IT-Sicherheitsexperten der Newcastle University haben eine neue Diskussion zum Thema Kreditkartenbetrug angestoßen: Sie stellten fest, dass man die Daten von VISA-Karten innerhalb von sechs Sekunden herausfinden kann. Die Methode dahinter nennt sich Distributed Guessing Attack.
Hierfür kommen Programme zum Einsatz, die die Kartennummern, das Ablaufdatum oder den Sicherheitscode erraten können. Dafür nutzen Hacker mehrere Sicherheitslücken aus: Zum einen lassen sie ihre Software zehn bis 20 Mal in einem Onlineshop verschiedene Zahlenkombinationen durchprobieren. Diesen Trick wenden sie bei mehreren Websites gleichzeitig an. Da bei den verschiedenen Seiten oft unterschiedliche Daten abgefragt werden, können die Angreifer so einzelne Teile der Kreditkartendaten auf Knopfdruck erraten lassen.
Das ist nicht trivial, weil es ja unzählige Kombinationen zu probieren gilt – zum Beispiel bei der Prüfnummer. Um den dreistelligen Code zu erraten, benötige man jedoch maximal 1000 Versuche, sagen die Forscher aus Newcastle. „Wenn man diese Versuche auf 1000 Websites verteilt, wird eine Anfrage schon nach wenigen Sekunden als richtig zurückkommen“, so die vereinfachte Darstellungsweise des Hacks.
Eine genaue Beschreibung ist im Beitrag Does The Online Card Payment Landscape Unwittingly Facilitate Fraud? des Fachmagazins IEEE Security & Privacy 2017 nachzulesen. Das folgende Video zeigt, wie der Hack mittels erratenen Abfragen aussieht:
Das System der Distributed Guessing Attack funktioniert vor allem bei Kreditkarten von VISA. Der weltweit größte Anbieter besitze eine Schwäche im System, sagen die Experten der Newcastle University. Es gäbe keine zentrale Instanz, die die Falscheingaben auf mehreren Websites erkennt und die Karten dann sperrt. Andere Kreditkartenanbieter, zum Beispiel MasterCard, verfügen über eine Absicherung gegen solche Rate-Angriffe.
VISA hat schon Stellung zu den Forschungsergebnissen genommen und merkte gegenüber The Independent an, dass die Untersuchung der Newcastle University nicht „die mehreren Ebenen von Betrugsprävention“ beachte. Zudem verwies das Unternehmen auf das System Verified by VISA, das ein deutlich sichereres System für Online-Transaktionen besitze. Dieses mache allerdings gerade bei auf Privatsphäre optimierten Browser-Einstellungen einige Probleme, schreibt Engadget.
Dass Distributed Guessing Attacks keine rein theoretische Angelegenheit sind, zeigt der kürzlich erfolgte Hack der Tesco-Bank, nach dem rund 40.000 Kunden seltsame Buchungsvorgänge auf ihren Konten bemerkten. Dieser groß angelegte Betrug soll mit Rate-Angriffen durchgeführt worden sein.
Wie können sich VISA-Kunden und andere Kreditkarteninhaber vor solchen neuen Betrugsmethoden schützen? Leider gebe es dafür keine Patentlösung, sagt Martin Emms, Mitautor des Fachbeitrags in IEEE Security & Privacy. Emms gibt aber ein paar Ratschläge, wie man den Schaden begrenzen könne. Er rät Kreditkartenbesitzern unter anderem, dass sie möglichst nur eine Kreditkarte für Online-Käufe verwenden, den Rahmen für Transaktionen klein halten und ihre Abrechnungen regelmäßig auf auffällige Abbuchungen prüfen sollten.
