Anfang November musste die britische Tesco-Bank das Online-Banking stoppen, weil unberechtigte Buchungen festgestellt wurden. Hat eine Schwachstelle in Visa-Kreditkarten die Zahlungsabflüsse ermöglicht?
Anzeige
Zum Hintergrund
An einem der ersten November-Wochenenden bemerkten 40.000 Kunden der Tesco-Bank plötzlich mysteriöse Buchungsvorgänge auf ihren Konten. Bei 20.000 Konten wurden Gelder abgebucht, ohne dass deren Besitzer Zahlungen vornahmen. Die Bank musste daher das System für Online-Bezahlvorgänge stoppen. Ich hatte im Beitrag 20.000 Kunden verlieren Geld – TESCO-Bank stoppt Online-Payment über den Fall berichtet. Laut diesem Artikel wurden 2,5 Millionen Pfund Guthaben von 9.000 Tesco-Konten gestohlen.
Die Visa-Karten-Schwachstelle
Jetzt kommt möglicherweise eine Erklärung, warum die Online-Kriminellen auf die Tesco-Bankkonten zugreifen konnten. Der britische The Guardian berichtet im Beitrag Tesco Bank cyber attack involved guesswork, study claims über eine neue Studie von Wissenschaftlern der Newcastle University.
Unter dem Namen distributed guessing attack" haben sie eine Methode entwickelt, die jegliche Sicherheitsprüfungen bei Visa-Karten umgehen kann. Mittels der Methode lässt sich die Kartennummer, das Ablaufdatum der Karte und der aus drei Ziffern bestehende Sicherheitscode (CVV) einer jeden Visa-Kreditkarte errechnen. Hierzu werden einfach Werte per Zufallszahl bestimmt und so lange probiert, bis eine Kombination passt.
Offenbar liefert das Visa-Zahlungssystem bei jeder Anfrage eine Rückmeldung, ob die angegebenen Daten stimmen. Und es findet keine Prüfung statt, ob tausende von Anfragen durchgeführt werden. Dadurch soll es binnen 6 Sekunden möglich sein, gültige Kreditkartendaten zu "erraten". Online-Betrüger können dann über eine Vielzahl von Webseiten mit Shop-Systemen diese Kreditkartendaten per Programm "probieren" lassen.
Anzeige
Die Forscher der Newcastle University haben weltweit 400 der größten Webshops, u.a. Google, Amazon, iTunes auf diese Sicherheitslücke abgeklopft und konnten über 300 Shops identifizieren, wo der Angriff über die Sicherheitslücke erfolgreich möglich gewesen wäre. Besitzt ein Hacker eine gültige Kreditkartennummer, kann er das Ablaufdatum in maximal 60 Schritten ermitteln (Hintergrund ist, dass Kreditkarten eine Gültigkeit von 60 Monaten besitzen). Auch die CVV lässt sich durch Probieren bestimmen.
Ob diese Schwachstelle ursächlich für die Tesco-Hacks waren, steht damit natürlich noch nicht fest. Aber es ist erschreckend, welche Sicherheitslücken in Zahlungssystemen existieren. Weitere Details sind diesem Artikel zu entnehmen. Nachtrag: Ein deutschsprachiger Artikel findet sich zwischenzeitlich bei heise.de.
Ähnliche Artikel:
20.000 Kunden verlieren Geld – TESCO-Bank stoppt Online-Payment
Banking-Trojaner-Alarm: Dreambot und Gugi
Android-Banking-Trojaner zielt auf deutsche Kunden
Banking-Trojaner Retefe
Phishing: Wirtschaftsschutz & Die Top 5 der E-Mail-Fallen
Hack der russischen Zentralbank, Millionenbeute
Anzeige
Die Lücke kann einem ja Wurscht sein, solange die Banken die volle Haftung übernehmen. Ich bin vor kurzem durch Übernahme zu einer neuen Bank gewechselt. Die will als Sicherheit für den Onlinebanking-Zugang eine 5-stellige Ziffernkombination.
Das ist sowas von 90er Jahre …
Als ob seit dem nix passiert wäre in der Online-Welt. Können Sie natürlich machen, dann sollen Sie aber auch bei Schäden voll haften, so dass kein Schaden beim Kunden hängen bleibt.
MfG Paul B.
Der Schaden wird ja nicht durch die Bank oder deren Vorstände beglichen, sondern von den Kunden – z.B. über Gebühren, reduzierte Zinsen und Transaktionsgebühren …