Kartenspiel: Kriminelle Geschäfte am Geldautomaten

Es reicht, wenn Sie eine Bank- oder Kreditkarte benutzen, und schon sind Sie für Skimmer interessant. Wie funktioniert dieser Betrug und wie können Sie sich davor schützen?

Wir alle sind auf der Hut vor Taschendieben. Und selbst wenn wir nicht schon als Kinder gewarnt wurden, draußen auf unsere Taschen aufzupassen, lernt man früher oder später diese einfache Regel. Das Gleiche gilt für Hacker. Sogar Kinder wissen, dass Hacker im Internet ihr Unwesen treiben.

Skimmer sind dagegen weniger bekannt. Leider, denn das Risiko, zum Opfer dieser Betrugsgeräte zu werden, ist recht hoch. Diese Geräte von Cardern sind darauf spezialisiert, Daten von Kredit- und Geldkarten zu stehlen – mit der Hilfe kleiner, versteckter Hardware, die in Geldautomaten installiert wird. Und trotz der kombinierten Anstrengungen von Polizei, Banken und Zahlungssystem-Anbietern wächst der jährlich von Kartenkonten gestohlene Betrag ständig. Skimmer sind ein bisschen wie Taschendiebe (sie sind ähnlich handfertig) und –ein bisschen wie Hacker (ihre Machenschaften sind nicht möglich ohne einige Hi-Tech- und PC-Tricks).

Zum Opfer können Sie schnell werden, wenn Sie mit Ihrer Karte Geld abheben. Wenn die Karte nicht mit einem Chip ausgestattet ist, ist das für Sie zudem gefährlicher: Karten ohne Chip können viel einfacher für Diebstähle verwendet werden. Und noch gefährlicher wird das Ganze, wenn Sie sich von Ihrer Bank nicht per SMS-Nachricht über Transaktionen informieren lassen, Ihre Karte an einem Geldautomaten in einer einsamen Nebenstraße verwenden und Ihre PIN ganz offen eingeben. Die Skimmer werden es Ihnen eines Tages danken.

Aber im Ernst: Der Skimmer-Betrug ist in den letzten Jahren stark angestiegen und hat sich enorm weiterentwickelt. Das Prinzip blieb dabei gleich: Man nutzt verborgene Techniken, um die Daten des Karten-Magnetstreifens auszulesen, stiehlt den PIN-Code, klont die Karte und hebt damit Geld vom dazugehörigen Konto ab. Die Techniken für den Datendiebstahl haben sich dabei aber stark entwickelt.

Es ist nur ein Geschäft

Es gab Zeiten, da Skimmer aus selbstgemachten Kartenlesern bestanden und diese plumpe Hardware vor den Kartenschlitzen von Geldautomaten angebracht war. Die Betrüger riskierten damit, beim manuellen Geldabheben erwischt zu werden. Doch heute ist das anders. Täter, die selbst Kartenleser basteln, sind ausgestorben. Skimming ist heute ein gut organisierter und hoch-automatisierter Prozess.

Das erste Glied der Prozesskette sind die Produzenten fertiger Hardware-Lösungen, die aus überall erhältlichen Komponenten gefertigt werden. Der Verkauf und die Zahlung erfolgen online, und die Ware wird per Kurierdienst verschickt – das ist für die Kriminellen sicherer.

https://twitter.com/GreyCastleSec/status/413645017987551232

Um sehen zu können, wie beliebt Skimming bei Kriminellen ist, reicht es eine Suchanfrage im Internet zu starten. Skimming-Kits mit Kartenleser, einem Tastenblock (Vanity Panel), mit dem PIN-Codes abgefangen werden können, sowie einem Gerät und der Software zum Klonen der Karten werden für etwa 1.500 bis 2.000 Dollar verkauft. Vor einigen Jahren schätzte der Sicherheits-Experte Brian Krebs den Preis solcher Kits noch auf bis zu 10.000 Dollar.

Die Käufer solcher Kits müssen noch nicht einmal erfahrene Hacker sein, denn sie bekommen detaillierte Anleitungen, die sogar Kapitel mit den besten Vorgehensweisen enthalten. Die Anleitungen sind so genau, dass sie auch Empfehlungen für den ersten Einsatz mit Batterie enthalten, so dass die Anwender eine möglichst lange Batterielebensdauer bekommen!

Technologische Wunder

Die technische Entwicklung hat zusammen mit der hohen Nachfrage auch die Entwicklung elektronischer Komponenten für illegale Zwecke befeuert. Sicherheits-Experten empfehlen, Geldautomaten immer nach Unregelmäßigkeiten zu untersuchen, doch diese Empfehlung wird mit der Zeit obsolet.

Denn erfahrene kriminelle Händler verkaufen Hardware, die kaum von den echten Komponenten von Geldautomaten zu unterscheiden ist. Selbst ein sehr vorsichtiger Nutzer könnte sie nicht unterscheiden: Der gefälschte Kartenschlitz ist aus dem gleichen Plastik und hat die gleiche Farbe, nur die Form ist etwas anders.

Die Ähnlichkeit wird erreicht, da die Kriminellen die Elemente weit verbreiteter Geldautomaten genau kopieren. Natürlich setzen die Banken aber auch Anti-Skimming-Methoden ein.

Allerdings gibt es auch Kartenleser, die durch die Kartenschlitze innerhalb der Geldautomaten installiert werden. Diese neue Methode wurde in einem Bericht der gemeinnützigen Organisation European ATM Security Team angesprochen.  Noch schlimmer ist aber, dass manche dieser Geräte sich gar nicht damit aufhalten, den Magnetstreifen der Karten auszulesen, sondern dafür die Computer-Ressourcen des Geldautomaten missbrauchen!

Und: Gestohlene Daten manuell zu extrahieren ist veraltet. Aktuelle Modelle sind mit GSM-Modulen ausgestattet, die die Daten der Magnetstreifen verschlüsselt (ja, die Skimmer müssen auch vor ihren Konkurrenten geschützt werden!) über normale Mobilnetzwerke versenden.

Passen Sie auf Ihre PIN auf

Das stehlen des PIN-Codes ist dabei das schwächste Glied in der Skimmer-Prozesskette: Um die PIN herausfinden zu können, nutzen die Täter oft Mini-Kameras oder sogar normale Mobilgeräte wie den iPod Touch, der für seine geringe Höhe und seinen starken Akku bekannt ist.

Eine Kamera wird über der Tastatur oder im Raum installiert. Die Täter lieben auch Broschürenständer, in denen Banken normalerweise ihre Marketing-Broschüren und -Flyer präsentieren. Da die Menschen an diese gewohnt sind, werden sie auch rund um Geldautomaten nicht als gefährlich wahrgenommen.

Wenn Sie beim Geldabheben die Tastatur aber mit Ihrer Hand abdecken, bringen die Kameras nichts mehr. Zudem sind Videos nicht gerade praktisch zum Versenden oder Verarbeiten und verlangen viel manuelle Arbeit.

Extrem dünne, so genannte Vanity Panels für die Tastaturen der Geldautomaten werden ebenfalls immer günstiger und sind heutzutage auf dem Schwarzmarkt schon unter 1.000 Euro zu haben, was die Situation noch verschlimmert. Denn damit nutzt auch das Abdecken der Tastatur nichts, da das Panel Ihre PIN registriert. Die vierstellige PIN per SMS an die Skimmer-Datenbank zu senden ist natürlich viel einfacher, als lange Videos ansehen und auswerten zu müssen. Der ganze illegale Prozess wird damit viel automatisierter.

Natürlich ist das Vanity Panel über der Tastatur sichtbar, aber kaum ein Bankkunde untersucht die Tastatur so genau, dass ihm das auffallen würde. Von oben sieht die ganze Konstruktion recht normal aus, denn Vanity Panels werden aus dem gleichen Metall und mit den gleichen Farben wie die echten Tastaturen für Geldautomaten gefertigt.

Es gibt noch etwas, das Skimmer sehr gerne tun: Sie schützen die Software, die sie für die Entschlüsselung und das Klonen der Daten verwenden. So schützen sich die Carder vor Konkurrenten und der Polizei.

Wird ein falsches Passwort für die Software eingegeben, informiert die Skimming-Software den Täter nicht darüber, dass das Passwort falsch ist, sondern schaltet sich einfach ab. Wird ein falsches, plausibles Passwort der Polizei gegeben, kann der Täter sagen, das Programm wäre nur eine harmlose Software, die er kürzlich heruntergeladen hat. Oh, schade, es startet gar nicht… Um zu beweisen, dass das Programm für illegale Aktivitäten verwendet wurde, müssten die Strafverfolgungsbehörden qualifizierte Spezialisten für die Code-Analyse einstellen, die langwierig und mühsam ist.

Doch Technologie ist nur ein Teil der Geschichte. Viele Skimming-Aktivitäten sind nach wie vor manuell und recht riskant. Wir werden darauf in einem weiteren Artikel eingehen und dann auch Tipps geben, wie Sie sich vor den Kriminellen schützen können.

Tipps