{"id":16073,"date":"2018-03-13T12:12:22","date_gmt":"2018-03-13T10:12:22","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=16073"},"modified":"2022-06-09T19:36:10","modified_gmt":"2022-06-09T17:36:10","slug":"so-klont-eine-brasilianische-gruppe-chip-und-pin-karten","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/so-klont-eine-brasilianische-gruppe-chip-und-pin-karten\/16073\/","title":{"rendered":"So klont eine brasilianische Gruppe Chip-und-PIN-Karten"},"content":{"rendered":"

Vor Kurzem wechselten die USA vom Gebrauch unsicherer Magnetstreifen bei Kredit- und Debitkarten zu besser gesch\u00fctzten Chip-und-PIN-Karten, die durch den EMV-Standard reguliert sind. Ein bedeutender Schritt, um die Sicherheit von Transaktionen zu erh\u00f6hen und Kartenbetrug zu reduzieren.<\/p>\n

Auf dem Security Analyst Summit zeigten unsere Forscher, wie eine brasilianische Gruppe Karteninformationen stiehlt und Kopien von Chip-und-PIN-Karten erstellt.<\/p>Tweet<\/a><\/blockquote>\n

Unsere Forscher haben jedoch k\u00fcrzlich herausgefunden, dass eine Gruppe Cyberkrimineller aus Brasilien eine M\u00f6glichkeit entwickelt hat, Kartendaten zu stehlen und auch Chip-und-PIN-Karten erfolgreich zu klonen. Unsere Experten pr\u00e4sentierten ihre Forschung auf dem Security Analyst Summit 2018. Wir werden versuchen, die komplexe Vorgehensweise in einem kurzen Beitrag zu erkl\u00e4ren.<\/p>\n

Jackpotting: So werden Geldautomaten gepl\u00fcndert<\/h2>\n

Bei der Suche nach Malware, die von einer brasilianischen Gruppe namens Prilex zum Jackpotting von Geldautomaten genutzt wurde, stie\u00dfen unsere Forscher auf eine modifizierte Version der Malware, die \u00fcber einige zus\u00e4tzlichen Funktionen verf\u00fcgt, mit deren Hilfe POS-Terminals infiziert und Kartendaten gesammelt werden konnten.<\/p>\n

Die Malware war in der Lage POS-Software zu modifizieren, um es Dritten zu erm\u00f6glichen, die von einem POS an eine Bank \u00fcbertragenen Daten zu erfassen. Auf diese Weise konnten die Kriminellen auf Kartendaten zugreifen.<\/p>\n

Die Kartendaten allein sind allerdings nur die halbe Miete. Um an Geld zu kommen, mussten die Kriminellen erfolgreich Kopien der Karten erstellen; ein Prozess, der mittels Chip und mehrfacher Authentifizierung (eigentlich) erschwert werden sollte.<\/p>\n

Die Prilex-Gruppe hat jedoch eine gesamte Infrastruktur entwickelt, mit der ihre \u201eKunden\u201c geklonte Karten erstellen k\u00f6nnen.<\/p>\n

Um zu verstehen, wie und warum das m\u00f6glich ist, sollten Sie zun\u00e4chst einen kurzen Blick auf die Funktionsweise von EMV-Karten werfen. Was das Klonen betrifft, werden wir versuchen, es in diesem Beitrag so einfach wie m\u00f6glich zu halten.<\/p>\n

So funktioniert der Chip-und-Pin-Standard<\/h2>\n

Der Chip auf der Karte ist nicht nur ein Flash-Speicher, sondern ein winziger Computer, auf dem Anwendungen ausgef\u00fchrt werden k\u00f6nnen. Wenn der Chip in ein POS-Terminal eingef\u00fchrt wird, beginnt die Abfolge mehrerer Schritte.<\/p>\n

Der erste Schritt ist die\u00a0Initialisierung<\/em>: Das Terminal empf\u00e4ngt grundlegende Informationen wie den Namen des Karteninhabers, das Ablaufdatum der Karte und eine Liste der Anwendungen, die von der Karte ausgef\u00fchrt werden k\u00f6nnen.<\/p>\n

Danach folgt ein optionaler Schritt: die Datenauthentifizierung<\/em>. Hierbei \u00fcberpr\u00fcft das Terminal die Karte auf ihre Authentizit\u00e4t. Ein Prozess, bei dem die Karte mithilfe von kryptographischen Algorithmen validiert wird.<\/p>\n

An dritter Stelle steht ebenfalls ein optionaler Schritt: die\u00a0Karteninhaberverifizierung.\u00a0<\/em>Der Karteninhaber muss entweder den PIN-Code eingeben oder eine Unterschrift leisten (abh\u00e4ngig davon, wie die Karte programmiert wurde). Mit diesem Schritt soll sichergestellt werden, dass es sich bei der zahlenden Person auch tats\u00e4chlich um den Karteninhaber handelt.<\/p>\n

Zu guter Letzt erfolgt die Transaktion<\/em>. Beachten Sie hierbei, dass lediglich die Schritte 1 und 4 obligatorisch sind. Mit anderen Worten: Authentifizierung und Verifizierung k\u00f6nnen \u00fcbersprungen werden \u2013 und genau an dieser Stelle kommen die Brasilianer ins Spiel.<\/p>\n

Mit diesen Tricks arbeitet die Gruppe<\/h2>\n

Auf einer Karte k\u00f6nnen also x-beliebige Anwendungen ausgef\u00fchrt werden. Beim ersten Kontakt verlangt der POS nach Informationen \u00fcber die auf der Karte verf\u00fcgbaren Anwendungen. Die Anzahl und Komplexit\u00e4t der f\u00fcr die Transaktion erforderlichen Schritte h\u00e4ngt von eben diesen verf\u00fcgbaren Anwendungen ab.<\/p>\n

Die Brasilianer haben deshalb eine Java-Anwendung f\u00fcr die Ausf\u00fchrung von Karten erstellt. Diese Anwendung teilt dem POS-Terminal beispielsweise mit, dass keine Datenauthentifizierung durchgef\u00fchrt werden muss. Das bedeutet, es erfolgen keine kryptografischen Vorg\u00e4nge, wodurch den Kriminellen die nahezu unm\u00f6gliche Aufgabe erspart bleibt, an die privaten Krypto-Schl\u00fcssel der Karte zu gelangen.<\/p>\n

Was bleibt ist die PIN-Authentifizierung. Es gibt jedoch eine M\u00f6glichkeit diese mithilfe einer weiteren Anwendung, die auf der Karte ausgef\u00fchrt wird,\u00a0 zu umgehen, bzw. zu t\u00e4uschen.<\/p>\n

Ja, Sie haben richtig gelesen: mithilfe einer Anwendung der Cyberkriminellen kann jede beliebige Zahlenkombination als \u201ekorrekt\u201c angezeigt werden. Das bedeutet, dass der Kriminelle, der die Karte mit sich f\u00fchrt, lediglich vier zuf\u00e4llige Ziffern eingeben muss \u2013 die immer akzeptiert werden.<\/p>\n

Kartenbetrug als Dienstleistung<\/h2>\n

Die Infrastruktur, die von Prilex entwickelt wurde, enth\u00e4lt das oben beschriebene Java-Applet: eine Client-App namens \u201eDaphne\u201c mit der Informationen auf Chipkarten geschrieben werden k\u00f6nnen (Lese- bzw. Schreibger\u00e4te f\u00fcr Smartcards sowie unbeschriebene Smartcards k\u00f6nnen preiswert und v\u00f6llig legal gekauft werden.) Dieselbe App wird verwendet, um den Geldbetrag zu pr\u00fcfen, der von der Karte abgehoben werden kann.<\/p>\n

Die Infrastruktur umfasst zudem die Datenbank mit Kartennummern und anderen Daten. Ob es sich um eine Kredit- oder Debitkarte handelt, spielt dabei keine Rolle; \u201eDaphne\u201c kann beide Karten problemlos klonen. Die Kriminellen verkaufen diesen \u201eService\u201c als Paket, meistens an andere Kriminelle in Brasilien, die dann die geklonten Karten erstellen und verwenden.<\/p>\n

Fazit<\/h2>\n

Dem Bericht \u201eGlobal Consumer Card Fraud<\/a>\u201c von Aite aus dem Jahr 2016 zufolge, kann man davon ausgehen, dass so gut wie alle Nutzer kompromittiert wurden. Ob es sich hierbei um eine Karte mit Magnetstreifen oder eine sicherere Chip-und-PIN-Karte handelt, spielt keine Rolle.<\/p>\n

Da Kriminelle nun tats\u00e4chliche eine Methode entwickelt haben, um die smarten Karten zu klonen, kann man darin eine sehr ernst zu nehmende finanzielle Bedrohung sehen. Wenn Sie vermeiden m\u00f6chten, durch Kartenbetrug erhebliche Geldbetr\u00e4ge zu verlieren, empfehlen wir Folgendes:<\/p>\n