Britisches Gericht verurteilt "Chip-and-PIN"-Skimmer
Mit manipulierten Terminals an Tankstellen griffen die Skimmer die Kommunikation zwischen Karte und Gerät ab. 2008 waren hunderte ab Werk manipulierte Terminals in Europa im Umlauf. MasterCard kam den Manipulationen mit Waagen auf die Schliche.
- Daniel Bachfeld
Eine Bande von britischen Skimmern ist für die Manipulation von Kartenlesegeräten und das Auslesen von Kartendaten zu mehrjährigen Haftstrafen verurteilt worden. Anders als beim herkömmlichen Skimming mit Vorsatzgeräten etwa auf Bankautomaten haben die Kriminellen die Kartenterminals in Tankstellen manipuliert – und zwar um die Daten von per Chip und PIN gesicherten Karten mitzuschneiden.
Offenbar kommunizieren in Großbritannien und Irland immer noch viele Karten unverschlüsselt mit dem Gerät, sodass sich die Übertragung von Daten und PIN mitlesen lässt. Steven J. Murdoch und Ross Anderson von der Universität Cambridge wiesen bereits 2008 auf diesen Missstand bei den preisgünstigen Karten mit SDA-Chip hin. Zur Manipulation hatten die Täter nach einem Bericht der BBC in die Rückseite der Terminals ein Loch gebrannt und ein Speichergerät mit Bluetooth-Empfänger eingebracht. In einigen Fällen sollen Tankstellenmitarbeiter bei dem Betrug mitgeholfen haben.
Bei der Festname der Täter sollen die Ermittler auf dem Laptop des Bandenführers die Daten von 35.000 Karten gefunden haben. Mit den angefertigten Kartenkopien soll die Bande 725.000 Pfund (880.000 Euro) Schaden angerichtet haben. Nach der Festnahme der Bande seien die landesweiten Fälle von (Chip-and-PIN-)Betrügereien erheblich zurückgegangen.
Derartige Angriffe auf EMV-Chip-Karten gibt es in Deutschland bislang nicht, da die PIN an die Karte verschlüsselt übertragen wird. Allerdings ließe sich durch eine umfassende Manipulation auch die auf der Tastatur eingegebene PIN mitlesen. Zumindest sind mehrere Fälle bekannt, bei denen Skimmer die Daten durch präparierte Terminals in Baumärkten, Supermärkten und ebenfalls Tankstellen abschöpften. Das Skimming am Bankautomaten dominiert aber weiterhin, zudem konzentrieren sich die Täter weiterhin auf das Auslesen des Magnetstreifens zum Erstellen der Kartenklone.
Manipulationen von Terminals müssen aber nicht erst im Geschäft stattfinden, Ende 2008 kamen US-Ermittler und MasterCard Kriminellen auf die Schliche, die Kartenterminals schon ab Werk manipulierten. Trotzdem durchliefen die Geräte die Sicherheitsprüfungen und wurden in Europa laut einem Bericht des Telegraph zu hunderten ausgeliefert. Die gesammelten Daten wurde per Mobilfunk an einen Kriminellen in Pakistan geschickt. MasterCard schickte darauf hin mehrere Teams auf Europareise, die mit einer Waage bewaffnet die Plagiate identifizieren sollte – diese unterschieden sich nämlich um einige Gramm Gewicht vom Original. (dab)
