Geldautomat: Manipulation, Skimming & Cash Trapping

geldautomat In Deutschland gibt 58.340 Geldautomaten (Quelle Deutsche Bundesbank Stand Sept. 2017). Weitere Statistiken zum Zahlungsverkehr, Karten usw. finden Sie bei der Deutschen Bundesbank, pdf Datei Die Zahl der Geldautomaten wird schrumpfen, denn immer mehr Geschäfte bieten Bargeldabhebungen an der Kasse an. Bei Online- und Handyzahlungen wird kein Bargeld mehr benötigt.

Stellen Sie fest, dass ein Unbefugter Geld von Ihrem Konto abgehoben hat, informieren Sie umgehend Ihre Bank.
Lassen Sie die Karte sofort sperren.
Zentrale gebührenfreie Sperrnummer 116 116

Aus dem Ausland: +049 116 116

Anzahl der Skimmingfälle

2017

Bundesweit zählte Euro Kartensysteme im Jahres 2017 499 Manipulationen von Geldautomaten – Schwerpunkt war dabei Berlin mit 267 Fällen. Im Vorjahreszeitraum waren es bundesweit 344, im Gesamtjahr 2016 dann 369. Auf rund 2,2 Millionen Euro beziffert Euro Kartensysteme den Bruttoschaden durch Skimming-Angriffe für das Gesamtjahr.

In Rheinland-Pfalz manipulierten Kriminelle von Januar bis einschließlich November nach Angaben von Euro Kartensysteme 11 Mal Automaten, um Kartendaten und Geheimnummer (PIN) von Bankkunden auszuspähen. In Hamburg waren es bis zu diesem Zeitpunkt 53 fälle.

In Hamburg wurden 2017 mehr Geldautomaten manipuliert, als im Vorjahr. Das geht aus Informationen des Hamburger Abendblatts hervor. Demnach wurden traten in Hamburg 53 Fälle auf, in denen Geldautomaten ausgespäht und so Kartendaten und PINS von Kunden abgegriffen wurden. Hierfür nutzen Kriminelle Mini-Kameras, die die PIN Eingabe filmen oder manipulierte Tastaturaufsätze.

2017

Im Jahr 2017 wurden dem Bundeskriminalamt im Phänomenbereich Sprengung von Geldautomaten 268 Fälle bekannt. Brennpunkt: Nordrhein-Westfalen.

Im Jahr 2017 gab es 499 Skimming-Fälle an Geldautomaten zur Erlangung von Kartendaten (Magnetstreifendaten) und PIN. Die Tatverdächtigen kamen überwiegnd aus aus Bulgarien und Rumänien. Der Sachaden belief sich auf 2,2 Mio Euro.

Die Manipulationen erfolgten in elf Bundesländern. Mit Abstand die meisten Angriffe wurden in Berlin (287) registriert. Eine Ursache für den Brennpunkt Berlin dürfte die dortige hohe Anzahl von ausländischen, insbesondere außereuropäischen Touristen sein, deren Zahlungskarten teilweise noch nicht mit dem EMV Chip ausgestattet sind. Daten dieser Karten lassen sich durch die Täter leichter verwerten.

Brennpunkte des Einsatzes gefälschter Zahlungskarten mit deutschen Kartendaten waren im Jahr 2017 die Staaten Indonesien, USA, Indien, Australien und Nepal. Weitere Verwertungstaten erfolgten hauptsächlich in Mittel-und Südamerika sowie Südostasien. Gegen Ende des Jahres 2017 wurden Verwertungstaten in Deutschland und Rumänien festgestellt, deren Ursache in dem Kartenprodukt einer Großbank begründet ist, welches über keinen EMV-Chip, sondern ausschließlich über einen Magnetstreifen verfügt. Die Täter wurden auf dieses Kartenprodukt aufgrund der „leichten“ Verwertung a ufmerksam und griffen gezielt Geldautomaten dieses Finanzinstitutes an. Die Verwertungstaten legen nahe, dass es sich um rumänische Täter handelte.

Jackpotting/Blackboxing, Schadsoftware/Netzwerkattacken

Beim Blackboxing öffnen die Täter den Geldautomaten und übernehmen nach der Installation eines „eigenen“ Rechners (Blackbox) die Kommunikation mit dem Auszahlungsmodul, um anschließend zahlreiche unautorisierte Bargeldauszahlungen nacheinander zu veranlassen (Variante des Jackpotting). Im Juli und Dezember 2017 erfolgten in Deutschland insgesamt drei Blackbox Attacken, die erfolglos verliefen.

Seit Juni 2016 erfolgen die Angriffe mittels Aufbohren bzw. Aufschmelzen der Geldautomaten. Dieses Vorgehen wurde zunächst im europäischen Ausland bekannt. 2016 fanden in fast allen europäischen Staaten Blackbox-Attacken statt, wobei die meisten in Italien erfolgten.

Beim sog. Jackpotting erfolgt das Einspielen einer Schadsoftware auf den Rechner des Geldautomaten, um durch den Zugriff auf das Auszahlungsmodul des Geldautomaten zahlreiche unautorisierte Bargeldauszahlungen nacheinander zu veranlassen. Im Jahr 2017 im April und Oktober 2017 wurden zwei Jackpotting-Fälle in Deutschland festgestellt. In beiden Fällen wurden Geldautomaten derselben Bank angegriffen. Der Schaden belief sich auf ca. 1,3 Mio. Euro Auch im europäischen Ausland war die Zahl der Meldungen von Jackpotting-Fällen rückläufig.

Im November 2017 wurde erstmals der versuchte Einsatz einer bestimmten Schadsoftware festgestellt, die es auch technisch weniger versierten Tätern ermöglichen soll, Geldautomaten zu manipulieren und einen sog. „Cashout“ durchzuführen. Die Schadsoftware wird online, u. a. über das Darknet, vertrieben.

Erstmals im Jahr 2017 erfolgten Netzwerkattacken auf Geldautomaten. Den Tätern gelingt es immer häufiger, die Netzwerke von Zahlungskarteninstituten zu infiltrieren und Schadsoftware zu installieren. Meistens werden mit der Malware die Limits von Kreditkarten außer Kraft gesetzt, so dass die Täter mit echten Kreditkarten an Geldautomaten sehr große Summen innerhalb kürzester Zeit abheben können. Missbräuchliche Abhebungen fanden u. a. auch in Deutschland statt, während die betroffenen Zahlungskarteninstitute/Banken ihre Stammsitze in Zentralasien und Afrika haben. In 2017 erfolgten in Deutschland drei solcher Netzwerkattacken, bei denen die Täter insgesamt ca. 1,5 Mio. Euro erbeuteten.

Welche Geldautomaten sind besonders gefährdet?

Insbesondere Geldautomaten in stark frequentierten Bereichen wie in Fußgängerzonen und Bahnhöfen werden oft mehrfach manipuliert.Durch den Abbau bzw. die sicherheitstechnische Aufrüstung von Türöffnern zu Bankfoyers sind Kartendatenabgriffe in diesem Bereich nahezu bedeutungslos geworden.

Die Betrüger agieren vornehmlich außerhalb der Geschäftszeiten und am Wochenende, da dort die Wahrscheinlichkeit gering ist, bei der Verwendung der Skimming-Geräte vom Fachpersonal ertappt zu werden.

Inzwischen haben die Täter das Ausspähen der PIN mit einer Minikamera nicht mehr nötig. Sie bauen einfach eine falsche Tastatur ein, welche die Ziffernfolge der PIN speichert. Skimmingaufsätze werden nicht mehr nur auf den Kartenleseschlitz aufgesetzt (lockert sich oft beim Rütteln), sondern die Skimming-Lesegeräte sind direkt im Kartenschlitz eingeschoben und auch bei aller Vorsicht nicht mehr zu erkennen. Zu weiteren Informationen.
Wie soll man sich da schützen?

PIN am Selbstbedienungsautomat ausgespäht ?

Bei vielen Banken stehen Kontoauszugsdrucker, mit denen man auch Buchungen vornehmen kann.

Datenabgriffe an Türöffnern zu Bankfoyers oder Kontoauszugsdruckern wurden im Jahr 2016 nicht festgestellt. In Rösrath wurde im November 2009 ein aufgestecktes Teil an der Einschubleiste entdeckt. Da an diesem Automaten der Kunde seine PIN-Nummer eingeben muss, sobald er eine Buchung tätigen möchte, wird davon ausgegangen, dass mit diesem Gerät die Nummer ausgespäht werden sollte.

Skimming im Ausland

Deutsche Bankkunden sollten im Auslandsurlaub besondere Vorsicht am Geldautomaten walten lassen: Es ist nicht zu erkennen, ob dortige Geldautomaten nun mit neuer Chiptechnologie oder mit Magnetstreifen arbeiten. Somit ist die Sicherheit beim Geldabheben nicht gewährleistet.

Ab 2012 erfolgen alle Abhebungen am Geldautomaten innerhalb der EU nur noch mit EMV-Chip und Pin. Anschließend werden die Kontoauszugsdrucker umgestellt.

Besondere Vorsicht ist im außereuropäischen Ausland geboten, wo noch auf den Magnetstreifen zugegriffen wird, z.B. in den USA. Visa und Mastercard wollen in den USA bis 2015 nun auch den EMV-Chip einführen. Vorsicht auch in in Brasilien, Sri Lanka, Indonesien, Indien und den USA .

Lesen Sie die Warnungen des Auswärtigen Amtes bevor Sie ins Ausland fahren. Es wird empfohlen, Kreditkarten bei anstehenden Zahlungen nicht aus dem Auge zu lassen. In vielen Restaurants „st es üblich, portable Kreditkarten-Lesegeräte zu nutzen.

Nutzen Sie im Ausland nur Geldautomaten von offiziellen Banken, möglichst zu den Öffnungszeiten. Automaten, die sich auf offener Straße befinden, bieten meist keinen ausreichenden Sichtschutz und sind anfälliger für Manipulationen. Führen Sie Transaktionen immer in einer Sprache durch, die Sie auch verstehen. Wenn Ihnen etwas merkwürdig erscheint, brechen Sie den Vorgang zur Sicherheit sofort ab.

In Kapstadt oder Johannesburg etwa wird Touristen bei der Nutzung von Automaten vermeintliche Hilfe angeboten, um in den Besitz der Karte zu kommen, die dann mit einem Handskimmer, einem Gerät zum Auslesen des Magnetstreifens, unbemerkt ausgelesen wird.

Fallzahlen Skimming im Ausland

Im Jahr 2017 wurden im Ausland bei Manipulationen von insgesamt 225 Geldautomaten und POS-Terminals (2016: 232; -3%) deutsche Kartendaten und PIN abgegriffen. Am häufigsten erfolgten die Datenabgriffe in Mexiko und Italien. Seit 2013 ist die die Zahl der Datenabgriffe im Ausland stetig gesunken und hat sich mehr als halbiert (2013: 487).Die Zahl der registriert en Fälle steht jedoch unter Vorbehalt, dain vielen Auslandsfällen der „Point of Compromise“ (PoC) nicht eindeutig identifiziert werden konnte und somit eine Vielzahl von Fällen nicht indie Statistik eingeflossen ist.

Was tun bei Skimming im Ausland

Nach einem Skimming-Fall muss die Karte gesperrt werden, der Geschädigte muss bei der Polizei Anzeige erstatten. Außerdem zahlen die Banken nicht immer das gestohlene Geld zurück, sie können auch auf „Fehlverhalten“ der betrogenen Kunden abstellen. Hier ist die Beweisführung des Geschädigten, gerade bei einem Skimming-Fall im Ausland, schwierig. Auch die Hinzuziehung eines EDV-Sachverständigen kann dem Kunden häufig nicht helfen. „Das eingesetzte EC-Karten-Verfahren ist völlig intransparent. Es gibt keinerlei prüffähigen Unterlagen über das Verfahren, deshalb ist für einen EDV-Sachverstädigen auch nicht möglich, das Verfahren auch nur ansatzweise zu überprüfen“, erklärt der Präsident des Bundesverband der öffentlich bestellten und vereidigten sowie qualifizierten Sachverständigen e.V. in einer Pressemitteilung vom 20.04.10(BVS)

Auch Ladenkassen werden manipuliert

Auch Point of Sales- Terminals (Kredit- und EC-Kartenterminals in Kaufhäusern, Baumärkten, Tankstellen usw.) werden angegriffen. Hier werden die Kartenlesegeräte zur illegalen Datenabschöpfung manipuliert bzw. ein zusätzliches Lesegerät wird eingesetzt.

Auszahlung per App vorbereiten

Eine Innovation von Diebold Nixdorf: Mit einer App auf dem Handy können Bankkunden der Hamburger Sparkasse Abhebungen auf ihrem Smartphone bereits auf dem Weg zum Geldautomaten vorbereiten. Sie können Geld an Dritte senden. Eingaben am Geldautomaten solllen nicht mehrbank nötig sein.

Auf der App wird der Auszahlbetrag gewählt. Dann erscheint in der App ein Barcode. Dieser muss am Geldautomaten eingelesen werden. Der gibt danach den voreingestellten Betrag aus. Versendet der Kunde den Barcode etwa an einen Freund, kann dieser den Betrag an seinem Automaten vor Ort abheben. Skimming dürfte damit unmöglich sein. Doch wie sicher ist das Smartphone. Was wenn ein Virus den Barcode abgreift?

Mobilfähige Geldautomaten

Eine neue NCR-Baureihe soll mobilfähig und auf kontaktlose Zahlungen eingestellt sein sowie über einen großen, 19-Zoll-Multitouch-Bildschirm verfügen, der eine Bedienung wie auf einem Tablet ermöglicht. Darüber hinaus integrieren die neuen NCR-Geldautomaten auch Video-Banking, womit Finanzinstitute ihren Kunden personalisierte Dienstleistungen direkt am Geldautomaten anbieten könnten.

An dem neuen Gerät kann Geld zum Beispiel per NFC-fähiger Karte und PIN abgehoben werden. Die PIN werde an einem fälschungssicheren Touch-Screen eingegeben, womit die übliche PIN-Tastatur entfalle. Skimming und Card Trapping gehörten damit der Vergangenheit an. Überdies soll derde neue Geldutomat auch für die kartenlose Authentifizierung der Benutzer via QR-Code oder Einmal-PIN geeignet sein.

Quelle: www.kartensicherheit.de v. 30.03.17

Geldautomaten ohne Bargeld, Bitcoin-Geldautomat,Goldautomat

Ein Geldautomat kostet ca. 45 000 Euro. Deutsche Geldautomaten müssen vom Zentralen Kreditausschuss genehmigt sein.

1967 wurde in London der erste Geldautomat in Betrieb genommen – eine Erfindung des am 15.05.2010 verstorbenen Briten John Shepherd-Barron.

Die deutschen Kreditinstitute betreiben zur Zeit ca. 57.870 Geldautomaten, europaweit sind ca.400.000 Geldautomaten installiert.

Inzwischen gibt es Goldautomaten, sog „Gold-to-go“-Geräte. Die Automaten sind mit 24-karätigen Goldbarren und -münzen befüllt. Das Gold ist in Geschenkpapier verpackt und mit einem Echtheitszertifikat versehen. Wer Gold geholt hat und sich die Sache noch anders überlegt: Man kann Barren und Münzen innerhalb von zehn Tagen wieder zurückgeben. Man erhält dann den aktuellen Marktpreis.

Ein Automat steht sogar schon in Deutschland und zwar in der Galeries Lafayette in Berlin. Auch aus den Geldautomaten der türkischen Kuveyt-Bank kann man 1 bis 2,5 Gramm schwere Goldstücke ziehen. Die Ausgabe erfolgt über einen separaten Münzausgeabeschacht.

In New York gibt es einen Bankautomaten der Firma KAL, der kein Bargeld ausgibt und auch kein Bargeld enthält. Statt Bargeld auszugeben, wird ein Gutschein ausgedruckt. Der wird im Vertragsgeschäft eingelöst, der Händler erhält automatisch eine Gutschrift über den ausgezahlten Betrag auf sein Konto. Teure Geldtransporte und regelmäßiges Auffüllen des Automats sind damit überflüssig.

Quelle: http://rtm.kal.com v. 20.06.12

Bitcoin-Geldautomat

In Luxemburg gibt es eine Bitcoin Börse mit EU-Zulassung, bei der Euro und Bitcoin getauscht werden können.

In den USA wurde ein Geldautomat ausgeliefert, der Bargeld gegen die virtuelle Währung Bitcoin umtauscht. In Vancouver können Bitcoin-Besitzer kanadische Dollar im Tausch gegen die Internetwährung abheben oder auch einzahlen. Auch in Finnland und Schweden und in Berlin gibt es inzwischen Bitcoin-Geldautomaten. Die Schweizer Finanzmarktaufsicht hat Bitcoin-Automaten verboten. Weitere Informationen dazu bei https://www.heise.de.

PIN selbst bestimmen, Wunsch-PIN

Einige Banken bieten Wunsch-PINs an. Die PIN-Änderung auf eine persönliche Wunsch-PIN ist direkt am Automaten möglich. Wer aber z.B.sein Geburtsdatum wählt, macht es Dieben leicht: Wird mit der Geldbörse auch der Ausweis geklaut, hat der Dieb auch gleich die PIN. Auch wichtige Jahreszahlen wie z.B. 1492 (Kolumbus) oder 1989 (Fall der Mauer) oder womöglich gar 4711 sollte man meiden.

Bargeld abheben per Smartphone oder NFC-Karte

Wincor Nixdorf hat einen Geldautomaten eingeführt, an dem Kunden per Smartphone oder NFC-Karte Bargeld abheben können. Für das Smartphonewird eine Mobile Banking App der jeweiligen Bank benötigt.

Zitat www.wincor-nixdorf.com:
„Über die App können Kunden schon auf dem Weg zum Geldautomaten das Konto und den gewünschten Auszahl-Betrag auswählen. Der Nutzer erhält einen QR-Code, mit dem er sich am QR-Code Scanner des Geldautomaten identifiziert. Als Alternative für die Autorisierung mittels QR-Code steht die NFC-Technologie ebenfalls zur Verfügung. Bei einer Abhebung mit einer NFC-Karte, können die Bankkunden ihre PIN über einen speziellen Encrypting Touch-Sensor eingeben.

Auch eine Auszahlung an Dritte ist möglich. Mithilfe der PC/E Software werden Transaktionsdaten auf ein mobiles Endgerät des Empfängers übermittelt. Der wiederum kann damit das Bargeld am Automaten abholen. Eine weitere Funktion der App ist ein Geldautomaten-Finder, der den Weg zum nächsten System weist, dass die kartenlose Abhebung ermöglicht.“ Zitatende

Quelle: Pressemitteilung www.wincor-nixdorf.com v. 12.10.15

Schreibe einen Kommentar