FBI warnt Händler vor Malware für Kassensysteme

Die Behörde reagiert auf Vorfälle bei Target und mindestens sechs weiteren US-Händlern. Kriminelle lesen Kreditkartendaten einschließlich PIN in Kassen unverschlüsselt aus dem RAM aus. Ein Satz vollständiger Kartendaten ist auf dem Schwarzmarkt 20 bis 100 Dollar wert.

Das Federal Bureau of Investigation (FBI) warnt vor Malware für Kassensystem im Einzelhandel. Das berichtet die Agentur Reuters. Die US-Bundespolizeibehörde reagiert damit auf Vorfälle bei mindestens sechs US-Händlern, bei denen Unbekannte mit einem Schadprogramm massenhaft Kreditkartendaten abgriffen.

Kassensystem

Das FBI führt aus, Kassensysteme seien ein Angriffsziel von hohem Wert. Auch wenn die Daten für die Übertragung an den Bezahldienst verschlüsselt würden, müssten sie doch an einem Punkt als Klartext vorliegen. Fortschrittliche Kassensysteme speicherten diesen Klartext zwar nicht, er müsse aber im flüchtigen Speicher vorliegen. Wenn Kriminelle zum richtigen Zeitpunkt diesen Speicher auslesen, haben sie die nötigen Daten unverschlüsselt abgefangen.

Dieses Verfahren nennt die Polizei „RAM Scraping“, also „am RAM kratzen“. Es ist auch bei Webservern beobachtet worden. 2009 war vermutlich erstmal von Fällen die Rede gewesen, in denen Kriminelle auf diese Weise Handy-PINs abschöpften. Die Sicherheitsabteilung von Verizon nannte dies damals „eine vollkommen neue Art Angriff, die wir nur in der Theorie für möglich gehalten hätten.“

Im US-Weihnachtsgeschäft hatte die Elektrohandelskette Target zu den Opfern unbekannter Malware-Autoren gehört. Bis zu 110 Millionen ihrer Kunden waren betroffen. Das gleiche Schadprogramm soll beim Luxuskaufhaus Neiman Marcus monatelang Kundendaten gesammelt haben. Die anderen Opfer sind nicht namentlich bekannt. Die Malware wurde auch schon in Kanada und Australien entdeckt.

Kurz nach den ersten Berichten über den Vorfall bei Target informierte ein Sicherheitsexperte, es würden derzeit zehn- bis zwanzigmal mehr Kreditkartendaten auf dem Schwarzmarkt angeboten als üblich. Zu kaufen seien Sammlungen von bis zu einer Million Kartennummern. Der Preis lag laut Brian Krebs bei 20 bis 100 Dollar je Kartennummer.

[mit Material von Michael Lee, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: E-Commerce, Federal Bureau of Investigation (FBI), Secure-IT, Target

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu FBI warnt Händler vor Malware für Kassensysteme

Kommentar hinzufügen
  • Am 24. Januar 2014 um 17:42 von Judas Ischias

    Muss ja ungeheuer lukrativ sein, ich befürchte, ich habe den falschen Beruf.:-(

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *