Hannover – Kreditkarten mit Chip und PIN gelten als fälschungssicher. Doch Recherchen des Computermagazins c’t und der Zeit belegen jetzt, dass sich auch solche Karten klonen lassen. Auf der Basis exklusiver Informationen aus der Carder-Szene dokumentiert c’t in der aktuellen Ausgabe 3/16 weltweit zum ersten Mal, wie Betrüger Chipkarten-Klone erstellen und diese für Einkäufe im großen Stil nutzen – und zwar mit jeder beliebigen PIN.
„Die Betrüger nutzen dabei aus, dass asiatische, amerikanische oder südamerikanische Banken häufig die kryptografisch gesicherten Transaktions-Daten nicht prüfen“, erklärt c’t-Redakteur Jürgen Schmidt. Gemeinsam mit den Kollegen von der Zeit sprach er mit einem Aussteiger aus einer auf Kreditkarten-Betrug spezialisierten Bande. Anschließend analysierte c’t die Software, die die Bande genutzt hatte und die für mehr als 20.000 Euro im Untergrund gehandelt wird.
Als Datenbasis für die gefälschten Kreditkarten werden gestohlene Daten reeller Konten genutzt. Die Karten-Rohlinge sind frei im Internet erhältlich. Schmidts Analyse ergab, dass mit Hilfe der sogenannten MacGyver-App am Bezahlterminal verschiedene Sicherheitsmechanismen umgangen werden können. Wenn die Banken die Transaktionen nur schlampig überprüfen, werden die Klone akzeptiert.
Mit den geklonten Karten gehen die Diebe auf Einkaufstour, kaufen hochwertige Produkte oder Gutscheinkarten und machen diese dann über einen Hehler wieder zu Geld. Dem Bundeskriminalamt sind solche Fälle seit Anfang 2015 bekannt. Mehrere auf diese Art gefälschte Kreditkarten wurden bereits von den Ermittlern begutachtet, hieß es. „Für den entstandenen Schaden müssen voraussichtlich die Banken aufkommen“, sagt c’t-Sicherheitsexperte Schmidt, „denn als Herausgeber der Karte haben sie den Vorgang autorisiert.“
Bislang gibt es noch keine Hinweise darauf, dass auch deutsche Banken von diesem Missbrauchsszenario betroffen sind. „Wer seine Kreditkarte allerdings über eine Bank aus den USA, aus Südamerika oder Asien ausgestellt bekommen hat, der sollte seine Kontoauszüge genau prüfen und bei Missbrauch sofort Anzeige erstatten“, rät Schmidt.
Hinweis für die Redaktionen: Der Artikel entstand aus einer gemeinsamen Recherche des Investigativ-Ressorts der Zeit und dem c’t magazin. Die Zeit wird in ihrer Ausgabe vom 28. Januar 2016 ebenfalls darüber berichten.
Quelle: ots