Kriminelle könnten Daten von Visa-Kreditkarten vergleichsweise einfach erraten
In einer Studie zeigen Sicherheitsforscher, wie sie CVV-Nummern und andere Kreditkarten-Daten in wenigen Sekunden erraten und damit anschließend Geld überweisen.
(Bild: dpa, Jens Büttner)
In Visas Kreditkarten-Bezahlsystem klafft eine Schwachstelle: Angreifer könnten massenweise Bots auf verschiedene Online-Shops ansetzen und durch Ausprobieren zum Bezahlen notwendige Kreditkarten-Daten erraten. Das ist Sicherheitsforschern eigenen Angaben zufolge im Zuge einer Studie innerhalb von wenigen Sekunden gelungen.
Brute-Force-Methode
Dabei haben sie Bots auf 400 Online-Shops angesetzt, die Käufern zum Teil beliebig viele Versuche bei der Eingabe von Kreditkarten-Daten einräumen sollen. Doch das ist nicht die einzige Schwachstelle: Im Gegensatz zum Bezahlsystem von MasterCard riegelt das System von Visa nicht ab, wenn irgendwo im Internet ein massiver Ansturm auf eine Kreditkarte verzeichnet wird, erläutern die Sicherheitsforscher.
Auf diesem Weg haben sie eigenen Angaben zufolge innerhalb von vier Sekunden das Ablaufdatum und die CVV-Nummer einer Karte herausbekommen. Natürlich muss man für einen erfolgreichen Einkauf auch im Besitz der Kreditkarten-Nummer sein – die könne man nach den Forschern aber auf mehreren Wegen vergleichsweise einfach abgreifen. Unter anderem verweisen sie auf den Luhn-Algorithmus.
Mittlerweile sollen rund 50 für die Tests genutzte Online-Shops ihre Kreditkarten-Bezahloption optimiert haben. Vielmehr muss nun aber Kreditkartenanbieter Visa reagieren und sein System feiner einstellen, um derartige Brute-Force-Attacken frühzeitig zu erkennen, resümieren die Sicherheitsforscher.
Kreditkarten per se unsicher
Schön ist das nicht, aber davon geht die Welt nicht unter: Kreditkarten sind von vornherein nicht auf Sicherheit getrimmt, sondern stehen für möglichst bequemes Einkaufen – das sollte jedem bewusst sein. Das wissen offensichtlich auch Visa & Co., schließlich ist die Haftung bei Missbrauch eindeutig: Hier muss der Karten-Herausgeber geradestehen.
Beim Online-Banking ist das anders. Wer sich einen Banking-Trojaner eingefangen hat oder eine missbräuchliche Verwendung der eigenen EC-Karte mit korrekter PIN verzeichnet, gerät gegenüber der Bank oft in Erklärungsnot. (des)
