Cyberkriminalität
Im ersten Teil unseres Artikels zu Skimmern ging es um die Technologien und Methoden der Kreditkartendiebe. Heute berichten wir darüber, wie die Kriminellen die gefährlichsten Skimming-Prozesse durchführen.
Outsourcing des Skimming-Prozesses
Für den Großteil der illegalen Arbeit müssen die Täter nicht recht qualifiziert sein. Doch manche Operationen – inklusive der Installation der Hardware – sind recht riskant. Deshalb werden diese manchmal an „Spezialisten“ gegeben – Outsourcing illegaler Tätigkeiten.
Ein erfahrener Profi braucht etwa 30 Sekunden, um einen Skimmer zu installieren. Das wird erst nach mehreren Stufen der Vorbereitung und des Auskundschaftens gemacht: Der Ort wird analysiert, nach Überwachungskameras abgesucht und zudem wird der beste Zeitpunkt abgewartet, an dem rund um den Geldautomaten nicht viel los ist. All das mithilfe eines Assistenten, der in der Nähe des Geldautomaten bleibt.
Kriminelle installieren einen Skimmer an einem Geldautomaten.
Ein erfahrener Skimmer-Installateur ist kaum zu fassen. Ein kühler, gut gekleideter Herr, der wahrscheinlich sagen würde, er habe etwas Komisches an dem Geldautomaten bemerkt und wollte seinen Verdacht erst bestätigen, bevor er die Polizei anruft. Dann wird es schwer, ihm die illegale Tätigkeit nachzuweisen, vor allem, wenn er vorher Kleber und Installationsgeräte losgeworden ist. Deshalb empfehlen Banken, nichts Verdächtiges an Geldautomaten anzufassen und sofort die Polizei zu rufen.
Neben Geldtautomaten sind Skimmer auch an anderen Terminals interessiert, die Kredit- oder Geldkarten einlesen. Dazu gehören Terminals an Tankstellen, Ticketautomaten an Bahnhöfen, und generell alle Arten von Verkaufsautomaten. Im Gegensatz zu Geldautomaten sind die meisten Menschen hier nicht so vorsichtig, zudem sind diese Automaten weniger gut geschützt.
Kriminelle Ernte
Sobald der Skimmer installiert ist, arbeiten die Täter an der nächsten Stufe des Betrugs: Der „Ernte“. Sie verbringen die meiste Zeit damit, so viele Karten wie möglich zu klonen, bevor der Betrug auffliegt. Denn sobald die Bank bemerkt, dass ein Skimmer installiert wurde, werden die meisten Besitzer der geernteten Karten ihre Kreditkarten blockieren. Um die Situation zu beobachten, bleibt ein Komplize der Carder in der Nähe, etwa in einem Auto oder einem Café mit Blick auf den Geldautomaten.
Wenn niemand bemerkt, dass der Geldautomat „optimiert“ wurde, läuft der Betrug bis die Batterie des Skimmers leer ist und kann den Tätern bis zu tausend Kreditkartendaten einbringen. Die gierigsten Täter bauen das Gerät dann wieder ab und verwenden es erneut, wobei die intelligenteren es wegwerfen, um das Risiko, erwischt zu werden, zu minimieren. Auf jeden Fall kann der Gewinn aus den gestohlenen Karten Tausende Euro ausmachen, und darin sind die Kosten für das weggeworfene Gerät auf jeden Fall enthalten.
Geld mit den geklonten Karten abzuheben ist dann ein separater, sehr risikoreicher Bereich in diesem kriminellen Business – deshalb wird dieser Teil meist ausgegliedert. Dabei werden meist mehrere Personen, die als „Money Mules“ oder „Mules“ bezeichnet werden, in den Prozess involviert.
Manchmal geben die Mules das Geld direkt an die Täter und erhalten ein paar Prozent des Geldes dafür. Aber es gibt auch Methoden, bei denen die Mules Pakete gestohlener Karten kaufen und autonom agieren, meist in ganz anderen Teilen der Welt.
Primitiv ist nicht gut
Der Grund, warum es so einfach ist, Geld von Karten zu stehlen, liegt vor allem in deren primitiver Sicherheitstechnologie. Die ersten Bankkarten mit Magnetstreifen gab es vor einigen Generationen, Mitte des vergangenen Jahrhunderts, als man noch keine Geräte zum Stehlen und Klonen der Kartendaten kannte.
Die auf dem Magnetstreifen gespeicherten Daten werden tatsächlich durch nichts außer dem kurzen und gefährdeten PIN-Code geschützt, der Transaktionen autorisiert. Es gibt verschiedene Arten erweiterter Schutzmaßnahmen, die später auftauchten, aber diese sind nach wie vor nur optional.
Man muss nicht extra dazusagen, dass Zahlungssysteme und Banken sich schon seit Jahren Gedanken über dieses Problem machen. Robustere EMV-Karten sind mit Magnetstreifen und einen Chip ausgestattet und werden in Europa schon seit über 20 Jahren eingesetzt.
Der Unterschied ist hier, dass der Chip im Gegensatz zum Magnetstreifen nicht geklont werden kann. Ein Geldautomat verlangt vom Kartenchip einen einzigartigen, einmaligen Schlüssel, der zwar vom Skimmer abgefangen werden kann, aber für weitere Transaktionen ungültig ist.
Sicherheitsforscher haben über einige Sicherheitslücken in EMV-Karten berichtet, doch diese sind in der Praxis nur sehr kompliziert auszunutzen. Diese Entwicklung könnte Skimmer also verdrängen, aber die Sache hat einen Haken: Die Umstellung auf EMV-Karten ist ein langer, komplexer und teurer Prozess, an dem mehrere Parteien teilnehmen müssen.
A reasonable portion of offline paranoia may save money online: https://t.co/ZGkvthc12o
— Eugene Kaspersky (@e_kaspersky) December 18, 2014
Denn in diesem Fall müssen sich alle umstellen: Zahlungssysteme, Banken, Kapitalfirmen, Hersteller von Zahlungsterminals und Geldmaschinen sowie viele andere. Deshalb werden nach wie vor in vielen Ländern, inklusive Entwicklungsländern, nur die alten Karten ohne Chip verwendet.
Zudem kann sogar von einer EMV-Karte Geld gestohlen werden. Denn um auch mit alten Terminals und Automaten kompatibel zu sein, können Transaktionen und Zahlungen auch komplett ohne den Chip und nur mit dem Magnetstreifen durchgeführt werden.
Skimmer sind derzeit in den USA am aktivsten, wo ein Programm läuft, landesweit EMV-Karten einzuführen. Dies berichtet das European ATM Security Team. Indonesien und Thailand sind in Asien, Bulgarien und Rumänien in Europa die Länder mit dem höchsten Risiko, zum Opfer solcher Betrüger zu werden.
Ein Dutzend einfacher #Tipps, um nicht Opfer von #Geldautomaten #Skimmern zu werden
Tweet
Banken ersetzen vielleicht das gestohlene Geld, vor allem, wenn die Verantwortung auf einen Anderen (etwa ein Zahlungssystem, einen Geldautomatenbesitzer oder eine Versicherung) übertragen werden kann. Doch oft wird der Kartenbesitzer zur Verantwortung gezogen und bleibt auf seinem Schaden sitzen.
Wie also so oft: Wenn Sie ertrinken, sind Sie auf sich allein gestellt.
Überlebensregeln
Es gibt keine todsicheren Methoden, keine hundertprozentige Garantie, dass Ihre Karte nicht in die Hände von Skimmern fällt, doch unsere einfachen Tipps können Ihnen helfen, das Risiko zu senken:
- Wenn Ihre Karte keinen EMV-Chip besitzt, sollten Sie sie am besten nicht verwenden. Ihre Bank sollte sie auf Anfrage mit einer EMV-Karte austauschen können. Der Chip garantiert zwar ebenfalls keine hundertprozentige Sicherheit, reduziert aber das Risiko eines Diebstahls.
- Aktivieren Sie die SMS-Benachrichtigungen, um alle Transaktionen besser verfolgen zu können. Je früher Sie einen Diebstahl bemerken, desto höher sind die Chancen, dass Sie Ihr Geld zurückbekommen.
- Wenn Sie nicht oft reisen, sollten Sie bei Ihrer Bank nachfragen, ob es möglich ist, das Gebiet der Karte einzuschränken (wenn Sie doch einmal ins Ausland reisen, können Sie das entsprechende Land freigeben). Das ist eine sehr effektive Maßnahme, die sich schon oft bewährt hat.
- Verwenden Sie Ihre Karte nicht mit viel Geld darauf. Je weniger Transaktionen Sie damit durchführen, vor allem an neuen Orten und in neuen Geschäften (zum Beispiel auf Reisen), desto besser. Für risikoreiche Aktionen sollten Sie eine separate Karte mit niedrigem Limit verwenden.
Some tips on what to do if your credit card gets hacked, via the @Kaspersky Daily: http://t.co/lnFCmLsJcV
— Brian Donohue (@TheBrianDonohue) November 17, 2014
- Wenn Sie Geld von einem Geldautomaten abheben müssen, sollten Sie einen Automaten an einem gut beleuchteten und sicheren Ort nutzen – etwa in einer Bank. Vermeiden Sie dagegen einzelne Geldautomaten in abgetrennten Ecken von Einkaufszentren.
- Wenn Sie die PIN eingeben, sollten Sie so nah wie möglich am Geldautomaten stehen und die Tastatur mit der anderen Hand abdecken. Spezielle Vanity Panels, die über der echten Tastatur installiert werden und die PIN stehlen, sind immer noch recht selten anzutreffen, so dass die PIN meist mit Kameras oder von einer hinter Ihnen stehenden Person ausspioniert wird. Vergessen Sie nicht, die PIN regelmäßig zu ändern (an einem vertrauenswürdigen Geldautomaten oder mithilfe eines Bankangestellten), vor allem nach risikoreichen Transaktionen.
- Prüfen Sie Geldautomaten und deren Umgebung auf Seltsamkeiten. Nicht alle Kriminellen sind Profis und verwenden entsprechende Geräte. Und ziehen Sie Ihre Karte niemals durch einen speziellen „Magnetstreifen-Reiniger“ neben dem Geldautomaten (so komisch das auch klingt, manche Menschen fallen auf diesen billigen Trick herein).
- Zählen Sie die Banknoten, die der Geldautomat ausspuckt. Es gibt spezielle „Fallen“, die in die Geldkörbe eingebaut werden und einzelne Geldscheine abfangen. Wenn ein Geldautomat Ihre Karte nicht mehr hergibt, könnte das ebenfalls auf einen Betrug hinweisen — rufen Sie sofort die Bank an, ohne vom Geldautomaten wegzugehen. Diese Art des Betrugs wurde nach der Einführung von EMV-Karten in Europa recht schnell populär, denn dann hat der Carder Ihre Karte inklusive dem benötigten Chip.
- Lassen Sie Ihre Karte niemals unbeaufsichtigt, zum Beispiel beim Zahlen in Restaurants oder Geschäften – es gibt zahlreiche kleine, manuelle Scanner, mit denen die Karte geklont werden kann, und die Eingabe der PIN kann recht leicht beobachtet werden.
10. Zeigen Sie Ihre Karte niemals Fremden und veröffentlichen Sie keine Fotos davon, nicht einmal Fotos nur von einer Seite. Viele ältere Webseiten erlauben Zahlungen ohne den CVV2-Code, der auf der Rückseite der Karte steht, ganz davon abgesehen, dass diese Seiten auch keine Zwei-Faktoren-Authentifizierung (mit einmaligen SMS-Passwörtern) bieten.
Zu guter Letzt: Bleiben Sie einfach wachsam. Eine Kredit- oder Geldkarte ist bequem, doch die Bequemlichkeit richtet sich manchmal gegen uns. Denken Sie daran: Besser man ist ein bisschen paranoid und wirkt auf andere lächerlich, als man ist auf einmal all sein Geld los und ärgert sich.
Tipps