Forschungsprojekt Kriminelle könnten Kreditkartendaten erraten

Einer britischen Studie zufolge lassen sich Kreditkartendaten einfach durch Ausprobieren herausfinden. Schuld soll eine Schwachstelle im Sicherheitssystem sein. Sich zu schützen, ist allerdings ebenso einfach.

Visa-Kreditkarten
REUTERS

Visa-Kreditkarten


Einer Studie der Newcastle University zufolge lassen sich die Sicherheitsdaten bestimmter Kreditkarten durch einfaches Ausprobieren herausfinden. Das System funktioniert den Forschern zufolge sogar dann, wenn der Angreifer nur die ersten sechs Ziffern einer Kreditkarte kenne. Diese geben lediglich Auskunft darüber, von welcher Bank die Karte ausgegeben wurde und um welchen Typ von Karte es sich handelt.

Die Forscher vermuten, dass die von ihnen beschriebene Methode Anfang November beim Angriff auf die britische Tesco-Bank verwendet wurde. Dabei gelang es Kriminellen, knapp drei Millionen Euro von 9000 Kreditkartenkonten abzubuchen.

Die von den Forschern skizzierte Vorgehensweise ist erschreckend einfach: Eine Spezialsoftware versucht in Hunderten oder gar Tausenden Onlineshops gleichzeitig Einkäufe per Kreditkarte zu bezahlen. Dabei sendet sie jedem Händler leicht veränderte Versionen der Kreditkartennummer, des Ablaufdatums und des CVV-Sicherheitscodes der Karte.

Aus den Reaktionen der Shops lasse sich dann erkennen, wenn eines der ausprobierten Merkmale korrekt gewesen sei. Die Forscher bezeichnen ihr Verfahren in Anlehnung an den Fachbegriff Distributed Denial of Service Attack (verteilter Überlastungsangriff) als Distributed Guessing Attack, also verteilten Rate-Angriff. Das trifft den Kern der Sache recht gut, da die Daten nicht errechnet, sondern erraten werden.

Sechs Sekunden

"Diese Angriffsmethode nutzt zwei Schwachstellen aus, die jeweils für sich genommen nicht schlimm wären, in der Kombination aber ein ernsthaftes Risiko für das gesamte Bezahlsystem darstellen", schreibt Computerwissenschaftler Mohammed Ali, der die Studie geleitet hat.

Zum einen würde eine große Zahl ungültiger Bezahlversuche nicht erkannt, wenn sie von unterschiedlichen Websites ausgehen. Deshalb könne man nahezu unbegrenzt viele Variationen ausprobieren, selbst wenn jeder Onlineshop für sich die Zahl fehlerhafter Versuche auf zehn oder zwanzig begrenzt.

Zum anderen gebe es keinen Standard dafür, welche Datenfelder einer Kreditkarte Onlineshops bei Kreditkartentransaktionen abfragen. Sobald man von einem Händler die Rückmeldung bekommt, dass ein Datenfeld korrekt ist, beginnt man bei anderen, Zahlenkombinationen für die übrigen Daten auszuprobieren.

"Das bedeutet, dass es ziemlich einfach ist, an die Informationen zu kommen und sie wie ein Puzzle zusammenzusetzen", sagt Ali.

Der dreistellige Sicherheitscode beispielsweise sei zwar nur dem Karteninhaber bekannt, aber um diesen Herauszufinden, würden weniger als 1000 Versuche, verteilt auf 1000 Webshops benötigt. Weil das alles automatisiert per Software ablaufe, sei es möglich, einen Satz Kreditkartendaten binnen sechs Sekunden zu erraten.

Man kann sich absichern

Anfällig für diese Methode erwies sich in der Studie nur das System von Visa. Beim Wettbewerber Mastercard konnten die massenhaften Anfragen demnach nach weniger als zehn Versuchen erkannt werden, auch wenn diese über verschiedene Netzwerke gestreut waren.

Auf Anfrage kritisierte Visa, dass der Forschungsbericht nicht berücksichtige, dass das Unternehmen mehrere Sicherheitsstufen biete, um Betrug beim Onlineshopping vorzubeugen.

Das Unternehmen nannte beispielsweise "Verified by Visa", das auf dem 3D-Secure-Standard basiert. Bei diesem Sicherheitsmechanismus muss der Käufer seine Identität mittels eines Codes beim Kartenherausgeber bestätigen. Nutze ein Onlinehändler diese Methode nicht, übernehme er im Fall eines Missbrauchs das Risiko, teilt das Unternehmen mit. Zudem weist Visa darauf hin, dass Karteninhaber bei Verlust, Diebstahl oder Betrug durch die geltenden Haftungsregeln geschützt seien.

Martin Emms, Co-Autor der Studie, rät Kreditkartenkunden dazu, nur eine einzige Karte für Onlinezahlungen zu nutzen. Bei dieser Karte sollte das Limit so gering wie möglich gehalten werden. Zudem mahnt er zur Aufmerksamkeit. Kreditkartenkunden sollten regelmäßig ihre Abrechnungen prüfen und auf ungewöhnliche Buchungen achten.

Wie immer also gilt, dass man sich auch und gerade beim Onlineshopping so gut wie nur möglich absichern sollte. Und natürlich, dass man Systeme wie sie Visa zur Absicherung von Onlinetransaktionen anbietet, unbedingt nutzen sollte.

brt



© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.