Britische Forscher knacken Kreditkartenprüfung per Chip und PIN

Forscher der University of Cambridge haben einen fundamentalen Fehler im EMV-Standard gefunden, der zur Absicherung von Zahlungen mit Debit- und Kreditkarten verwendet wird. Er ermöglicht die Entwicklung von Geräten, die die Kommunikation zwischen einer Karte und einem Zahlungsterminal abfangen und verändern, um die Eingabe einer gültigen PIN-Nummer vorzutäuschen.

Professor Ross Anderson von der Cambridge University erklärte gegenüber ZDNet, die Absicherung per Chip und PIN sei künftig bedeutungslos. Er und seine Kollegen hätten Transaktionen durchgeführt, ohne eine korrekte PIN in ein Kartenlesegerät einzugeben. Der Test habe mit Kreditkarten von sechs unterschiedlichen Geldinstituten funktioniert, darunter Barclaycard, Bank of Scotland und HSBC. Der britische Fernsehsender BBC zeigt die von den Wissenschaftlern entdeckte Betrugsmethode in einem Video.

Der Fehler im EMV-Protokoll beruhe darauf, dass Karte und Terminal bei der Gültigkeitsprüfung mehrdeutige Daten erzeugten, die die Bank als gültig akzeptiere, so die Forscher. „Dadurch glaubt das Terminal, dass die korrekte PIN eingegeben wurde – und die Karte glaubt, dass die Zahlung mit einer Unterschrift autorisiert wurde“, sagte Saar Drimer, einer der Forscher der Universität Cambridge, gegenüber der BBC.

Mark Bowerman, Sprecher der UK Payments Administration, erklärte: „Wir nehmen den Bericht sehr ernst. Trotzdem widersprechen wir der Behauptung, dass die Authentifizierung per Chip und PIN geknackt wurde.“ Bisher gebe es keine Beweise, dass das von den Forschern entwickelte Verfahren für Kreditkartenbetrug in Großbritannien benutzt worden sei.

Laut BBC arbeiten einige Banken an einem Patch für die Schwachstelle. „Es gibt Möglichkeiten, den Chip und das PIN-System zu aktualisieren, damit diese Angriffe bei den meisten Transaktionen nicht mehr funktionieren“, sagt Sicherheitsforscher Steven Murdoch, der mit Anderson und Drimer an der Untersuchung mitgewirkt hat.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

20 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

20 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago