Forscher decken PIN-Lücke auf

Codes von Bankkarten angeblich ungesichert gegen internen Betrug

Israelische Forscher haben eigenen Angaben zufolge eine schwere Lücke im globalen Finanznetz entdeckt. Omer Berkman und Odelia Moshe Ostrovsky, beide Wissenschaftler an der School of Computer Science in Tel Aviv, beschreiben in ihrem Papier „The unbearable lightness of PIN cracking“ die Anfälligkeit von Finanzsystemen, die bei Geldbehebungen zum Einsatz kommen. Korrupte Bankmitarbeiter könnten auf einfache Weise PIN-Codes von Kartenbesitzern ausspionieren und für betrügerische Zwecke missbrauchen.

Die Schwachstelle liegt im Verfahren, wie die PIN-Codes verschlüsselt und quer durch das internationale Finanzsystem geschickt werden. Das Problem ist noch um ein Vielfaches größer, als bislang angenommen, so die Verfasser. Bei bisherigen Attacken führten etwa 15 Versuche, den Code herauszufinden, zum Erfolg. Nun reichten ein bis zwei Versuche aus, um in den Besitz des korrekten PINs zu kommen, warnen die Forscher. Die theoretische Auslegung des vierstelligen Codes erfordert im Schnitt 5000 Versuche.

Knackpunkt dabei sind die so genannten „Switches“. Sobald der Kartenbesitzer seine PIN bei einem Geldautomaten eingibt, wird sie samt Kontonummer zwecks Überprüfung zur Hausbank oder zu einem anderen autorisierten Institut geschickt. Da jedoch normalerweise keine direkte Verbindung zur Hausbank besteht, werden die PINs über eine große Anzahl von Switches geschickt, schreiben die Autoren. Um den Code zu schützen, wird er in ein PIN-Block-Format umgewandelt und verschlüsselt. Jeder Switch entschlüsselt den EPB (Encrypted PIN Block), verifiziert das PIN-Block-Format und schreibt es wenn notwendig um. Anschließend wird der PIN-Block wieder verschlüsselt und gemeinsam mit einem Transport-Key an den nächsten Switch gesendet, wo sich das Prozedere wiederholt.

Genau hier liege der große Schwachpunkt, an dem betrügerische Bankmitarbeiter ansetzen können, monieren die Forscher. Sie könnten sich am Switch der eigenen Bank zu schaffen machen und sich auf diese Weise Kontonummern inklusive passender PIN-Codes aneignen. Die Angriffe können enormes Ausmaß annehmen, denn manche Switches bearbeiten 18 Millionen Datensätze pro Stunde, so die Autoren.

„Der beunruhigendste Aspekt dieses Angriffes ist, dass das gesamte System nur so sicher ist wie die unsicherste Bank“, meint Security-Guru Bruce Schneier. Man könnte annehmen, dass es reiche, wenn die eigene Bank strenge Sicherheitsrichtlinien umgesetzt hat. Allerdings muss der Kunde dem weltweiten System vertrauen, denn ein Mitarbeiter eines Instituts, mit dem man noch nie etwas zu tun hatte, kann ebenso den PIN-Code stehlen und Geld abheben, so Schneier.

Einen anderen Weg, an PIN-Codes zu kommen, nutzten Gauner aus Großbritannien. Die Diebe gingen mit Hilfe eines MP3-Players ans Werk und ergaunerten umgerechnet rund 300.000 Euro. Die Bande habe laut Times die Telefonleitungen der Geldautomaten angezapft. Über einen Adapter für die Telefonbuchse leiteten die Betrüger die Signale des Geldautomaten an den MP3-Rekorder. Der Geldautomat erzeugt, ähnlich wie ein Analog-Modem, Audiosignale, die über die Telefonleitung geleitet werden und von einem Modem wieder in Daten umgewandelt werden. Diese Geräusche zeichneten die Ganoven auf und fütterten damit ein Programm, das diese Signale wieder in digitale Daten umwandeln konnte. Damit erstellten sie mehrere Kopien von Kreditkarten und gingen auf Shopping-Tour.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Forscher decken PIN-Lücke auf

Kommentar hinzufügen
  • Am 24. November 2006 um 11:41 von tutnixzursache

    Und wer ist der Dumme ???
    Und wenn dann mit diesen Methoden dein Konteo abgeräumt wurde heisst es dann bei deiner Hausbank "Da sind Sie wohl etwas zu sorglos mit Ihrer PIN umgegegangen, wir zahlen nix"

    • Am 24. November 2006 um 13:29 von tutauchnixzursache

      AW: Und wer ist der Dumme ???
      was der Hausbank nicht erst nach diesem Angriffsszenario zunehmend schwer fallen dürfte!
      In der Vergangenheit wurden schon mehrfach ‚Blackboxes‘ aus Geldautomaten gestohlen (die entschlüsseln die PIN und gleichen sie mit der Karte ab, es wurden einfach komplette Automaten geklaut), und damit kann man zu einer Kopie einer gültigen Karte (problemlos herstellbar, wenn diese aus der Hand gegeben wird) mittels brute force schnell die passende PIN ermitteln. Damit kann dann Minuten später das Konto geplündert werden, indem mehrere Kopien in mehreren Ländern eingesetzt werden.
      Das ist keine theoretische Möglichkeit, dies ist bereit geschehen!
      Eine vierstellige numerische PIN ist ein viel zu schwaches Mittel, die Karte abzusichern, der beschriebene Angriff zeigt lediglich, dass selbst mit harten Keys bei dem momentanen Verfahren dieses leicht auszuhebeln ist.

      Konsequenz: niemals die Karte aus der Hand geben, nur Geldautomaten der eigenen Bank benutzen und natürlich die PIN sicher verwahren. Das reduziert das Risiko gegen die meisten Angriffsverfahren.

      so long

  • Am 1. November 2007 um 13:31 von reiner

    Die PIN ist absulute nicht Sicher
    Sie können mir glauben das es nicht eines Internen Betruges bedarf,sondern die PIN einfach so zu berechnen ist.Die Sicherheit wird einfach nur auf Mathematischen wege vorgegaukelt.Betrug nenne ich das. Ich kann zur jeder Zeit,jede PIN-das ohne computer-berechnen.Es wären Folgeschwere fehler würde dies an die öffendlichkeit geraten.Man hat mich ausmanövriert indem ich gespeert wurde auf jeder Sicherheitsseite der Banken.Langsam bin ich gewillt mein wissen an den höchstbietenden zu verkaufen.Die Banken reagieren nicht und sollen sie die Folgen tragen.Ob Krimminel oder nicht es wird mir langsam egal,sollen sie auf diesem wege wach werden. dogcar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *