MagSpoof: Hacker bezahlt mit Kreditkarten-Kopie auf einem Chip

Samy Kamkar hat sich sehr kompakte Hardware gebaut, auf der er die Magnet-Daten mehrerer Kreditkarten speichern kann. Diese können zum Bezahlen dann an herkömmliche Bezahlterminals übermittelt werden.

In Pocket speichern vorlesen Druckansicht 80 Kommentare lesen
MagSpoof imitiert Kreditkarten

(Bild: Samy Kamkar)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Der Magnetstreifen einer Kreditkarte lässt sich per Chip aus der Ferne emulieren. So lassen sich die Kartendaten an beliebige Bezahlterminals übertragen, ohne dass man die eigentliche Karte in der Hand halten oder durch den Scanner ziehen muss. Hacker Samy Kamkar – auch bekannt als Urheber des MySpace-Wurms, der seinen Vornamen trägt – hat nun Pläne und Firmware für ein winziges Hardware-Dongle veröffentlicht, das genau das macht.

Wer braucht schon die Kreditkarte? Samy Kamkar zahlt per Chip, ohne den Kartenleser zu berühren.

(Bild: Samy Kamkar)

Kamkars Hardware heißt MagSpoof und kann gleich mehrere Kreditkarten emulieren. Wird der Chip an einen Kartenleser gehalten, sagt er dem Gerät zuerst, dass die angebliche Karte das Chip-und-PIN-Verfahren (EMV) nicht unterstützt. Dann erzeugt er elektromagnetische Signale, die mit denen übereinstimmen, die der Kartenleser empfängt, wenn die Karte normal durch den Lesemechanismus gezogen wird. Für das Terminal sieht es so aus, als ob die Karte vorliegt.

Der Trick funktioniert, da die Karte dem Lesegerät sagen kann, dass sie das Chip-und-PIN-Verfahren nicht unterstützt. Auch hierzulande, wo fast nur noch Karten mit Chip zum Einsatz kommen, ist das möglich. Die Geräte müssen schließlich auch Karten aus anderen Ländern entgegennehmen, in denen überwiegend noch mit Magnetstreifen bezahlt wird – zum Beispiel den USA.

Die Daten auf dem Magnetstreifen einer Kredikarte lassen sich unter Zuhilfenahme von feinen Eisenspänen auch mit bloßem Auge auslesen.

(Bild: Samy Kamkar)

MagSpoof wird hauptsächlich an Bezahlterminals einsetzbar sein, wie sie etwa im Einzelhandel oder im Supermarkt zum Einsatz kommen. Bankautomaten ziehen Karten in der Regel komplett ein, um sie zu lesen. Mit Bankkarten in Westeuropa lässt sich der Magnet-Trick ohnehin nicht umsetzten, da diese in der Regel EMV voraussetzen oder über andere Sicherheitsverfahren wie das MM-Merkmal verfügen.

Das Magnetfeld einer Kreditkarte zu emulieren ist übrigens keine Erfindung Kamkars. Sowohl das US-Start-up Coin als auch Samsung haben ähnliche Technik im Einsatz. Diese schalten allerdings das EMV-Verfahren nicht ab und funktionieren deswegen bei Terminals nicht, die bevorzugt mit EMV arbeiten. (fab)