Bankkarten anfällig für nicht nachweisbare so genannte „Pre-Play“-Angriffe

Es scheint, als könnte der EMV-Standard mit „Chip und PIN“, der flächendeckend für insgesamt 1,62 Milliarden Zahlungskarten eingeführt wurde, missbraucht werden, um die Konten der Opfer zu plündern. Dabei nutzen Hacker eine kryptografische Schwachstelle aus, bei der mit einer als „Man-in-the-Middle“-Angriff bekannten Methode der eindeutige Authentifizierungscode abgefangen werden kann, der vom einem Bankautomaten für die Durchführung einer Transaktion benötigt wird. Die 32-Bit-Nummer kann leicht vorausgesagt werden, da gut die Hälfte der analysierten Bankautomaten und Händlerterminals diese über Zähler oder Zeitstempel generiert.

Eine zweite Schwachstelle im Protokoll erlaubt es dem Angreifer, die eigentlich zufällige Nummer mit dem abgefangenen Code zu ersetzen.

Zur Durchführung des Angriffs fordert der Angreifer, nachdem er vorübergehenden Zugriff auf die Karte erlangt hat, Authentifizierungscodes an, die zu dieser angeblich zufälligen Nummer passen. Anschließend fängt er die Kommunikation eines zweiten Terminals mit der Bank ab und lädt den bereits bekannten Authentifizierungscode auf die geklonte Karte, um sich am Konto des Opfers zu bedienen.

Da die Authentifizierungscodes auf der geklonten Karte denen entsprechen, die die echte Karte bereitgestellt hätte, hat die Bank laut Studie keine Möglichkeit, die betrügerische Transaktion als solche zu erkennen.

Die Forscher in Cambridge sprechen nun davon, dass sie das EMV-System als anfällig für Hacker-Angriffe entlarvt haben. „Wir werden die Ergebnisse unserer Forschungsarbeit veröffentlichen, um Kunden, deren Rückerstattungsforderungen fälschlicherweise abgewiesen wurden, die Beweise zu liefern, die sie für die Durchsetzung ihrer Ansprüche benötigen. Außerdem möchten wir sicherstellen, dass Krypto-, Sicherheits- und Bankregulierungsexperten ihre Lehren daraus ziehen“, hieß es.

Während ihrer Untersuchung stießen die Wissenschaftler auf Schwachstellen in den weit verbreiteten Bankautomaten der meisten Hersteller.