zurück zum Artikel

MagSpoof: Hacker bezahlt mit Kreditkarten-Kopie auf einem Chip

Fabian A. Scherschel
MagSpoof imitiert Kreditkarten

(Bild: Samy Kamkar)

Samy Kamkar hat sich sehr kompakte Hardware gebaut, auf der er die Magnet-Daten mehrerer Kreditkarten speichern kann. Diese können zum Bezahlen dann an herkömmliche Bezahlterminals übermittelt werden.

Der Magnetstreifen einer Kreditkarte lässt sich per Chip aus der Ferne emulieren. So lassen sich die Kartendaten an beliebige Bezahlterminals übertragen, ohne dass man die eigentliche Karte in der Hand halten oder durch den Scanner ziehen muss. Hacker Samy Kamkar [1] – auch bekannt als Urheber des MySpace-Wurms, der seinen Vornamen trägt – hat nun Pläne und Firmware für ein winziges Hardware-Dongle veröffentlicht, das genau das macht.

Kartenlos bezahlen

Wer braucht schon die Kreditkarte? Samy Kamkar zahlt per Chip, ohne den Kartenleser zu berühren.

Wer braucht schon die Kreditkarte? Samy Kamkar zahlt per Chip, ohne den Kartenleser zu berühren.

(Bild: Samy Kamkar)

Kamkars Hardware heißt MagSpoof [2] und kann gleich mehrere Kreditkarten emulieren. Wird der Chip an einen Kartenleser gehalten, sagt er dem Gerät zuerst, dass die angebliche Karte das Chip-und-PIN-Verfahren (EMV [3]) nicht unterstützt. Dann erzeugt er elektromagnetische Signale, die mit denen übereinstimmen, die der Kartenleser empfängt, wenn die Karte normal durch den Lesemechanismus gezogen wird. Für das Terminal sieht es so aus, als ob die Karte vorliegt.

Der Trick funktioniert, da die Karte dem Lesegerät sagen kann, dass sie das Chip-und-PIN-Verfahren nicht unterstützt. Auch hierzulande, wo fast nur noch Karten mit Chip zum Einsatz kommen, ist das möglich. Die Geräte müssen schließlich auch Karten aus anderen Ländern entgegennehmen, in denen überwiegend noch mit Magnetstreifen bezahlt wird – zum Beispiel den USA.

Die Daten auf dem Magnetstreifen einer Kredikarte lassen sich unter Zuhilfenahme von feinen Eisenspänen auch mit bloßem Auge auslesen.

Die Daten auf dem Magnetstreifen einer Kredikarte lassen sich unter Zuhilfenahme von feinen Eisenspänen auch mit bloßem Auge auslesen.

(Bild: Samy Kamkar)

Bankautomaten lassen sich nicht täuschen

MagSpoof wird hauptsächlich an Bezahlterminals einsetzbar sein, wie sie etwa im Einzelhandel oder im Supermarkt zum Einsatz kommen. Bankautomaten ziehen Karten in der Regel komplett ein, um sie zu lesen. Mit Bankkarten in Westeuropa lässt sich der Magnet-Trick ohnehin nicht umsetzten, da diese in der Regel EMV voraussetzen oder über andere Sicherheitsverfahren wie das MM-Merkmal [4] verfügen.

Das Magnetfeld einer Kreditkarte zu emulieren ist übrigens keine Erfindung Kamkars. Sowohl das US-Start-up Coin [5] als auch Samsung [6] haben ähnliche Technik im Einsatz. Diese schalten allerdings das EMV-Verfahren nicht ab und funktionieren deswegen bei Terminals nicht, die bevorzugt mit EMV arbeiten. (fab [7])

URL dieses Artikels:
https://www.heise.de/-3020324

Links in diesem Artikel:
[1] http://www.heise.de/security/suche/?q=Samy+Kamkar&search_submit=Suchen&rm=search&channel=security
[2] http://samy.pl/magspoof/
[3] https://de.wikipedia.org/wiki/EMV_%28Kartenzahlungsverkehr%29
[4] https://en.wikipedia.org/wiki/MM_code
[5] https://onlycoin.com/
[6] http://www.samsung.com/us/support/answer/ANS00043865/997410383/
[7] mailto:contact@fab.industries

Copyright © 2015 Heise Medien