DAX+0,01 % EUR/USD+0,35 % Gold+0,19 % Öl (Brent)+2,33 %

Gruseliges Studienergebnis Hacker kommen in nur sechs Sekunden an eure Kreditkartendaten - indem sie einfach raten

07.12.2016, 16:09  |  3357   |   |   

Forscher der Newcastle University haben beim Onlineshopping zwei Sicherheitslücken ausgemacht, durch die sich Kreditkarteninfos ganz einfach wie bei einem Bingospiel erraten lassen. Der durchschnittliche Gelegenheits-Hacker braucht dafür sechs Sekunden.

Diese Studie hat es in sich, denn sie beweist, dass man vor Kreditkartenbetrug grundsätzlich nicht gefeit ist - nicht einmal, wenn man komplett auf Onlineshopping verzichtet. Denn die damit verbundenen Sicherheitsrisiken können sich Hacker dennoch zunutze machen, um an sensible Daten, wie Kartennummer, Ablaufdatum und Sicherheitszahl zu kommen. 

Dank der simplen Ratemethode braucht man hierzu auch gar kein tiefgreifendes IT-Verständnis, geschweige denn die Berherrschung komplizierter Programmiersprachen. Nein, was man benötigt, ist lediglich ein Laptop mit Internetanschluss, die entsprechende Software und ein bisschen Zeit. Um genauer zu sein sechs Sekunden. 

So lange brauche es nämlich, bis man das Programm durch ausreichend viele Websites gejagt hat, um dort mit den möglichen Zahlenkombinationen ein wenig herumzuspielen. Denn das registrieren manche Kartenanbieter schonmal nicht. Ein eklatantes Problem, wie das Team um Mohammed Ali von der Newcastle University herausgefunden hat.

Hinzu käme, dass Onlinegeschäfte nicht immer nach den vollständigen Angaben des Kreditkartenbesitzers fragen. So muss der Sicherheitscode oftmals nicht eingegeben werden. Der Name wird zwar in den meisten Fällen abgefragt aber nicht zwangsläufig überprüft. Den Forschern zufolge gelinge der Kauf daher oft sogar mit der Eingabe eines Fantasienamens. 

Erst die Kartennummer, dann das Ablaufdatum, dann der Sicherheitscode

Dadurch sei es ein Kinderspiel, sich die einzelnen Bausteine nach und nach zu beschaffen. "Selbst wenn man mit nicht mehr startet als den ersten sechs Zahlen der Kreditkartennummer – die für die Bank und den Kartentyp stehen und daher bei jeder Karte eines Anbieters gleich sind – kann ein Hacker die drei entscheidenden Daten für einen Onlinekauf in nur sechs Sekunden ermitteln", sagte Ali dem Wissensmagazin "scinexx".

Oftmals würden Hacker sowieso schon mit vollständigen Kreditkartennummern beginnen, die sie illegal im Netz erworben hätten. Für das Ablaufdatum braucht es maximal 60 Versuche. Die logische Erklärung: Die maximale Gültigkeit von Kreditkarten beträgt 60 Monate. Wenn ein Shop-Portal den vermeintlichen "Kaufvorgang" dann nach zehn bis 20 Fehleingaben abbricht, wechselt das Rateprogramm einfach zur nächsten Website.

Für die richtige Kombination des dreistelligen Sicherheitscodes benötige man laut Ali dann noch maximal 1.000 Versuche. Diese werden durch die Software auf 1.000 Websites verteilt - eine Anfrage davon komm unter Garantie in kurzer Zeit als positiv zurück. 

All das zusammengenommen dauere nicht länger als sechs Sekunden. Es sei "erschreckend einfach", befand Ali, dessen Team es im Rahmen des Experiments leicht gelang, ihre eigenen VISA-Kreditkarten zu hacken. 

Keine Kontrolle bei VISA

"Diese Art von Attacken nutzt zwei Schwachstellen aus, die für sich genommen nicht schwerwiegend sind, aber zusammen ein schweres Risiko für das Bezahlsystem darstellen", heißt es in dem Forschungsbericht. "Die erste ist das Fehlen einer zentralen, Website-übergreifenden Kontrolle bei einigen Kreditkartenanbietern, das andere die nicht einheitliche Abfrage der Kartendaten bei Shopping-Websites."

Die zentrale Kontrolle gibt es immerhin bei Mastercard, nicht aber bei VISA, dem weltgrößten Kreditkartenanbieter. Noch vor Veröffentlichung der Studie wurden insgesamt 36 potentiell anfällige Onlinegeschäfte vor dem Problem gewarnt. Ganze acht hätten ihre Sicherheitseinstellungen in der Folge geändert - und zum Beispiel ein Captcha oder eine Sicherheitsabfrage in ihr Bezahlsystem integriert. 

Zum Selbstsschutz empfehlen die Autoren übrigens, sich eine Kreditkarte zuzulegen, die einzig zum Onlineshoppen gedacht ist und diese mit einem überschaubaren Limit zu belegen. Wird man dann gehackt, ist der Verlust wenigstens nicht ganz so hoch. Außerdem solle man regelmäßig seine Kontoauszüge kontrollieren und ungewöhnlichen Zahlvorgängen nachgehen. 

Telekom Cyber-Angriff: "Dieses Mal haben wir noch Glück gehabt" - Schlampiger Hackerangriff auf Telekom-Router

Cyber-Attacke: BlaBlaCar: Hundertausende Kontodaten von Mitfahrgelegenheit.de gestohlen
Mehr zm Thema
Kaffee


0 Kommentare

Schreibe Deinen Kommentar

Bitte melden Sie sich an, um zu kommentieren. Anmelden | Registrieren

 

Disclaimer

Weitere Nachrichten des Autors

Titel
Titel
Titel
Titel

Diskussionen zu den Werten

ZeitTitel
15.05.17
05.05.17