Video: nachgehakt: Kreditkarten-Betrug trotz Chip + PIN? (Dezember 2024)
Für unsere US-Leser bedeutet das Bezahlen mit einer Kreditkarte, einen Magnetstreifen auszuwischen. Für Menschen in weiten Teilen Europas und in anderen Ländern bedeutet dies jedoch, dass Sie Ihre Chipkarte in ein Lesegerät einführen und Ihre PIN eingeben. Diese sogenannte Chip- und PIN-Lösung wurde lange Zeit als weit überlegen gegenüber dem amerikanischen Swipe angepriesen, und in den meisten Punkten ist dies der Fall. Es gibt jedoch einige schwerwiegende Probleme bei der Umsetzung des Systems.
Ross Anderson hat in diesem Jahr die Geschichte seines Teams in Bezug auf die Untersuchung von Chip- und PIN-Karten bei Black Hat dargestellt. Für ein System, das schwieriger zu betrügen ist, hatte Anderson eine überraschende Menge zu sagen.
Eine Kavalkade der Mängel
Eine schnelle Auffrischung von Chip und PIN: Verbraucher legen ihre Karten beim Kauf ein. Anschließend geben sie ihre PIN ein, die von der Karte im Gerät bestätigt wird. Wenn dies funktioniert, darf die PIN den Leser niemals verlassen. Die Karte spricht dann mit der Bank, um die Transaktion zu autorisieren, und der Verkauf wird getätigt. Auf dem Papier klingt alles großartig.
Anderson ging einige einzigartige Sicherheitslücken durch, die von ihm und seinem Team gefunden wurden, und andere, die zuerst in freier Wildbahn beobachtet und dann von Sicherheitsexperten rückgängig gemacht wurden.
Viele Angriffe konzentrierten sich auf die Geräte, mit denen Händler Transaktionen abwickelten, und auf Geldautomaten. Sein Team stellte fest, dass einige Geräte nicht den Sicherheitsspezifikationen entsprachen, die sie angeblich befolgten. Mit einem Minimum an Aufwand, sagte er, könnten sie die Geräte abhören und die PIN während eines Verkaufs extrahieren.
Andere Angriffe betrafen die Installation einer so genannten "bösen Elektronik" auf Lesegeräten, um Transaktionsdaten zu erfassen. In einem Fall haben Betrüger ihre bösen Waren in Kartenlesegeräte eingebaut, bevor sie an Händler ausgeliefert wurden.
Aber es gab noch viele andere Angriffe, wie das direkte Einbetten von Elektronik auf Chip- und PIN-Karten, das Verbinden von Karten mit verborgenen Geräten, mit denen ein Dieb die Karte mit einem beliebigen Code autorisieren konnte, und sogar Angriffe, bei denen Transaktionen an verschiedenen Orten "wiederholt" wurden.
Technisch überlegen, praktisch problematisch
Ich fragte Anderson, ob er nach all den Fehlern, die er bei Chip und Pin gefunden habe, immer noch dachte, es sei besser, Karten zu klauen. Er war eindeutig: Chip- und PIN-Karten sind technisch einfach überlegen, weil sie viel schwieriger zu klonen sind als Swipe-Karten.
Das größere Problem ist, wie Chip und PIN in Europa eingeführt wurden. Anderson erklärte, dass die Banken den Händlern versprochen hätten, dass sie für betrügerische Anschuldigungen verantwortlich seien, um die europäischen Händler zum Umstieg zu bewegen. Bei Swipe Cards wird eine betrügerische Gebühr einfach dem Händler in Rechnung gestellt. Anderson nannte dies "Verschiebung der Haftung".
Klingt nach einem guten Plan, aber die Realität war ziemlich grausam. Anderson sagte, dass Betrugsopfer häufig von den Banken beschuldigt wurden, ihre PINs auf irgendeine Weise offengelegt zu haben. In anderen Fällen haben die Banken einfach ihre Meinung geändert und die Gebühren an die Händler rückgängig gemacht. In extremen Fällen lehnten Banken und Kreditkartenunternehmen es ab, Anklage gegen bekannte Betrüger zu erheben, anscheinend aus Verlegenheit.
Offenbar wollte niemand die Verantwortung für Chip- und PIN-Betrug übernehmen. Anderson fragte: "Wenn die Bank nicht für den Betrug zahlt, warum sollten sie dann einen Darm sprengen, um ihn zu sichern?"
Anderson kritisierte auch, dass die Autoren der Chip- und PIN-Dokumentation keine klare Vision hatten und die Dokumentation außer Kontrolle geriet. Er nannte es eine Tragödie der Allgemeinheit und stellte fest, dass niemand vorgetreten ist, um eine aktualisierte Version zu verfassen, die tatsächlich die notwendigen Sicherheitsänderungen am Standard vornehmen könnte.
Nach Amerika kommen
Unsere US-Leser, die mit ihren Durchzugskarten zufrieden sind, fragen sich möglicherweise, warum dies für sie überhaupt von Bedeutung sein sollte. Es gibt einen einfachen Grund: Chip- und PIN-Karten werden voraussichtlich in dieses Land eingeführt. Anderson sagte, dass die Banken den Übergang bis 2015 schaffen werden.
In diesem Land läuft es vielleicht nicht so schlecht. Zum einen entscheiden sich nur einige Banken für Chip- und PIN-Systeme, während andere Banken Chip- und Signaturkarten herausbringen werden. Dieser Authentifizierungsplan wurde in Singapur verwendet und soll den Verbraucherschutz verbessern. Anderson bemerkte auch, dass die Rolle der Federal Reserve im US-Bankgeschäft auch einen größeren Verbraucherschutz bietet - vorausgesetzt, dass dieser in naher Zukunft nicht drastisch untergraben wird.
Es gebe auch eine Rolle, die das Publikum von Black Hat spielen könne. "Es handelt sich nicht um ein einzelnes Protokoll, sondern um ein großes, zufälliges Toolkit zum Erstellen von Zahlungsprotokollen", sagte er. "Sie können sich entweder etwas einfallen lassen, das wirklich sicher ist, oder etwas, das wirklich schrecklich ist."
Wir hoffen, dass wir die ersteren bekommen.
