EC-Kartenzahlung gehackt: Jetzt drucken Hacker ihr Geld einfach selbst

Das EC-Kartensystem der Deutschen ist unsicher. Hackern ist es jetzt gelungen, Bezahlungen einfach umzuleiten.


Zwei deutsche Hacker sind in der Lage, sich praktisch beliebig zu bereichern. Schuld ist das veraltete EC-Kartensystem, das deutschlandweit eingesetzt wird. In wenigen Schritten können die Hacker Terminals kopieren und auf diesem Weg auf fremde Konten zugreifen. Den erfolgreichen Hack haben die Sicherheitsforscher der Berliner SRLabs unter anderem Zeit Online demonstriert.

In der Praxis genügen den Hackern wenige frei zugängliche Informationen und ein EC-Terminal, das es für wenige Euro auf eBay gibt, um ihren Angriff durchzuführen. Benötigt wird etwa das Service-Passwort des Terminals. Das sei jedoch, so die Hacker, oft denkbar einfach zu bekommen. Etwa, weil es im Internet steht oder sich wegen mangelnder Sicherheitsvorkehrungen einfach erraten lässt. Auch die ID eines Terminals brauchen die Hacker - und die steht im Klartext auf jedem Zahlungsbeleg. Die dritte Information ist eine Port-Nummer, die sich ebenfalls leicht mit einem Diagnosebefehl ermitteln lässt.

Mit den gesammelten Informationen können die Hacker ihr Terminal neu konfigurieren. Das Ergebnis: Das Terminal geht davon aus, es steht beim Händler. Ab diesem Zeitpunkt können die Angreifer über das Terminal zum Beispiel Gutschriften durchführen, also jenen Vorgang, mit dem sich Zahlungen auch im Geschäft rückgängig machen lassen. Dabei überweisen die Hacker einfach Geld vom Konto des Händlers auf ein eigenes Konto. Ein Limit, so die Hacker, gibt es dabei nicht. Alternativ sei es auch möglich, Handy-Guthaben über ein gehacktes Terminal auszudrucken. Online lässt sich das Guthaben schnell zu Geld machen.


Große Gefahr für Einzelhändler und Kunden

Der Angriff stellt im Wesentlichen eine Gefahr für Händler, Hotelbetreiber oder Tankstellen dar, die EC-Terminals betreiben. Die Deutsche Kreditwirtschaft (DK) hält den Angriff nicht für realistisch - er sei nur theoretisch unter Laborbedingungen durchführbar. Ganz so harmlos sieht es Sicherheitsexperte Karsten Nohl nicht: "Die Schwachstellen in Bezahlprotokollen betreffen fast alle Bezahlterminals in Deutschland und somit alle Einzelhändler", sagte er dem WDR. In einer Demonstration ist es SRLabs auch gelungen, das Terminal des Maus-Shops des WDR zu übernehmen. Erste Terminalhersteller hätten inzwischen bereits angekündigt, die Schwachstelle per Software-Update zu beheben.

Alle Details zum sogenannten Shopshifting-Angriff wollen die Hacker am 27. Dezember auf dem Chaos Communication Congress des CCC vorstellen. Dort könnten sie auch einen zweiten Angriff beschreiben, der das Kopieren von EC- und Kreditkarten über das lokale Netzwerk erlaubt. Auch die Verschlüsselung, mit der PINs geschützt sind, könnten die Hacker ausgehebelt haben. Von diesem Angriff wären dann auch Konsumenten direkt betroffen.

Quelle

32C3: Sicherheitsforscher zeigen massive Lücke bei EC-Bezahlsystem



Am Wochenende hat in Hamburg der Chaos Communication Congress (32C3) begonnen und gleich zu Beginn deckten zwei Berliner Sicherheitsforscher eine Lücke auf, die man als massiv beschreiben kann und die viele, wenn nicht sogar alle von uns betreffen könnte: nämlich eine Schwachstelle bei der EC-Karten-Zahlung. Karsten Nohl und Fabian Bräunlein, zwei Sicherheitsexperten des Berliner Security-Unternehmens SRLabs, haben bereits vor Weihnachten erste Einblicke in diese EC-Sicherheitslücke gegeben, aufgrund der Tragweite machten sie am gestrigen Sonntag auf dem Hacker-Kongress 32C3 noch einmal näher darauf aufmerksam.

Nohl und Bräunlein demonstrierten auch live auf der Bühne ein derartiges Angriffsszenario: Sie zeigten das Auslesen einer PIN-Kombination und überwiesen zudem einen Betrag von 15 Euro an mobile Prepaid-Guthaben auf ein anderes Konto.

Verantwortlich dafür sind, wie man auch auf der Seite von SRLabs nachlesen kann, die Bezahl-Terminals, über die mittlerweile praktisch jeder Händler verfügt. Doch diese basieren auf proprietären Protokollen, die auf die 1990er-Jahre zurückreichen. Und diese haben in Sachen Sicherheit massive Unzulänglichkeiten.



ZVT und Poseidon
Das Hauptprotokoll in Deutschland heißt ZVT, es erlaubt Betrügern bei entsprechendem Fachwissen, verhältnismäßig einfach die Details des Bezahlvorgangs auszulesen. Schlimmer noch, so die Sicherheitsforscher, sei es aber, dass die PINs auch per Remote-Verbindung abgegriffen werden können. Das hängt unter anderem mit der kryptografischen Signatur (MAC) und dem Abspeichern des Keys in den Hardware Security Modules (HSMs) zusammen.

Ebenfalls eine Rolle in diesem Angriffsszenario spielt das vielfach eingesetzte Internet-Protokoll Poseidon, auch dieses hat eine schwerwiegende Authentifizierungslücke. Nohl und Bräunlein riefen die Händler und Payment-Anbieter auf, diesen Missstand schnellstmöglich zu beheben, betroffene Konsumenten sollten sich indes an ihre Bank wenden und etwaige Schäden zurückfordern.

Quelle

Der Sparkassen-Hack: pushTAN-Verfahren ist nach wie vor angreifbar

Video hier Klicken


Update 29.12.2015
Die pushTAN-App der Sparkasse ist nach wie vor angreifbar. Das behaupten Vincent Haupert und Tilo Müller, beides Wissenschaftler von der Friedrich Alexander Universität Erlangen-Nürnberg. Die beiden erneuerten auf dem Chaos Communication Congress in Hamburg ihre Kritik am angeblich unsicheren Verfahren der Sparkasse. Bereits im November hatten die beiden für Aufsehen gesorgt, indem sie bewiesen, das pushTAN-Verfahren manipulieren zu können. Die Sparkasse behauptete im Gegenzug, der Angriff sei nur auf mittlerweile veralteten Versionen der App möglich gewesen. Bei ihrem Vortrag in Hamburg beteuerten die beiden Wissenschaftler, mit etwas Mehraufwand auch die neueste Version der App hacken zu können. Die neue Sicherheitslösung der App suche nach allen Dateien, die für eine "Super-User-Genehmigung" zum Ausnutzen des Root-Status nötig seien. Benennt man die entsprechenden Dateien einfach um, sei der Hack wieder möglich.

Im Zentrum der Kritik stand schon damals nicht die sichere Sparkassen-App, sondern das über eine einzige Hardware laufende pushTAN-Verfahren. Eine detaillierte Beschreibung des Eingriffs stellen die Wissenschaftler in diesem PDF-Dokument zur Verfügung. Wie Sie weiterhin sicheres Online-Banking betreiben, erfahren Sie im folgenden Artikel.

Sparkassen-App gehackt
Zwei Wissenschaftler von der Friedrich Alexander Universität Erlangen-Nürnberg die Banking-App der Sparkasse getestet und einige Schwachstellen festgestellt. Sie raten davon ab, für Online-Banking und die TAN-Zulieferung dasselbe Gerät, etwa das Smartphone, zu nutzen. Denn so wird das Verfahren letztendlich angreifbar. Mittlerweile läuft das sogenannte pushTAN-Verfahren zwar über verschiedene Spezial-Apps, allerdings immer noch auf dem gleichen Gerät. Ist das Smartphone von Malware infiziert, ist auch diese Methode unsicher.

So nutzen Sie weiter sicheres Online-Banking
Schutz bietet in diesem Fall nur der TAN-Empfang über eine zweite Hardware, zum Beispiel per TAN-Generator. Dabei handelt es sich um ein kleines Gerät ohne Netzwerkzugang, in das man die EC-Karte einsteckt und anschließend eine TAN zugeteilt bekommt, die man per Flicker-Code auf den Bildschirm überträgt. Hier ist die TAN-Zulieferung komplett vom Smartphone samt Online-Banking-App getrennt – und somit sicher. Den TAN-Generator der Sparkasse gibt es bereits für unter 15 Euro im Handel zu kaufen.

Wie Sie sich außerdem vor Hackern beim Online-Banking schützen können, erfahren Sie auch bei den Kollegen von Focus Online.

Experten hacken Sparkassen-App
Bei ihrem Test haben Vincent Haupert und Tilo Müller die Sparkassen-App hacken und Überweisungen ihres potenziellen Opfers zu ihren Gunsten manipulieren können. "Im Detail haben die beiden Autoren eine Transaktionssumme von 0,10 auf 13,37 EUR erhöhen und den Empfänger der Überweisung nach Belieben verändern können, ohne dass dies für das (fiktive) Opfer erkennbar gewesen wäre", heißt es in der Pressemitteilung der Forschungsgruppe Systemsicherheit und Softwareschutz. Ein riesige Sicherheitslücke, die großen Spielraum für Betrügereien bietet.

Nicht die App, sondern Smartphones sind das Problem
Die Sparkasse verweist darauf, dass die beiden Wissenschaftler lediglich eine alte Version der Push-TAN-App gehackt hätten. Die aktuelle Version sei sicher. Laut den Hackern ist nicht die App selbst das Problem, sondern die Tatsache, dass sowohl Überweisungen als auch die TAN-Zulieferung über ein Gerät betrieben werden. Und ein Smartphone kann nun mal leicht gehackt werden. Im Test wurde ein handelsübliches, aber gerootetes Nexus 5 verwendet.


Sparkassen-App unsicher?: Wissenschaftler raten von Banking-Apps ab.

Angriff kann jederzeit wiederholt werden
"Wir haben keine technische Schwachstelle ausgenutzt. Wir haben nur gezeigt, dass es ein Sicherheitsrisiko ist, beide Faktoren auf einem Gerät zu betreiben. Ich bin davon überzeugt, wenn ich mich jetzt nochmal hinsetze, dann werde ich nicht allzu lange brauchen, um genau diesen Angriff nochmal machen zu können", wird Vincent Haupert bei den Kollegen vom Bayerischen Rundfunk zitiert.

Quelle

Na, da ist es ja gut, dass meine TAN's per SMS auf mein altes Zweithandy (kein Smartphone) geschickt werden.
Die Gedanken, dass es nicht gut ist, beides auf einem Smartphone zu haben, habe ich mir schon vor ein paar Jahren gemacht (habe auch gar nicht erst ne Bank-App auf'm Smartphone).

Ich weiß schon warum ich kein Smartphone habe, keines haben will und nie eins besitzen werde (ich bin zu blöd dafür )
Nein, aber diese Dinger werden denen die sie benutzen noch viel Leid bringen,Daten,Bilder usw. werden gestohlen.Der gute alte PC wird irgendwann absolut sicher sein weil sich die kriminellen auf die Smarties eingestellt haben