EC-Karten ohne PIN benutzbar

Britische Forscher beschrieben ein Verfahren, wie man das sogenannte EMV-Verfahren bei EC- und Kreditkarten umgehen kann. Dadurch kann man die Karten ohne Eingabe der Geheimnummer (PIN) nutzen und einkaufen, Geld abheben oder anderes damit anstellen.

Durch die Veröffentlichung der Forscher lassen sich einige Fälle erklären, bei dem Bankkunden Geld durch Kartenraub verloren, ohne die PIN aufgeschrieben oder anderweitig weitergegeben haben.

Das EMV-Verfahren ist nach Eurocard, Mastercard und Visa benannt und soll den bisher üblichen Magnetstreifen ersetzen. Das Verfahren prüft die Karte im Terminal auf Echtheit. Dass dies nicht immer funktioniert, zeigt oben genannter Fall.

Durch eine sogenannte Man-In-The-Middle-Attacke kann man dem EMV-Terminal vorspielen, dass die eingegebene PIN akzeptiert wurde, während man der Karte vorspielt, dass das Terminal eine Authentifizierung per Unterschrift gestattet. Die Man-In-The-Middle-Attacke arbeitet mit einem „Zwischenstück“, einer Platine mit Mikrocontroller, das den gesamten Datenverkehr zwischen Terminal und Karte abfängt und entsprechend manipuliert. Es schickt die Codes, die bei korrekter PIN-Eingabe geschickt werden, an die entsprechenden Empfänger und erreicht so, dass eine Zahlung mit gestohlener Karte durchgeführt werden kann. Nach Aussagen der Forscher kann man damit aber kein Geld abheben, sondern nur in Kaufhäusern bezahlen.