Skimming

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Skimming (engl., sinngemäß abschöpfen, ausspähen) bezeichnet die illegale Methode, an Geldautomaten die Daten von Debit-/Kreditkarten unbemerkt aufzuzeichnen. In der Folge werden dazu einfache Kartendubletten erstellt und überwiegend bei ausländischen Banken Verfügungen an Geldautomaten vorgenommen.

Arbeitsweise

Im Wesentlichen wird folgende Methode praktiziert. Die Täter installieren eine Leseeinrichtung (mit Speicher- und Übertragungseinheit) am Karteneingabeschlitz des Geldautomaten oder am Türöffner des Bankfoyers[1]. Beim Einführen der Karte werden die Daten auf dem Magnetstreifen der Karte unbemerkt kopiert. Mit der Zunahme der Kartenzahlung im Einzelhandel werden auch sogenannte ’ghost’ point-of-sale (POS) terminals installiert, die ebenfalls Kartendaten auslesen, währen die Opfer glauben, einen legitimen Zahlungsvorgang auszulösen. Im April 2015 hat die französische Polizei mit Unterstützung von EUROPOL eine 18köpfige Bande ausgehoben, die bis dahin rund 3.000.000 Euro Schaden verursacht hatte[2]

Die zu einer späteren Verfügung mit der Kartendublette notwendige PIN wird grundsätzlich durch zwei Verfahren ermittelt. Es wird eine miniaturisierte Kamera in Nähe der Tastatur/Bedienfeld verdeckt installiert. Das Kameraobjektiv ist dabei so klein, dass es kaum bemerkbar ist (Installation z.B. in Aufkleber, Prospektständer und auch in Abdeckungen integriert). Alternativ wird eine täuschend echt nachgebildete Aufsatztastatur installiert, die die Eingabe der PIN-Zahlen protokolliert. Diese so erhaltenen Kartendaten werden auf sog. White-Cards (Plastikrohlinge) kopiert. Dies erfolgt nicht zwingend vor Ort. Vielmehr werden die Daten von Tätern nach Deinstallation der manipulierten Technik ausgelesen und über das Internet ins Ausland transferiert.


Skimming-Malware

Eine oder mehrere Gruppen von Kriminellen haben die Methode weiter entwickelt und verfeinert: Sie starten ihre Operationen, indem sie sich Zugang zu einem Geldautomatensystem verschaffen. Die Infizierung erfolgt entweder physisch oder über das interne Netzwerk der Bank. Ist zum Beispiel das Schad-Programm "Backdoor.Win32.Skimer" auf einem System installiert, infiziert es das Herzstück des Bankautomaten: das für die Interaktionen der Maschine – mit der Bankinfrastruktur, der Bargeldabwicklung und den Kreditkarten – zuständige ausführende Programm.

Anschließend haben die Kriminellen die komplette Kontrolle über den infizierten Geldautomaten. Anstatt einfach ein Skimming-Gerät zu installieren – also ein betrügerisches Imitat über das eigentliche Lesegeräts zu setzen –, um Kartendaten abzuschöpfen, verwandeln sie den kompletten Automaten in ein Skimming-Gerät. Denn ist ein Geldautomat mit der Malware infiziert, sind die Kriminellen in der Lage, sowohl die im Automat befindlichen Geldmittel abzuheben als auch die Kartendaten abzufangen, die am Geldautomaten genutzt werden – inklusive der Kontonummer und des PIN-Codes der Bankkunden.

Ein so infizierter Automat ist kaum zu erkennen. Im Gegensatz zu bis dahin bekannten Skimming-Geräten, bei denen der aufmerksame Nutzer das Kartenlesegerätimitat oftmals erkennen kann, gibt es hier keine physischen Anzeichen einer Gefährdung.[3]


Verbreitung

Quelle: EURO Kartensysteme GmbH
Die Zahl der Skimming-Angriffe stieg in den letzten Jahren massiv und war von erheblichen Schäden begleitet. Seit dem Höchststand in 2010 war eine Verringerung der Fallzahlen durch verschiedene Präventions- und Schutzmaßnahmen festzustellen. Skimming-Angriffe auf Geldautomaten und Kassenterminals im Ausland, bei denen girocard-Inhaber aus Deutschland betroffen waren, reduzierten sich 2013 deutlich: Von Januar bis November 2013 wurden 467 Manipulationen registriert, so die Euro Kartensysteme GmbH[4] in Frankfurt, im Vergleichszeitraum 2012 waren es 798. Nach wie vor sind jedoch beliebte Urlaubsländer der Bundesbürger von den Manipulationen betroffen (siehe Grafik). Wie sich die Skimming-Malware auf die Fallzahlen auswirkt, bleibt abzuwarten.


Schutzmaßnahmen

Beispielsweise gibt es Systeme an/in Geldautomaten, die Veränderungen am Korpus erkennen und zu einer Meldung zu einer Wachzentrale führen und/oder den Geldautomaten außer Betrieb nehmen. In Deutschland sind übrigens Prüfkarten-Module (sog. MM-Boxen) in Geldautomaten im Einsatz. Diese checken die Echtheit der eingeführten Karten. Die beschriebenen White-Cards könnten somit in Deutschland nicht verwendet werden.

Für den Einsatz der girocard im Ausland gibt die EURO Kartensysteme die folgenden Sicherheitstipps:

  • Suchen Sie sich im Ausland bevorzugt Geldautomaten von offiziellen Banken und nutzen Sie diese während der Öffnungszeiten. Dann haben Sie im Zweifel gleich einen Ansprechpartner.
  • Geben Sie die Geheimzahl Ihrer girocard nie an Türöffnern ein und wählen Sie am Geldautomaten eine Sprache, die Sie verstehen.
  • Wie zuhause gilt auch im Ausland: Verdecken Sie die PIN-Eingabe an Geldautomaten und elektronischen Kassen. Bitten Sie andere Kunden oder den Verkäufer um die nötige Diskretion.
  • Stimmen Sie keinesfalls zu, dass sich der Verkäufer oder Kellner alleine mit Ihrer girocard entfernt, sondern begleiten Sie ihn zum Bezahlvorgang.
  • Halten Sie die Sperrnotrufnummern +49 116 116* bzw. +49 1805 021021** bereit, um die Karte im Fall eines Verlusts sofort zu sperren.

* kostenfrei aus dem dt. Fest- und Mobilfunknetz
** 14 ct./min. (inkl. USt.) aus dem dt. Festnetz, Mobilfunkhöchstpreis 42 ct./min. (inkl. USt.),abweichende Gebühren aus dem Ausland.

Der Bankenverband verbreitet ein Video und verbale Hinweise zum schutz gegen Skimming unter http://bankenverband.de/presse/presse-infos/neuer-verbraucherfilm-so-schuetze-ich-mich-vor-skimming.


Einzelnachweis

  1. SecuPedia Aktuell: Neuer modus operandi beim Ausspähen von Zahlungskartendaten
  2. SecuPedia Aktuell: Criminal skimming gang using ‘ghost’ payment terminals dismantled in France
  3. SecuPedia Aktuell: Gefahr für Geldautomaten: Verbesserte Version der Skimmer-Malware
  4. Pressemeldung der EURO Kartensysteme GmbH bzw. Aktuelle Meldung auf secuPedia


Siehe auch



Diese Seite wurde zuletzt am 23. Dezember 2016 um 14:31 Uhr von Peter Hohl geändert. Basierend auf der Arbeit von Rainer Hannich.

Anzeigen