ernst. Trotzdem widersprechen wir der Behauptung, dass die Authentifizierung per Chip und PIN geknackt wurde.“ Bisher gebe es keine Beweise, dass das von den Forschern entwickelte Verfahren für Kreditkartenbetrug in Großbritannien benutzt worden sei.

Laut BBC arbeiten einige Banken an einem Patch für die Schwachstelle. „Es gibt Möglichkeiten, den Chip und das PIN-System zu aktualisieren, damit diese Angriffe bei den meisten Transaktionen nicht mehr funktionieren“, sagt Sicherheitsforscher Steven Murdoch, der mit Anderson und Drimer an der Untersuchung mitgewirkt hat.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago