PIN-Übertragung bei Automaten unsicherer als erwartet
Zwei Sicherheitsexperten haben Angriffszenarien auf Konto-PINs veröffentlicht, die nur zwei Versuche etwa von Mitarbeitern bei einer Weiterleitungsstelle zum Erraten der korrekten PIN eines Kontos benötigen.
Die beiden Sicherheitsexperten Omer Berkmann und Odelia Moshe Ostrovsky von der School of Computer Science in Tel Aviv haben Angriffszenarien auf Konto-PINs vorgestellt, die nur zwei Versuche zum Erraten der korrekten PIN eines Bankkontos benötigen. Das Problem betrifft die Weiterleitungsstellen zwischen Bankterminal und Bankrechenzentrum. Mitarbeiter bei diesen Weiterleitungsstellen können die PINs abgreifen und damit Transaktionen vornehmen. Besonders gefährdet sind dadurch Abhebungen im fernen Ausland.
Der internationale Bankverkehr nutzt etwa bei Abhebungen an einem Bankautomaten intern eine Financial PIN Processing API, die unter anderem Funktionen zum gesicherten Datenaustausch zwischen entfernten Automaten und PIN-Überprüfungsstelle – für gewöhnlich das Bankrechenzentrum – bereitstellt. Einige dieser Funktionen, die beispielsweise die ankommenden verschlüsselten PINs in ein anderes verschlüsseltes Format für die nächste Stelle umformatieren, reißen allerdings ein Sicherheitsleck auf.
Da die Entfernung zwischen Bankautomaten und Bankrechenzentrum meist hoch ist, werden die Daten in der Regel über Switches genannte Zwischenstationen weitergeleitet. Während die Sicherheitsanforderungen an Bankautomaten und Bankrechenzentrum recht hoch sind, sind sie für Weiterleitungsstellen mitunter geringer. Dort könnten kriminelle Mitarbeiter mit Zugang zu den so genannten Hardware Security Modules verschlüsselte PIN-Übertragungen abfangen und mit den zur Verfügung stehenden API-Funktionen die Kontonummer und die PIN ohne großen Aufwand ausspionieren oder eine neue PIN einrichten, die fortan ebenfalls gültig ist. Einige Angriffe können dort auf Funktionen durchgeführt werden, die eigentlich den Schlüssel des Bankautomaten benötigen, obwohl dieser im Switch gar nicht verfügbar ist.
Die beiden Sicherheitsexperten aus Israel haben dem eigenen Bekunden nach mehrere Banken und Kreditkartenanbieter deswegen kontaktiert, jedoch ohne Folgen. Daher veröffentlichten sie nun ihre Ergebnisse, um die Öffentlichkeit zu warnen. Der Krypto-Papst Bruce Schneier pflichtet ihnen in seinem Blog bei: "Einer der beunruhigsten Apekte dieses Angriffs ist, dass man nur so sicher ist wie die am wenigsten vertrauenswürdige Bank im Netzwerk."
Bei bisherigen Betrügermaschen lässt sich ein präparierter Bankautomat etwa mit Aufsatz vor dem Kartenschacht meist auch von Laien erkennen. Ein manipuliertes Kartenlesegerät an der Tankstelle oder ein Adapterstecker zwischen Bankterminal und Telefondose können das Misstrauen wecken. Für den Kunden am Bankautomaten kann bei diesen nun vorgestellten Angriffen allerdings nichts Ungewöhnliches auffallen.
Siehe dazu auch:
- The Unbearable Lightness of PIN Cracking, Aufsatz von Omer Berkman und Odelia Moshe Ostrovsky
- Attacking Bank-Card PINs, Blog-Eintrag von Bruce Schneier
(dmk)
