Bankkarten

So klont eine brasilianische Gruppe Chip-und-PIN-Karten

Auf dem Security Analyst Summit zeigen unsere Forscher, wie eine brasilianische Gruppe Karteninformationen stiehlt und Kopien von Chip-und-PIN-Karten erstellt.

Alex Perekalin
13 Mrz 2018

Vor Kurzem wechselten die USA vom Gebrauch unsicherer Magnetstreifen bei Kredit- und Debitkarten zu besser geschützten Chip-und-PIN-Karten, die durch den EMV-Standard reguliert sind. Ein bedeutender Schritt, um die Sicherheit von Transaktionen zu erhöhen und Kartenbetrug zu reduzieren.

Auf dem Security Analyst Summit zeigten unsere Forscher, wie eine brasilianische Gruppe Karteninformationen stiehlt und Kopien von Chip-und-PIN-Karten erstellt.
Tweet

Unsere Forscher haben jedoch kürzlich herausgefunden, dass eine Gruppe Cyberkrimineller aus Brasilien eine Möglichkeit entwickelt hat, Kartendaten zu stehlen und auch Chip-und-PIN-Karten erfolgreich zu klonen. Unsere Experten präsentierten ihre Forschung auf dem Security Analyst Summit 2018. Wir werden versuchen, die komplexe Vorgehensweise in einem kurzen Beitrag zu erklären.

Jackpotting: So werden Geldautomaten geplündert

Bei der Suche nach Malware, die von einer brasilianischen Gruppe namens Prilex zum Jackpotting von Geldautomaten genutzt wurde, stießen unsere Forscher auf eine modifizierte Version der Malware, die über einige zusätzlichen Funktionen verfügt, mit deren Hilfe POS-Terminals infiziert und Kartendaten gesammelt werden konnten.

Die Malware war in der Lage POS-Software zu modifizieren, um es Dritten zu ermöglichen, die von einem POS an eine Bank übertragenen Daten zu erfassen. Auf diese Weise konnten die Kriminellen auf Kartendaten zugreifen.

Die Kartendaten allein sind allerdings nur die halbe Miete. Um an Geld zu kommen, mussten die Kriminellen erfolgreich Kopien der Karten erstellen; ein Prozess, der mittels Chip und mehrfacher Authentifizierung (eigentlich) erschwert werden sollte.

Die Prilex-Gruppe hat jedoch eine gesamte Infrastruktur entwickelt, mit der ihre „Kunden“ geklonte Karten erstellen können.

Um zu verstehen, wie und warum das möglich ist, sollten Sie zunächst einen kurzen Blick auf die Funktionsweise von EMV-Karten werfen. Was das Klonen betrifft, werden wir versuchen, es in diesem Beitrag so einfach wie möglich zu halten.

So funktioniert der Chip-und-Pin-Standard

Der Chip auf der Karte ist nicht nur ein Flash-Speicher, sondern ein winziger Computer, auf dem Anwendungen ausgeführt werden können. Wenn der Chip in ein POS-Terminal eingeführt wird, beginnt die Abfolge mehrerer Schritte.

Der erste Schritt ist die Initialisierung: Das Terminal empfängt grundlegende Informationen wie den Namen des Karteninhabers, das Ablaufdatum der Karte und eine Liste der Anwendungen, die von der Karte ausgeführt werden können.

Danach folgt ein optionaler Schritt: die Datenauthentifizierung. Hierbei überprüft das Terminal die Karte auf ihre Authentizität. Ein Prozess, bei dem die Karte mithilfe von kryptographischen Algorithmen validiert wird.

An dritter Stelle steht ebenfalls ein optionaler Schritt: die Karteninhaberverifizierung. Der Karteninhaber muss entweder den PIN-Code eingeben oder eine Unterschrift leisten (abhängig davon, wie die Karte programmiert wurde). Mit diesem Schritt soll sichergestellt werden, dass es sich bei der zahlenden Person auch tatsächlich um den Karteninhaber handelt.

Zu guter Letzt erfolgt die Transaktion. Beachten Sie hierbei, dass lediglich die Schritte 1 und 4 obligatorisch sind. Mit anderen Worten: Authentifizierung und Verifizierung können übersprungen werden – und genau an dieser Stelle kommen die Brasilianer ins Spiel.

Mit diesen Tricks arbeitet die Gruppe

Auf einer Karte können also x-beliebige Anwendungen ausgeführt werden. Beim ersten Kontakt verlangt der POS nach Informationen über die auf der Karte verfügbaren Anwendungen. Die Anzahl und Komplexität der für die Transaktion erforderlichen Schritte hängt von eben diesen verfügbaren Anwendungen ab.

Die Brasilianer haben deshalb eine Java-Anwendung für die Ausführung von Karten erstellt. Diese Anwendung teilt dem POS-Terminal beispielsweise mit, dass keine Datenauthentifizierung durchgeführt werden muss. Das bedeutet, es erfolgen keine kryptografischen Vorgänge, wodurch den Kriminellen die nahezu unmögliche Aufgabe erspart bleibt, an die privaten Krypto-Schlüssel der Karte zu gelangen.

Was bleibt ist die PIN-Authentifizierung. Es gibt jedoch eine Möglichkeit diese mithilfe einer weiteren Anwendung, die auf der Karte ausgeführt wird, zu umgehen, bzw. zu täuschen.

Ja, Sie haben richtig gelesen: mithilfe einer Anwendung der Cyberkriminellen kann jede beliebige Zahlenkombination als „korrekt“ angezeigt werden. Das bedeutet, dass der Kriminelle, der die Karte mit sich führt, lediglich vier zufällige Ziffern eingeben muss – die immer akzeptiert werden.

Kartenbetrug als Dienstleistung

Die Infrastruktur, die von Prilex entwickelt wurde, enthält das oben beschriebene Java-Applet: eine Client-App namens „Daphne“ mit der Informationen auf Chipkarten geschrieben werden können (Lese- bzw. Schreibgeräte für Smartcards sowie unbeschriebene Smartcards können preiswert und völlig legal gekauft werden.) Dieselbe App wird verwendet, um den Geldbetrag zu prüfen, der von der Karte abgehoben werden kann.

Die Infrastruktur umfasst zudem die Datenbank mit Kartennummern und anderen Daten. Ob es sich um eine Kredit- oder Debitkarte handelt, spielt dabei keine Rolle; „Daphne“ kann beide Karten problemlos klonen. Die Kriminellen verkaufen diesen „Service“ als Paket, meistens an andere Kriminelle in Brasilien, die dann die geklonten Karten erstellen und verwenden.

Fazit

Dem Bericht „Global Consumer Card Fraud“ von Aite aus dem Jahr 2016 zufolge, kann man davon ausgehen, dass so gut wie alle Nutzer kompromittiert wurden. Ob es sich hierbei um eine Karte mit Magnetstreifen oder eine sicherere Chip-und-PIN-Karte handelt, spielt keine Rolle.

Da Kriminelle nun tatsächliche eine Methode entwickelt haben, um die smarten Karten zu klonen, kann man darin eine sehr ernst zu nehmende finanzielle Bedrohung sehen. Wenn Sie vermeiden möchten, durch Kartenbetrug erhebliche Geldbeträge zu verlieren, empfehlen wir Folgendes:

Behalten Sie den Transaktionsverlauf Ihrer Karte im Auge. Wenn Sie verdächtige Ausgaben bemerken, rufen Sie Ihre Bank so schnell wie möglich an und blockieren Sie die Karte sofort.
Verwenden Sie wenn möglich Android Pay oder Apple Pay; Hier werden Ihre Kartendaten nicht an den POS weitergegeben.
Verwenden Sie eine separate Karte für Internet-Zahlungen, da diese Karte mit größerer Wahrscheinlichkeit kompromittiert wird als die, die Sie nur in Geschäften vor Ort verwenden.

Olympic Destroyer: Wer steckt hinter dem Angriff auf die Olympischen Spiele?

Auf der Suche nach den Hauptverantwortlichen haben Experten von Kaspersky Lab digitale Beweise für den Hackerangriff auf die Olympischen Spiele 2018 analysiert.

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

So unterscheidest du echte Fotos und Videos von Fakes und stellst ihre Herkunft fest

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

So stellst du den Cyberschutz deines Computers oder Smartphones auf die am häufigsten ausgezeichnete Kaspersky-Sicherheitslösung um.

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

So klont eine brasilianische Gruppe Chip-und-PIN-Karten

Jackpotting: So werden Geldautomaten geplündert

So funktioniert der Chip-und-Pin-Standard

Mit diesen Tricks arbeitet die Gruppe

Kartenbetrug als Dienstleistung

Fazit

Echtzeit-Hacking bei Apex Legends: Skandal in einem E-Sports-Turnier

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Olympic Destroyer: Wer steckt hinter dem Angriff auf die Olympischen Spiele?

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Mehr Sicherheit für Privatanwender

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie