Bezahlung mit PIN und Kreditkarte ist unsicher
Erst vor kurzem Stand diese Frage “Ist die PIN wirklich sicher?” zur Debatte und wurde jetzt wohl beantwortet. Britische Forscher wollen herausgefunden haben, dass die Sicherheit einer Kreditkarte nicht hunderprozentig gegeben ist.
Laut Medienberichten unter anderem hier bei Golem.de ist es Forschung aus dem Vereinigten Königreich wohl gelungen einen Fehler im EMV-Protokoll gefunden zu haben. Das EMV Standardprotokoll ist eine Abkürzung aus den jeweils ersten Buchstaben der 3 großen Kreditkartengesellschaften Europas Europay, MasterCard and VISA.
Das EMV-Protokoll stellt eine Spezifikation für Zahlungskarten dar, die selbst mit einem Prozessorchip ausgestattet sind und für die dazugehörigen POS-Terminals und Geldautomaten, also Chipkartengeräte. Das Protokoll war im Januar 2010 sehr präsent in den Medien vertreten, als bekannt wurde, dass ca. 30 Millionen deutsche EC- und Kreditkarten von einem Programmierfehler betroffen waren.
Das EMV-Protokoll ist unterdessen in der Version 4.2 seit 2008 auf dem Markt. Die EMV 4.2 Spezifikationen sind für jedermann hier erhältlich und hat den britischen Forschern mit Sicherheit als Grundlage gedient. Den Berichten nach haben die Sicherheitsforscher durch eine Man-in-the-middle-Attacke ein Zahlungsterminal ausgetrickst und eine Zahlung mit falscher PIN bezahlt.
Dafür war jedoch separate Hardware wie Notebook und ein FPGA-Board erforderlich, um den Angriff auf das Kartenzahlungsterminal erfolgreich ausführen zu können. Der gesamte Aufbau ist recht schwierig umzusetzen, wenn man sich die Apparatur hier auf Seite 6 anschaut.
Ob im Zusammenhang mit dieser Kreditkartenlücke noch weitere Angriffe auf Zahlungen am Terminal möglich sind bleibt abzuwarten. Sollte es möglich sein eine gestohlene Karte ohne korrekten PIN einzusetzen wird es für alle Beteiligten besonders schwer, da die Kreditkartengesellschaften ja erstmal davon ausgehen müssen, dass PIN und Karte an einem Ort aufbewahrt wurden und die Transaktion dem Kunden belastet wird.
Anzeige: "Samsung Galaxy S3 mit Android 4.0" jetzt günstig bei Amazon.de kaufen:
