close
Die PIN-Prüfung bei EC- und Kreditkarten ist geknackt

Die PIN-Prüfung bei EC- und Kreditkarten ist geknackt

An der University of Cambridge haben britische Forscher einen Weg gefunden, wie man das EMV-Verfahren bei Kredit- und EC-Karten umgeht und dadurch jede beliebige PIN akzeptiert wird. Nachdem eben erst das Debakel mit den EC-Karten vorbei ist haben die Banken schon wieder den nächsten Ärger vor Augen. Das könnte erklären, warum immer wieder Opfer von Kartenmissbrauch berichten, obwohl sie die PIN nirgends niedergeschrieben hatten.

Mit dem EMV-Verfahren soll es unmöglich sein Karten zu kopieren. Damit sollen die Karten vor Skimming geschützt werden. Wie die Forscher aber bewiesen haben, soll anscheinend doch möglich sein dem Kartenterminal vorzugaukeln, dass Karte die eingegebene PIN akzeptiert hätte. Der Karte wird dabei vorgemacht, dass das Terminal auf die Legitimation per Unterschrift geschaltet hätte. Daraufhin kann der Vorgang ganz normal autorisiert werden.

Um diese Methode anzuwenden brauchen die Forscher lediglich einen Kartenadapter, der zwischen Terminal und Karte geschaltet wird und an einen PC angeschlossen ist. Die Kommunikation zwischen Karte und Terminal bleibt dabei vollkommen unverändert. Erst wenn das Terminal nach einer PIN-Verifikation fragt, schaltet sich der Computer ein und bestätigt den Vorgang. Hierbei spielt es keine Rolle, welche PIN eingegeben wird, denn die Karte wird die PIN nie erhalten. Dieser Angriff funktioniert sowohl Online als auch Offline. Nur bei gesperrten Karten ist diese Attacke nicht möglich. Außerdem kann dieser Angriff nicht an Bankautomaten ausgeführt werden, da hier der Server der Bank und nicht die Karte selbst die PIN prüft.

Die Forscher sind der Meinung, dass das gesamte EMV-Protokoll-Stack überarbeitet werden müsse und außerdem kaputt sei. Im Prinzip sei es sinnvoll das Protokoll neu aufzubauen, da es völlig unübersichtlich und zu komplex sei. Der Zentrale Kreditausschuss (ZKA) hat bisher noch nicht reagiert. Die Forscher behaupten weiterhin, dass es mit Sicherheit noch mehr Lücken im EMV-Verfahren gibt. Wahrscheinlich auch eine, die unbefugte Bargeldabhebungen an Geldautomaten erklären könnte. Aufgrund dieser Expertenaussagen dürften Richter bei Missbrauchsfällen von EC- und Kreditkarten, künftig den Banken nicht mehr so leicht Glauben schenken, wenn diese behaupten, der Kunde wäre nicht sorgsam mit der Aufbewahrung der PIN umgegangen.
(Quelle: Heise)