Ich erinnere mich lebhaft an den Moment, als mir klar wurde, wie unsicher Kredit- und Debitkarten sind. Ich beobachtete, wie jemand einen handelsüblichen USB-Magnetstreifenleser nahm und ihn an einen Computer anschloss, der ihn als Tastatur erkannte. Sie öffneten ein Textverarbeitungsprogramm und zogen die Karte durch. Eine Reihe von Zahlen erschien pflichtbewusst in der Textdatei. Das war’s: Die Informationen der Karte waren gestohlen worden.
Die gleiche Technologie ist ausgereift und miniaturisiert. Winzige „Skimmer“ können an Geldautomaten und Zahlungsterminals angebracht werden, um Ihre Daten vom Magnetstreifen der Karte abzuschöpfen (genannt „Magstripe“). Noch kleinere „Shimmer“ werden in Kartenlesegeräte eingebaut, um die Chips auf neueren Karten anzugreifen. Jetzt gibt es auch eine digitale Version namens E-Skimming, die Daten von Zahlungswebseiten stiehlt. Zum Glück gibt es viele Möglichkeiten, sich vor diesen Angriffen zu schützen.
Was sind Skimmer?
Skimmer sind winzige, bösartige Kartenlesegeräte, die in legitimen Kartenlesegeräten versteckt sind und Daten von jeder Person abgreifen, die ihre Karte durchzieht. Nachdem die Hardware einige Zeit lang Daten gesaugt hat, kommt ein Dieb an dem kompromittierten Gerät vorbei, um die Datei mit allen gestohlenen Daten abzuholen. Mit diesen Informationen kann er geklonte Karten erstellen oder einfach Betrug begehen. Der vielleicht gruseligste Teil ist, dass Skimmer oft nicht verhindern, dass der Geldautomat oder das Kreditkartenlesegerät ordnungsgemäß funktioniert, was es schwieriger macht, sie zu entdecken.
In das Innere von Geldautomaten zu gelangen, ist schwierig, daher passen ATM-Skimmer manchmal über vorhandene Kartenlesegeräte. Meistens platzieren die Angreifer auch eine versteckte Kamera irgendwo in der Nähe, um persönliche Identifikationsnummern oder PINs aufzuzeichnen, die für den Zugriff auf Konten verwendet werden. Die Kamera kann sich im Kartenleser befinden, oben auf dem Geldautomaten angebracht sein oder sogar an der Decke hängen. Einige Kriminelle gehen sogar so weit, gefälschte PIN-Pads über den eigentlichen Tastaturen zu installieren, um die PIN direkt zu erfassen und so die Notwendigkeit einer Kamera zu umgehen.
Dieses Bild zeigt einen echten Skimmer im Einsatz an einem Geldautomaten. Sehen Sie das seltsame, klobige gelbe Teil? Das ist der Skimmer. Dieser ist leicht zu erkennen, weil er eine andere Farbe und ein anderes Material hat als der Rest des Automaten, aber es gibt noch andere verräterische Zeichen. Unterhalb des Schlitzes, in den Sie Ihre Karte einführen, befinden sich erhabene Pfeile auf dem Kunststoffgehäuse der Maschine. Sie können sehen, wie die grauen Pfeile sehr nahe am gelben Lesergehäuse liegen und sich fast überlappen. Das ist ein Zeichen dafür, dass ein Skimmer über den vorhandenen Leser installiert wurde, da der echte Kartenleser einen gewissen Abstand zwischen dem Kartenschlitz und den Pfeilen hat.
Die Hersteller von Geldautomaten haben diese Art von Betrug nicht einfach hingenommen. Neuere Geldautomaten rühmen sich mit robusten Schutzmaßnahmen gegen Manipulationen, manchmal auch mit Radarsystemen, die eingeführte oder am Geldautomaten angebrachte Gegenstände erkennen sollen. Einem Forscher auf der Sicherheitskonferenz Black Hat gelang es jedoch, das integrierte Radargerät eines Geldautomaten zu nutzen, um PINs als Teil eines ausgeklügelten Betrugs zu erfassen.
Sind Skimmer immer noch eine Bedrohung?
Während der Recherche für ein Update dieses Artikels haben wir Kaspersky Labs kontaktiert, und Vertreter des Unternehmens teilten uns etwas Überraschendes mit: Skimming-Angriffe sind im Rückgang begriffen. „Skimming war und ist eine seltene Sache“, sagte der Kaspersky-Sprecher.
Der Kaspersky-Vertreter zitierte EU-Statistiken der European Association for Secure Transactions (EAST) als Hinweis auf einen größeren Trend. Die EAST meldete ein Rekordtief bei Skimmer-Attacken, das von 1.496 Vorfällen im April 2020 auf 321 Vorfälle im Oktober desselben Jahres zurückging. Die Auswirkungen von COVID-19 könnten etwas mit diesem Rückgang zu tun haben, aber er ist nichtsdestotrotz dramatisch.
Das bedeutet natürlich nicht, dass Skimming verschwunden ist. Erst im Januar 2021 wurde in New Jersey ein großer Skimming-Betrug aufgedeckt. Es handelte sich um Angriffe auf über 1.000 Bankkunden, wobei die Kriminellen versuchten, sich mit über 1,5 Millionen Dollar davonzumachen.
Von Skimmern zu Shimmern
Als die US-Banken endlich mit dem Rest der Welt aufholten und begannen, Chipkarten auszugeben, war das ein großer Sicherheitsgewinn für die Verbraucher. Diese Chipkarten, oder EMV-Karten, bieten eine robustere Sicherheit als die schmerzhaft einfachen Magnetstreifen älterer Zahlungskarten. Aber Diebe lernen schnell, und sie hatten Jahre Zeit, um in Europa und Kanada Angriffe zu perfektionieren, die auf Chipkarten abzielen.
Anstelle von Skimmern, die auf den Magnetstreifenlesern sitzen, befinden sich Shimmer im Inneren der Kartenleser. Das sind sehr, sehr dünne Geräte, die von außen nicht zu sehen sind. Wenn Sie Ihre Karte einschieben, liest der Shimmer die Daten des Chips auf Ihrer Karte aus, ähnlich wie ein Skimmer die Daten des Magnetstreifens Ihrer Karte ausliest.
Es gibt jedoch ein paar entscheidende Unterschiede. Zum einen bedeutet die integrierte Sicherheit, die mit EMV einhergeht, dass Angreifer nur die gleichen Informationen erhalten können, die sie auch von einem Skimmer erhalten würden. In seinem Blog erklärt der Sicherheitsforscher Brian Krebs: „Obwohl die Daten, die normalerweise auf dem Magnetstreifen einer Karte gespeichert sind, bei chipfähigen Karten im Chip repliziert werden, enthält der Chip zusätzliche Sicherheitskomponenten, die auf einem Magnetstreifen nicht zu finden sind.“ Das bedeutet, dass Diebe den EMV-Chip nicht duplizieren können, aber sie könnten Daten aus dem Chip verwenden, um den Magnetstreifen zu klonen oder dessen Informationen für einen anderen Betrug zu nutzen.
Der Kaspersky-Vertreter, mit dem wir sprachen, war eindeutig zuversichtlich für Chipkarten. „EMV ist noch nicht gebrochen“, sagte Kaspersky gegenüber PCMag. „Die einzigen erfolgreichen EMV-Hacks finden unter Laborbedingungen statt.“
Das eigentliche Problem ist, dass Shimmer in den Automaten der Opfer versteckt sind. Der unten abgebildete Shimmer wurde in Kanada gefunden und der RCMP gemeldet (Internet Archive Link). Es ist kaum mehr als ein integrierter Schaltkreis, der auf eine dünne Plastikfolie gedruckt ist.
Bildnachweis: Coquitlam RCMP
Prüfung auf Manipulation
Die Prüfung auf Manipulationen an einem Kassengerät kann schwierig sein. Die meisten von uns stehen nicht lange genug in der Schlange im Supermarkt, um das Lesegerät gründlich zu überprüfen. Außerdem ist es für Diebe schwieriger, diese Geräte anzugreifen, da sie nicht unbeaufsichtigt gelassen werden. Geldautomaten hingegen werden oft in Vorräumen oder sogar im Freien unbeaufsichtigt gelassen, was sie zu leichteren Zielen macht.
Während sich der Großteil dieses Artikels mit Geldautomaten befasst, sollten Sie bedenken, dass auch Tankstellen, Bezahlstationen für den öffentlichen Nahverkehr und andere unbeaufsichtigte Automaten für Angriffe gut geeignet sind. Unsere Ratschläge gelten auch unter diesen Umständen.
Wenn Sie sich einem Geldautomaten nähern, achten Sie auf offensichtliche Anzeichen von Manipulationen am oberen Teil des Automaten, in der Nähe der Lautsprecher, an der Seite des Bildschirms, am Kartenleser selbst und an der Tastatur. Wenn etwas anders aussieht, z. B. eine andere Farbe oder ein anderes Material, Grafiken, die nicht richtig ausgerichtet sind, oder irgendetwas anderes, das nicht richtig aussieht, sollten Sie diesen Geldautomaten nicht benutzen.
Wenn Sie in der Bank sind, ist es eine gute Idee, schnell einen Blick auf den Geldautomaten neben Ihrem zu werfen und sie zu vergleichen. Wenn es offensichtliche Unterschiede gibt, benutzen Sie keinen der beiden – stattdessen melden Sie die verdächtigen Manipulationen Ihrer Bank. Wenn zum Beispiel ein Geldautomat einen blinkenden Karteneingang hat, um zu zeigen, wo Sie die Geldkarte einführen sollen, und der andere Geldautomat einen einfachen Schlitz hat, wissen Sie, dass etwas nicht stimmt. Die meisten Skimmer werden auf das vorhandene Lesegerät geklebt und verdecken die blinkende Anzeige.
Wenn sich die Tastatur nicht richtig anfühlt – vielleicht zu dick oder nicht mittig – dann kann es sein, dass ein Overlay zum PIN-Snatching vorhanden ist. Benutzen Sie sie nicht. Achten Sie auf andere Anzeichen von Manipulationen wie Löcher, die eine Kamera verbergen könnten, oder Klebeblasen von einer hastigen Maschinenoperation.
Selbst wenn Sie keine visuellen Unterschiede erkennen können, sollten Sie alles genau unter die Lupe nehmen. Geldautomaten sind solide gebaut und haben in der Regel keine losen Teile. Kreditkartenleser haben mehr Variation, aber dennoch: Ziehen Sie an hervorstehenden Teilen wie dem Kartenleser. Prüfen Sie, ob die Tastatur sicher befestigt ist und aus einem Stück besteht. Wenn sich etwas bewegt, wenn Sie darauf drücken, sollten Sie sich Sorgen machen.
Durchdenken Sie Ihre Transaktion
Wenn Sie eine Debitkarten-PIN eingeben, gehen Sie davon aus, dass Sie jemand beobachtet. Vielleicht ist es über Ihre Schulter oder durch eine versteckte Kamera. Selbst wenn der Geldautomat oder die Zahlungsmaschine ansonsten in Ordnung zu sein scheint, sollten Sie Ihre Hand bei der Eingabe der PIN abdecken. Der Erhalt der PIN ist unerlässlich. Ohne sie sind Kriminelle in ihren Möglichkeiten, mit gestohlenen Daten umzugehen, eingeschränkt.
Kriminelle installieren Skimmer häufig an Geldautomaten, die sich nicht an übermäßig belebten Orten befinden, da sie nicht dabei beobachtet werden wollen, wie sie bösartige Hardware installieren oder die abgegriffenen Daten sammeln (obwohl es immer Ausnahmen gibt). Geldautomaten in Innenräumen sind im Allgemeinen sicherer als Geldautomaten im Freien, da Angreifer ungesehen auf Automaten im Freien zugreifen können. Halten Sie inne und prüfen Sie die Sicherheit des Geldautomaten, bevor Sie ihn benutzen.
Wenn immer möglich, verwenden Sie nicht den Magnetstreifen Ihrer Karte, um die Transaktion durchzuführen. Die meisten Zahlungsterminals verwenden mittlerweile den Magnetstreifen als Fallback und fordern Sie auf, den Chip einzulegen, anstatt die Karte durchzuziehen. Wenn das Kreditkartenterminal NFC-Transaktionen akzeptiert, sollten Sie die Verwendung von Apple Pay, Samsung Pay oder Android Pay in Betracht ziehen.
Diese kontaktlosen Zahlungsdienste setzen Ihre Kreditkarteninformationen in Token um, so dass Ihre echten Daten niemals offengelegt werden. Wenn ein Krimineller die Transaktion irgendwie abfängt, erhält er nur eine nutzlose virtuelle Kreditkartennummer. Einige Samsung-Geräte können eine Magnetstreifentransaktion über das Telefon emulieren. Diese Technologie nennt sich MST, wurde aber inzwischen eingestellt.
Ein Szenario, das häufig die Verwendung Ihres Magnetstreifens erfordert, ist das Bezahlen von Kraftstoff an einer Zapfsäule. Diese sind anfällig für Angriffe, weil viele noch keine EMV- oder NFC-Transaktionen unterstützen und weil sich Angreifer unbemerkt Zugang zu den Zapfsäulen verschaffen können. Es ist viel sicherer, hineinzugehen und beim Kassierer zu bezahlen. Wenn kein Kassierer im Dienst ist, befolgen Sie die gleichen Tipps für die Nutzung von Geldautomaten und untersuchen Sie das Kartenlesegerät, bevor Sie es benutzen.
Empfohlen von unserer Redaktion
Von Skimmers über Shimmers bis hin zu E-Skimmers
Nicht überraschend gibt es ein digitales Äquivalent namens E-Skimming. Der British-Airways-Hack von 2018 stützte sich offenbar stark auf solche Taktiken.
Wie Bogdan Botezatu, Director of Threat Research and Reporting bei Bitdefender, erklärt, ist E-Skimming, wenn ein Angreifer bösartigen Code in eine Bezahl-Website einfügt, der Ihre Kartendaten abfängt.
„Diese E-Skimmer werden entweder durch die Kompromittierung der Zugangsdaten für das Administratorkonto des Online-Shops, des Webhosting-Servers des Shops oder durch direkte Kompromittierung eingefügt, so dass sie verdorbene Kopien ihrer Software verteilen“, erklärte Botezatu. Das ist ähnlich wie bei einer Phishing-Seite, nur dass die Seite authentisch ist – der Code auf der Seite wurde nur manipuliert.
„E-Skimming-Angriffe werden immer geschickter darin, sich der Entdeckung zu entziehen“, so Botezatu. „Je länger ein Angreifer diesen Zustand aufrechterhält, desto mehr Kreditkarten können sie einsammeln.“
Die Bekämpfung dieser Art von Angriffen liegt letztendlich bei den Unternehmen, die diese Geschäfte betreiben. Es gibt jedoch ein paar Dinge, die Verbraucher tun können, um sich zu schützen. Botezatu schlug vor, dass Verbraucher eine Sicherheitssuite auf ihren Computern verwenden, die seiner Meinung nach bösartigen Code erkennen und verhindern kann, dass Sie Ihre Daten eingeben.
Alternativ können Sie die Eingabe Ihrer Kreditkarteninformationen mit virtuellen Kreditkarten ganz vermeiden. Das sind Dummy-Kreditkartennummern, die mit Ihrem echten Kreditkartenkonto verknüpft sind. Wenn eine davon kompromittiert wird, müssen Sie sich keine neue Kreditkarte besorgen, sondern nur eine neue virtuelle Nummer generieren. Einige Banken, wie z.B. Citi, bieten diese Funktion an, fragen Sie also Ihre Bank, ob sie verfügbar ist. Wenn Sie keine virtuelle Karte von einer Bank erhalten können, bietet Abine Blur maskierte Kreditkarten für Abonnenten an, die auf ähnliche Weise funktionieren. Auch Apple Pay und Google Pay werden auf einigen Websites akzeptiert.
Eine weitere Option ist die Anmeldung bei Kartenwarnungen. Einige Banken senden jedes Mal eine Push-Benachrichtigung auf Ihr Telefon, wenn Ihre Debitkarte verwendet wird. Das ist praktisch, denn so können Sie gefälschte Käufe sofort erkennen. Wenn Ihre Bank eine ähnliche Option anbietet, versuchen Sie, sie zu aktivieren. Persönliche Finanz-Apps wie Mint.com können Ihnen die Aufgabe erleichtern, alle Ihre Transaktionen zu sortieren.
Bleiben Sie wachsam
Selbst wenn Sie alles richtig machen und jeden Zentimeter jedes Bezahlgeräts, das Ihnen begegnet, durchgehen (sehr zum Leidwesen der Leute hinter Ihnen in der Schlange), können Sie Ziel eines Betrugs werden. Aber seien Sie beruhigt: Solange Sie den Diebstahl so schnell wie möglich Ihrem Kartenaussteller (bei Kreditkarten) oder Ihrer Bank (bei der Sie ein Konto haben) melden, können Sie nicht haftbar gemacht werden. Ihr Geld wird Ihnen zurückerstattet. Geschäftskunden hingegen haben nicht den gleichen rechtlichen Schutz und haben es unter Umständen schwerer, ihr Geld zurückzubekommen.
Auch sollten Sie versuchen, eine Kreditkarte zu verwenden, wenn es für Sie sinnvoll ist. Eine Debit-Transaktion ist ein sofortiger Bargeldtransfer und kann manchmal zeitaufwändiger zu korrigieren sein. Kreditkartentransaktionen können jederzeit gestoppt und rückgängig gemacht werden. Dadurch werden Händler unter Druck gesetzt, ihre Geldautomaten und Kassenterminals besser zu sichern. Die übermäßige Nutzung von Krediten hat jedoch ihre eigenen Tücken, also seien Sie vorsichtig.
Zuletzt sollten Sie auf Ihr Telefon achten. Banken und Kreditkartenunternehmen haben in der Regel eine sehr aktive Betrugserkennung und melden sich sofort bei Ihnen, meist per Telefon oder SMS, wenn sie etwas Verdächtiges bemerken. Schnelles Reagieren kann bedeuten, dass Angriffe gestoppt werden, bevor sie Sie treffen können, also halten Sie Ihr Telefon griffbereit.
Denken Sie daran: Wenn Ihnen an einem Geldautomaten oder einem Kreditkartenlesegerät etwas nicht richtig vorkommt, benutzen Sie es nicht. Wann immer Sie können, benutzen Sie den Chip statt des Streifens auf Ihrer Karte. Ihr Bankkonto wird es Ihnen danken.
Fahmida Y. Rashid hat zu dieser Geschichte beigetragen