MagSpoof: Hacker bezahlt mit Kreditkarten-Kopie auf einem Chip
Samy Kamkar hat sich sehr kompakte Hardware gebaut, auf der er die Magnet-Daten mehrerer Kreditkarten speichern kann. Diese können zum Bezahlen dann an herkömmliche Bezahlterminals übermittelt werden.
- Fabian A. Scherschel
Der Magnetstreifen einer Kreditkarte lässt sich per Chip aus der Ferne emulieren. So lassen sich die Kartendaten an beliebige Bezahlterminals übertragen, ohne dass man die eigentliche Karte in der Hand halten oder durch den Scanner ziehen muss. Hacker Samy Kamkar – auch bekannt als Urheber des MySpace-Wurms, der seinen Vornamen trägt – hat nun Pläne und Firmware für ein winziges Hardware-Dongle veröffentlicht, das genau das macht.
Kartenlos bezahlen
Kamkars Hardware heißt MagSpoof und kann gleich mehrere Kreditkarten emulieren. Wird der Chip an einen Kartenleser gehalten, sagt er dem Gerät zuerst, dass die angebliche Karte das Chip-und-PIN-Verfahren (EMV) nicht unterstützt. Dann erzeugt er elektromagnetische Signale, die mit denen übereinstimmen, die der Kartenleser empfängt, wenn die Karte normal durch den Lesemechanismus gezogen wird. Für das Terminal sieht es so aus, als ob die Karte vorliegt.
Der Trick funktioniert, da die Karte dem Lesegerät sagen kann, dass sie das Chip-und-PIN-Verfahren nicht unterstützt. Auch hierzulande, wo fast nur noch Karten mit Chip zum Einsatz kommen, ist das möglich. Die Geräte müssen schließlich auch Karten aus anderen Ländern entgegennehmen, in denen überwiegend noch mit Magnetstreifen bezahlt wird – zum Beispiel den USA.
Bankautomaten lassen sich nicht täuschen
MagSpoof wird hauptsächlich an Bezahlterminals einsetzbar sein, wie sie etwa im Einzelhandel oder im Supermarkt zum Einsatz kommen. Bankautomaten ziehen Karten in der Regel komplett ein, um sie zu lesen. Mit Bankkarten in Westeuropa lässt sich der Magnet-Trick ohnehin nicht umsetzten, da diese in der Regel EMV voraussetzen oder über andere Sicherheitsverfahren wie das MM-Merkmal verfügen.
Das Magnetfeld einer Kreditkarte zu emulieren ist übrigens keine Erfindung Kamkars. Sowohl das US-Start-up Coin als auch Samsung haben ähnliche Technik im Einsatz. Diese schalten allerdings das EMV-Verfahren nicht ab und funktionieren deswegen bei Terminals nicht, die bevorzugt mit EMV arbeiten. (fab)