{"id":29901,"date":"2023-03-16T12:57:21","date_gmt":"2023-03-16T10:57:21","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29901"},"modified":"2023-03-16T15:23:58","modified_gmt":"2023-03-16T13:23:58","slug":"how-to-protect-emv-and-nfc-bank-cards","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/how-to-protect-emv-and-nfc-bank-cards\/29901\/","title":{"rendered":"So stehlen Cyberkriminelle Geld von Bankkarten &#8211; und wie Sie sich vor solchen Diebst\u00e4hlen sch\u00fctzen k\u00f6nnen"},"content":{"rendered":"<p>In den letzten Jahren sind Zahlungsdienste nicht nur bequemer, sondern auch sicherer geworden \u2013 aber noch immer gelingt es Cyberkriminellen, weltweit Geld von Bankkarten zu entwenden. Welche sind die g\u00e4ngigsten Methoden f\u00fcr einen solchen Diebstahl, und wie k\u00f6nnen Sie sich davor sch\u00fctzen?<\/p>\n<h2>Klonen von Karten<\/h2>\n<p>Als Bankkarten Informationen nur auf einem Magnetstreifen speicherten, war es f\u00fcr Betr\u00fcger recht einfach, eine genaue Kartenkopie zu erstellen und sie f\u00fcr Zahlungen in Gesch\u00e4ften und Abhebungen an Geldautomaten zu verwenden. Anfangs wurden die Daten mit einem speziellen Ger\u00e4t ausgelesen \u2013 einem Skimmer, der an einem Geldautomaten oder einem Terminal in einem Gesch\u00e4ft angebracht wurde. Erg\u00e4nzend dazu wurde eine Kamera oder ein spezielles Pad auf der Tastatur des Terminals verwendet, um die PIN-Nummer der Karte zu ermitteln. Nachdem die Betr\u00fcger einen Kartenabdruck und die dazugeh\u00f6rige PIN erhalten hatten, \u00fcbertrugen sie diese Daten auf eine leere Karte und benutzten sie an Geldautomaten oder in Gesch\u00e4ften.<\/p>\n<p>In einigen Teilen der Welt funktioniert diese Technologie immer noch, aber mit dem Aufkommen von Chipkarten hat sich ihre Effektivit\u00e4t deutlich reduziert. Eine Chipkarte ist nicht so leicht zu kopieren. Deshalb haben Kriminelle damit begonnen, Zahlungsterminals mit Schadcode zu infizieren, der bei der Bearbeitung eines rechtm\u00e4\u00dfigen Kaufs einige Daten von der Karte kopiert. Mit diesen Informationen versenden Kriminelle dann raffiniert generierte Zahlungsaufforderungen. Im Wesentlichen versenden sie nur Daten, die zuvor auf dem Magnetstreifen aufgezeichnet wurden, kennzeichnen die Transaktion aber als \u00fcber den Chip abgewickelt. Das ist dann m\u00f6glich, wenn Banken verschiedene Transaktionsparameter nicht detailliert genug abgleichen und die <a href=\"https:\/\/de.wikipedia.org\/wiki\/Contact_EMV\" target=\"_blank\" rel=\"noopener nofollow\">EMV-Protokolle<\/a>, an die sich alle Transaktionen mit Chipkarten halten m\u00fcssen, nicht korrekt umsetzen.<\/p>\n<p>Bei Banken, die nicht unter einer solchen Laxheit leiden, wenden die Angreifer einen noch raffinierteren Trick an. Sobald ihr Opfer eine legitime Zahlung vornimmt, fordert das infizierte Zahlungsterminal die eingef\u00fchrte Karte auf, eine <a href=\"https:\/\/securelist.com\/prilex-atm-pos-malware-evolution\/107551\/\" target=\"_blank\" rel=\"noopener\">zus\u00e4tzliche betr\u00fcgerische Transaktion durchzuf\u00fchren<\/a>. So wird die Karte selbst nicht kopiert, aber es werden trotzdem Extrabetr\u00e4ge von ihr abgezogen.<\/p>\n<p><strong>So k\u00f6nnen Sie sich sch\u00fctzen:<\/strong> Versuchen Sie, die Funktion f\u00fcr kontaktloses Bezahlen auf Ihrem Telefon zu nutzen, da diese besser gesch\u00fctzt ist. Falls Sie Ihre Karte dennoch in ein Terminal einf\u00fchren m\u00fcssen, achten Sie darauf, dass das Eingabefeld f\u00fcr den PIN-Code nicht verd\u00e4chtig ver\u00e4ndert ist. Verdecken Sie das Feld bei der Eingabe des Codes mit Ihrer Hand, Ihrer Handtasche oder einem anderen Gegenstand. Sollte das Terminal <a href=\"https:\/\/www.kaspersky.de\/blog\/prilex-blocks-nfc\/29738\/\" target=\"_blank\" rel=\"noopener\">pl\u00f6tzlich keine kontaktlosen Zahlungen mehr akzeptieren<\/a>, ungew\u00f6hnliche Meldungen auf dem Bildschirm erscheinen oder die PIN wiederholt eingegeben werden m\u00fcssen, ist dies ein Grund, misstrauisch zu werden und zus\u00e4tzliche Schutzma\u00dfnahmen zu ergreifen. So k\u00f6nnen Sie z. B. sofort Ihren Kontoauszug \u00fcberpr\u00fcfen oder ein geringes Verf\u00fcgungslimit f\u00fcr die Karte festlegen.<\/p>\n<blockquote><p><strong>\u201eKugelsichere\u201c Portemonnaies<\/strong><br>\nEs gibt mittlerweile RFID-gesch\u00fctzte Portemonnaies und Taschen zu kaufen, die verhindern, dass die darin enthaltenen physischen Karten aus der Ferne ausgelesen werden, zum Beispiel in \u00f6ffentlichen Verkehrsmitteln. An einem solchen Schutz gibt es nichts auszusetzen \u2013 er funktioniert wirklich. In der Praxis wird dieses Angriffsszenario jedoch praktisch nie genutzt. Bei einem solchen Schnell-Scan lassen sich nur grundlegende Informationen von der Karte ablesen, und das reicht in der Regel nicht aus, um eine Zahlung zu t\u00e4tigen. Zugleich ist es aber sehr einfach, die letzten Einsatzorte und Betr\u00e4ge von kontaktlosen Zahlungen herauszufinden!<\/p><\/blockquote>\n<h2>Kartendatendiebstahl \u00fcber das Internet<\/h2>\n<p>Hier haben es die Betr\u00fcger auf die Daten von Bankkarten abgesehen, um online Zahlungen vornehmen zu k\u00f6nnen. Dazu geh\u00f6ren in der Regel die Kartennummer, das G\u00fcltigkeitsdatum und die Kartenpr\u00fcfnummer (CVV\/CVC); je nach Land k\u00f6nnen auch der Name des Karteninhabers, die Postleitzahl oder die Reisepassnummer abgefragt werden. Es gibt mindestens drei effektive M\u00f6glichkeiten, wie Betr\u00fcger diese Daten sammeln:<\/p>\n<ol>\n<li>Sie k\u00f6dern das Opfer mit einem gef\u00e4lschten Online-Shop, <a href=\"https:\/\/www.kaspersky.de\/blog\/amazon-related-phishing-scam\/25828\/\" target=\"_blank\" rel=\"noopener\">einer Phishing-Kopie eines echten Online-Shops<\/a> oder unter dem Vorwand, Geld f\u00fcr wohlt\u00e4tige Zwecke zu sammeln.<\/li>\n<li>Abfangen der Daten durch Infizieren entweder der Webseite des tats\u00e4chlichen Online-Shops (Web-Skimmer) oder des Computers\/Smartphones des Opfers (Banking-Trojaner).<\/li>\n<li>Hacken eines realen Online-Shops und Stehlen der gespeicherten Zahlungskartendaten der Kunden. Eigentlich sollten Online-Shops niemals alle Kartendaten aufbewahren, aber leider wird diese Vorschrift oft nicht eingehalten.<\/li>\n<\/ol>\n<p>Obwohl diese Diebstahlmethode veraltet ist, wird sie weiterhin Bestand haben. So hat sich unserer Analyse zufolge die Zahl der Angriffe auf Bankdaten im Jahr 2022 fast <a href=\"https:\/\/www.kaspersky.com\/about\/press-releases\/2022_black-friday-report-banking-credentials-theft-doubled-in-2022\" target=\"_blank\" rel=\"noopener nofollow\">verdoppelt<\/a>.<\/p>\n<p><strong>So k\u00f6nnen Sie sich sch\u00fctzen:<\/strong> Zun\u00e4chst sollten Sie sich eine virtuelle Karte f\u00fcr Online-Zahlungen zulegen. Falls es nicht zu schwierig oder zu teuer ist, lassen Sie sich eine neue virtuelle Karte ausstellen und sperren Sie die alte mindestens einmal im Jahr. Legen Sie dar\u00fcber hinaus ein niedriges Verf\u00fcgungslimit f\u00fcr Ihre Online-Zahlungskarte fest oder lassen Sie nur einen sehr geringen Geldbetrag auf der Karte. Vergewissern Sie sich, dass Ihre Bank Online-Zahlungen immer mit einem Einmalcode best\u00e4tigt (mit 3-D Secure oder \u00e4hnlichen Verfahren). Und schlie\u00dflich sollten Sie die Zahlungsformulare und Adressen der Websites, auf denen Sie Ihre finanziellen Daten eingeben, sorgf\u00e4ltig pr\u00fcfen. Um dieses Problem zu umgehen, sollten Sie <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Cybersicherheits-Tools<\/a> verwenden, die Online-Zahlungen sicher sch\u00fctzen.<\/p>\n<h2>Karten- und Telefondiebstahl der alten Schule<\/h2>\n<p>Diese Methode ist selbstverst\u00e4ndlich die auff\u00e4lligste und offensichtlichste Form des Diebstahls, aber sie ist immer noch weit verbreitet. Gerissene Kriminelle k\u00f6nnen Karten f\u00fcr Online-Zahlungen verwenden, indem sie einen Online-Shop finden, bei dem keine zus\u00e4tzlichen Pr\u00fcfcodes eingegeben werden m\u00fcssen. Noch einfacher, aber nicht weniger effektiv ist es, eine gestohlene Karte f\u00fcr eine Kontaktlos-Zahlung zu verwenden, bei der keine PIN eingegeben werden muss. In der Regel gibt es ein Limit f\u00fcr solche Zahlungen, und in einigen L\u00e4ndern wird die Karte nach <a href=\"https:\/\/www.card-saver.co.uk\/contactless-payments-will-now-be-declined-if-used-five-times-in-a-row-heres-why\/\" target=\"_blank\" rel=\"noopener nofollow\">drei bis f\u00fcnf solcher Zahlungen<\/a> gesperrt, aber im Vereinigten K\u00f6nigreich beispielsweise kann der Verlust eines Opfers durch diese primitive Methode des Diebstahls leicht 500 britische Pfund (5 \u00d7 <a href=\"https:\/\/www.ukfinance.org.uk\/press\/press-releases\/contactless-limit-increase-100-15-october\" target=\"_blank\" rel=\"noopener nofollow\">100<\/a> \u00a3) betragen. Ein Mobiltelefon ist f\u00fcr Diebe immer ein wertvolles Gut, und wenn es Google Pay aktiviert hat, ist es m\u00f6glich, innerhalb des zul\u00e4ssigen Zahlungslimits zu handeln und dem Opfer einen zus\u00e4tzlichen Schaden zu verursachen, selbst wenn die Karte gesperrt ist.<\/p>\n<p>Sicherheitsforscher haben gezeigt, dass es manchmal sogar <a href=\"https:\/\/www.paymentvillage.org\/blog\/modern-emv-and-nfc-cardholder-verification-issues\" target=\"_blank\" rel=\"noopener nofollow\">m\u00f6glich<\/a> ist, kontaktlose Zahlungen durchzuf\u00fchren, selbst wenn eine Karte nach dreimaliger Eingabe einer falschen PIN gesperrt wurde. Au\u00dferdem k\u00f6nnten Angreifer einige <a href=\"https:\/\/www.paymentvillage.org\/blog\/how-to-clone-google-paymastercard-transactions\" target=\"_blank\" rel=\"noopener nofollow\">Daten mit einem gesperrten Telefon austauschen<\/a> und dann modifizierte Aufzeichnungen dieses Austauschs verwenden, um einmalige betr\u00fcgerische Zahlungen vorzunehmen. Zum Gl\u00fcck wurden beide Angriffsarten von Sicherheitsforschern entdeckt, sodass die Hoffnung besteht, dass Betr\u00fcger diese Methoden noch nicht einsetzen.<\/p>\n<p><strong>So k\u00f6nnen Sie sich sch\u00fctzen:<\/strong> Am besten setzen Sie sich f\u00fcr den t\u00e4glichen Gebrauch relativ niedrige Ausgabenlimits f\u00fcr Ihre Karten. Sofern Ihre Bank dies zul\u00e4sst, k\u00f6nnen Sie ein gesondertes, niedriges Kontingent f\u00fcr kontaktlose Zahlungen festlegen. Nat\u00fcrlich sollten Sie darauf achten, dass Sie das Limit im Notfall schnell wieder erh\u00f6hen k\u00f6nnen. Alternativ k\u00f6nnen Sie sich auch eine virtuelle Karte mit niedrigem Limit ausstellen lassen und Google\/Apple\/Samsung Pay damit verkn\u00fcpfen. Wenn die Zahlungs-App so eingestellt werden kann, dass sie nur Zahlungen von einem entsperrten Telefon zul\u00e4sst, sollten Sie dies tun.<\/p>\n<p>Abschlie\u00dfend weisen wir darauf hin, dass sich in vielen L\u00e4ndern derzeit Regelungen durchsetzen, die Opfern eine teilweise oder vollst\u00e4ndige Entsch\u00e4digung f\u00fcr Betrug gew\u00e4hren. Um davon zu profitieren, empfehlen wir Ihnen, bei allen Kartenzahlungen vorsichtig zu sein, den schnellsten Benachrichtigungsweg einzurichten (Push oder SMS) und Ihre Bank schnellstm\u00f6glich zu kontaktieren, wenn Sie verd\u00e4chtige Transaktionen feststellen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wir analysieren, warum Chip-Karten kein Wundermittel sind und welche Vorsichtsma\u00dfnahmen beim Zahlungsverkehr getroffen werden sollten.<\/p>\n","protected":false},"author":2722,"featured_media":29903,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10],"tags":[1163,119,755,1567,274,142,1150,2989,314,3145,4044,1654],"class_list":{"0":"post-29901","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"tag-apple-pay","9":"tag-banken","10":"tag-banking","11":"tag-bankkarten","12":"tag-bedrohungen","13":"tag-betrug","14":"tag-betruger","15":"tag-google-pay","16":"tag-nfc","17":"tag-scam","18":"tag-sicheres-geld","19":"tag-tips"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/how-to-protect-emv-and-nfc-bank-cards\/29901\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-protect-emv-and-nfc-bank-cards\/25369\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-protect-emv-and-nfc-bank-cards\/20808\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/how-to-protect-emv-and-nfc-bank-cards\/10461\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/how-to-protect-emv-and-nfc-bank-cards\/27975\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-protect-emv-and-nfc-bank-cards\/25658\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-protect-emv-and-nfc-bank-cards\/26092\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-protect-emv-and-nfc-bank-cards\/28540\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-protect-emv-and-nfc-bank-cards\/34844\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/how-to-protect-emv-and-nfc-bank-cards\/11374\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-protect-emv-and-nfc-bank-cards\/47475\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-protect-emv-and-nfc-bank-cards\/20316\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/how-to-protect-emv-and-nfc-bank-cards\/20934\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/how-to-protect-emv-and-nfc-bank-cards\/33444\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-protect-emv-and-nfc-bank-cards\/25965\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-protect-emv-and-nfc-bank-cards\/31678\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-protect-emv-and-nfc-bank-cards\/31383\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/banking\/","name":"Banking"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29901","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29901"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29901\/revisions"}],"predecessor-version":[{"id":29910,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29901\/revisions\/29910"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29903"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29901"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29901"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29901"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}