Methoden der Manipulation, Schutz
Wenn die Kunden bezahlen, werden die Kundendaten an den manipulierten Kartenlesegeräten der Ladenkasse ausgespäht. Zusätzlich zu den Daten des Magnetstreifens wird die PIN durch einen im Terminal installierten Chip gespeichert.
Mit den am Magnetstreifen ausgelesenen Daten fertigen sie Dubletten der EC-Karte, die im außereuropäischem Ausland für betrügerische Bargeldabhebungen eingesetzt werden.
Um das Kartenlesegerät an der Ladenkasse zu manipulieren, müssen die Täter erst einmal an das Gerät gelangen.
Inhalt
- Methoden der Manipulation, Schutz
- So sollte es nicht sein
- Hardwaremanipulation: Wie kommen die Täter an die Kartenlesegäte?
- Angriff auf Netzwerkschnittstelle
- Trojaner für Kartenlesegeräte
- Was können Geschäfte tun?
- Was tun, wenn man betrügerische Kontobelastungen im Kontoauszug feststellt?
- Wie kann ich mich schützen?
- Magnetstreifen auf der Karte überkleben?
- Risiko beim Überkleben:
- Kartenlesegeräte an Tankstellen manipuliert
- Manipulationen von POS-Terminals (Point of Sale Terminals) in Deutschland
- Manipulationen von POS-Terminals (Point of Sale Terminals) im Ausland
- Terminals schon ab Werk manipuliert
- Betrügerische Mitarbeiter
- Cyberkriminelle Banden festgenommen
So sollte es nicht sein
Kinokasse geschlossen, Kinohalle fast leer, Terminal liegt am Kabel angeschlossen außerhalb des Kassenschalters für Jedermann zugänglich. Vier Tage später der gleiche Zustand.
Hardwaremanipulation: Wie kommen die Täter an die Kartenlesegäte?
Möglich ist das über Einbrüche, Einschließen lassen nach Feierabend, über den Austausch bzw. die Manipulation des Geräts in einem unbeobachteten Moment oder Manipulation direkt ab Werk. Der Austausch des kompletten Terminals erfolgt inzwischen nicht nur durch Einbruch oder Einschließen lassen nach Feierabend, sondern sogar während der Geschäftszeiten. Ein Täter lenkt die Kassiererin ab, während der Komplize das POS-Terminal von der Kasse abkabelt. Das echte Gerät steckt er ein und tauscht es blitzschnell gegen ein baugleiches, manipuliertes Gerät aus. Dieses speichert Kartendaten und PIN. Nach einigen Tagen tauschen die Täter das Gerät wieder gegen das Originalgerät aus. Mit den Kartendaten werden nun Dubletten hergestellt mit denen im außereuropäischen Ausland Geld abgehoben wird.
Eine andere Hardwaremanipulation sind Skimming-Aufsätze, Aufsatzschalen, die den Oberschalen der PoS-Geräte in der Form exakt nachempfunden sind und sich passgenau auf die Terminals, „quasi im Vorbeigehen“, von den Tätern aufsetzen lassen. Mit den so manipulierten Terminals sind Bezahlvorgänge mit Karte weiterhin möglich, weil das aufgesetzte Tastenfeld den Druck auf die jeweilige Ziffer beim Eingeben der PIN „nach unten“ weiterleitet (Quelle: Polizeipresse Nordhessen v. 15.03.13) Dann müssen Sie die eingebauten Teile bzw. den Oberschalenaufsatz wieder von dem Gerät entfernen, damit sie die Daten auslesen können.
Die Kartenterminaloberschalen werden täuschend echt nachgebildet und auf die EC-Kartenlesegeräte aufgeklebt. Innerhalb dieses Aufsatzes werden PIN und Kartendaten mit elektronischen Bauteilen gespeichert. In einem unbeobachteten Moment müssen die Betrüger die Oberschalenaufsätze nur noch abnehmen und die gespeicherten Daten auslesen.
Es gibt aber auch manipulierte Terminals, die die Daten per Funk oder per SMS auf ein Handy übertragen, vorzugsweise gleich ins außereuropäische Ausland. Bei Funkübertragung müsste ein Komplize die Daten dann in Nähe des Geschäfts mit einem Notebook/Smartphone abfangen
Angriff auf Netzwerkschnittstelle
Nicht das Kartenterminal, sondern die Netzwerkschnittstelle des Geräts wird angegriffen.
Für das ARD-Magazin „MONITOR“ wurde an Originalgeräten unter Aufsicht von Gutachtern ein versuchsweiser Test durchgeführt. Das ausgelesene Gerät stammt vom Branchenführer VeriFone. Rund 300.000 dieser Geräte stehen in deutschen Geschäften für den bargeldlosen Zahlungsverkehr mit der EC-Karte bereit. Die Herstellerfirma VeriFone bestätigte gegenüber MONITOR inzwischen die Sicherheitslücke. Man sei dabei, für die Kartengeräte „ein Softwareupdate zu erstellen, um die „Verwundbarkeit“ zu beheben.
Quelle: Pressemitteilung des WDR Monitor v. 12.07.12
Trojaner für Kartenlesegeräte
Sicherheitslecks im Netzwerk können das Terminal infizieren. Weitere Informationen
Solange die EC-Karten noch einen Magnetstreifen haben, schützt auch der Sicherheitschip (EMV-Chip) nicht vor Skimming an der Ladenkasse.
Einem Bericht des IT-Sicherheitsexperten Brian Krebs zufolge, gibt es Malware, die dafür ausgelegt ist, in Kassensysteme eingespeist zu werden und alle Daten von Kredit- und Debitkarten, die durch die infizierte Kasse gezogen werden, aufzuzeichnen. Die Daten werden auf einem gehackten Webserver zwischegelagert. Allerdings müssen die Täter irgendwie Zugriff auf die Kassensystemen bekommen.
Manipulierte POS-Terminals sind von außen nicht oder nur sehr schwer zu erkennen.
Was können Geschäfte tun?
Es gibt Zahlungsterminals mit Sicherungssiegel. Stellen die Geschäfte bei ihrer täglichen Kontrolle fest, dass ein Siegel beschädigt ist, wird das Terminal ausgetauscht.
Geschäfte können die beiden Schalen der Kartenterminals z.B. mit Kabelbinder umwickeln und so ein schnelles Aufsetzen einer 2. Oberschale verhindern.
Bei Einbruch sollten die Zahlungsterminals sofort ausgetauscht werden. Bringt natürlich nichts bei Manipulationen ab Werk.
Händler sollten die Lesegeräte nachts sicher wegschließen und nicht an der Ladenkasse liegen lassen. Auch könnten sie die Termminals während der Verkaufszeiten unter den Ladentisch stellen und nur bei Zahlungsvorgängen dem Kunden zugänglich machen.
Es gibt auch Software, die die PIN-Pads überwacht, aber welche Geschäfte haben die schon eingebaut?
Was tun, wenn man betrügerische Kontobelastungen im Kontoauszug feststellt?
Sofort die Bank und die Polizei verständigen, Karte sperren lassen (Sperr-Notruf 116 116).
Wie bei Skimming am Geldautomaten leisten die Banken Ersatz aus dem gemeinsamen Banken-Haftungsfonds. Einen Rechtsanspruch auf Ersatzleistung gibt es allerdings nicht.
Wie kann ich mich schützen?
Achten Sie an der rechten Seite des Kartenlesegeräts auf die Siegelmarke, die sich zwischen Ober- und Unterschale der Geräte befindet. Ist dieses Siegel gebrochen, zahlen Sie keinesfalls mit Ihrer Karte.
Magnetstreifen auf der Karte überkleben?
Den Verbrauchern gibt der Schweizer Pascal Lamia, Leiter der Melde- und Analysestelle Informationssicherung Melani des Bundes in der Schweiz, einen ebenso einfachen wie ernstgemeinten Rat: Sie sollen den Magnetstreifen mit einem Klebstreifen überziehen. Dann kann der Magnetstreifen nicht mehr gelesen werden; der Geldautomat oder das Zahlterminal liest automatisch den Chip. Nach Protesten des Bankgewerbes hat er seine Empfehlung zurückgenommen.
(Quelle: Neue Züricher Zeitung v. 17.11.11)
Risiko beim Überkleben:
Der Klebestreifen könnte zu Schäden an der EC-Karte, dem Geldautomaten oder dem Lesegerät führen, dafür müssten Sie dann haften.
Kartenlesegeräte an Tankstellen manipuliert
Weltweit operierende Täter gelangten an die Daten, indem sie Kartenlesegeräte in Tankstellen manipulierten. So beispielsweise auch in Köln, Ulm und dem Märkischen Kreis. Mit Hilfe dieser erlangten Kartendaten wurden sodann Kartendubletten hergestellt. Die dadurch neu geschaffenen „EC- oder Kreditkarten“ wurden anschließend vornehmlich bei Tankstellen zum Bezahlen von großen Mengen Benzin eingesetzt.
Mitarbeiter der Tankstellen wurden teilweise durch hohe Bargeldbeträge bestochen, damit die Gruppe ungehindert Chips in die Terminals einbauen konnten. Diese Chips speicherten die Kartendaten der Tankkunden. Teilweise wurden von den Männern auch Miniaturkameras an den Deckenverkleidungen angebracht, sodass die Ganoven auch im Besitz möglicher Geheimzahlen waren.
Nach dem bisherigen Stand der Ermittlungen muss diese Masche derzeit international Anwendung finden. Denn zwischen den Ländern wurde mit dem erlangten Datenmaterial ein regelrechter Handel betrieben. Konten von deutschen Karteninhabern wurden an ausländischen Geldautomaten regelrecht geplündert.
Der Haupttäter (38) reiste quer durch die Welt und agierte überwiegend aus London. Bei seiner letzten Einreise in Deutschland wurde er kurz darauf in Bochum festgenommen.
So gibt es aktuell Hinweise darauf, dass die sechs Männer zahlreiche Daten von Mittätern aus England erhalten hatten. Mit den daraus hergestellten „EC- und Kreditkarten“ wurden teilweise „Tankpartys“ an Tankautomaten veranstaltet, bei denen große Mengen Benzin ergaunert wurden.
Die Staatsanwaltschaft und die Beamten des Kriminalkommissariates 25 ermittelten monatelang, bis am gestrigen Tag (4. April) sowie in der letzten Woche die Handschellen klickten.
Die Betrüger, die tamilischer, türkischer und deutscher Herkunft sind, sind alle polizeilich hinreichend wegen gleichgelagerter Delikte bekannt. Da es sich bei den begangenen Taten um Verbrechenstatbestände handelt, müssen sie mit hohen Haftstrafen rechnen.
Quelle:Polizeipresse Köln, news aktuell gmbh v. 05.04.11
Manipulationen von POS-Terminals (Point of Sale Terminals) in Deutschland
Im Jahr 2014 wurden in Deutschland keine POS-Terminals (2013: 84 Terminals) manipuliert. Bei sieben POS-Terminal-Fällen kam es im Jahr 2014 zwar zu Schadensfällen (Einsätze von „White Plastics“ 06 in mehreren asiatischen Ländern), die entsprechenden Manipulationsfälle (Datenabgriffe) ereigneten sich jedoch bereits im Jahr 2013.
Zahlungskartenkriminalität Bundeslagebild 2014, pdf Datei
Manipulationen von POS-Terminals (Point of Sale Terminals) im Ausland
Laut Bundeslagebild Zahlungskartenkriminalität 2012 wurden im Jahr 2012 im Ausland bei Manipulationen von insgesamt 830 Geldautomaten und POS-Terminals deutsche Kartendaten abgegriffen. Das entspricht zwar einem Rückgang von rund 15 % gegenüber 2011, jedoch liegt die Fallzahl mit 19 % deutlich über dem durchschnittlichen Wert der letzten fünf Jahre.
Kartenterminals in zahlreichen Aldi-Filialen in den USA erheblichen Schaden angerichtet. Dabei haben die Täter laut einer Mitteilung (PDF) von Aldi neben Namen und Kontonummern auch die PINs von Bezahlkarten mitgelesen und damit Karten-Clones hergestellt. Aldi Süd betreibt rund 1.100 Filialen in 31 US-Staaten. Die Kartenterminals wurden vermutlich zwischen dem 1. Juni 2010 und dem 31. August in den Filialen platziert.
US-Medienberichten zufolge sollen bereits mehr als 1000 Kunden aus Chicago (US-Bundesstaat Illinois) und Indianapolis (Indiana) betrügerische Aktivitäten auf ihren Konten verzeichnet haben. Laut Aldi sollen Filialen in weiteren Staaten von den Manipulationen betroffen gewesen sein.
Quelle: www.heise.de v. 11.10.10
Terminals schon ab Werk manipuliert
Wie www.heise.de am 09.07.10 berichtete, kamen US-Ermittler und MasterCard Kriminellen auf die Schliche, die Kartenterminals schon ab Werk manipulierten. Trotzdem durchliefen die Geräte die Sicherheitsprüfungen und wurden in Europa laut einem Bericht des Telegraph zu hunderten ausgeliefert. Die gesammelten Daten wurde per Mobilfunk an einen Kriminellen in Pakistan geschickt. MasterCard schickte daraufhin mehrere Teams auf Europareise, die mit einer Waage bewaffnet die Plagiate identifizieren sollte.
Bei in China hergestellten Kreditkartenlesern wurden Manipulationen festgestellt. Wegen zusätzlich eingebauten Zusatzplatinen wiegen die Geräte 100 Gramm mehr. Diese Zusatzplatinen sammeln Kreditkartendaten und senden sie einmal am Tag per Mobilfunk an eine Nummer im pakistanischen Lahore.
Die Betrüger können sogar einstellen, welche Karten das Gerät ausspionieren soll. Die Kundenkonten werden in der Regel erst nach zwei Monaten leergeräumt, so dass es schwierig ist, den Zeitpunkt der Manipulation festzustellen. In Deutschland wurden solche Lesegeräte bisher noch nicht entdeckt, wohl aber in Irland, Belgien, Holland und Dänemark.
Quelle: www,heise.de v. 12.10.08
Das IT-Sicherheitsunternehmen TREND MICRO Deutschland hat informiert, dass in Untergrundforen im Internet für nur 1.000 Euro mobile Kartenlesegeräte angeboten würden, mit denen Informationen ausgelesen und im Flashspeicher des äußerlich von echten Scannern nicht unterscheidbaren Geräts abgelegt werden.
Vorteil für die Betrüger: Die PIN muss nicht zusätzlich ausgespäht werden, weil der im Terminal installierte Chip sie in gleicher Weise wie die Daten des Magnetstreifens speichert.
Betrügerische Mitarbeiter
Betrügerische Mitarbeiter im In- und Ausland z.B. in Gaststätten, haben ein zweites Lesegerät, durch das sie die Karte vom Inhaber unbemerkt durchziehen und dann später mit den gespeicherten Daten eine geklonte Karte herstellt.
Im Einzelhandel im In- und Ausland sind an der Kasse Kartenleser installiert, bei denen der Kunde die Karte selbst durchzieht. Diese POS-Geräte lassen sich in den betriebsschwachen Zeiten von Betrügern in nur wenigen Sekunden austauschen. Der ausgetauschte Leser speichert dann bei jeder Transaktion die Kartendaten in einen Chip. Kartencode und die PIN werden über eine Telefonleitung oder auch direkt per SMS in einen PC an die Täter geschickt. Dann werden Dubletten angefertigt.
Cyberkriminelle Banden festgenommen
Cyberkriminelle manipulieren Kreditkarten und Konten
Eine Bande von Bankräubern hat weltweit etwa 45 Millionen Dollar erbeutet. Die Kriminellen manipulierten Konten und Karten. An Geldautomaten holten sie die ergaunerten Banknoten rucksackweise ab. weiterlesen
Kreditkartenfälscher-Ring zerschlagen
Europol hat einen weltweiten Kreditkartenfälscher-Ring zerschlagen. 44 Mitglieder eines weltweiten Betrüger-Netzwerks sind in Rumänien festgenommen worden. Die Bande hatte die Daten von etwa 36.000 Karteninhabern in 16 europäischen Ländern elektronisch ausgespäht. Die Bande hatte sich auf die Manipulation von Bankomat- und Kreditkarten-Bezahlgeräten in großen Einkaufszentren in ganz Europa spezialisiert. Außerdem war die Bande im Internetbetrug aktiv. Die Täter beschafften sich laut Europol Pincodes von Bankkarten, nachdem sie die Kartenlesegeräte in Einkaufszentren manipuliert und Schadsoftware installiert hatten. Mit Dubletten wurden die Kundenkonten geplündert.
Quelle: Newsletter Verbraucherzentrale Bundesverband v. 29.04.13