Skimming-Angriffe an Tankstellensäulen

Berichten in US-Medien zufolge haben Kriminelle in größerem Umfang die Lesegeräte für Bezahlkarten an Tankstellensäulen manipuliert, um an Daten für Kopien zu gelangen.

In Pocket speichern vorlesen Druckansicht 234 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Berichten in US-Medien zufolge haben Kriminelle in größerem Umfang die Lesegeräte für Bezahlkarten an Tankstellensäulen manipuliert, um an Kartendaten zu gelangen. Bislang kannte man solche Angriffe eher von Bankautomaten, bei denen Betrüger mit sogenannten Skimming-Aufsätzen vor dem Eingabeschlitz die Kartendaten auslesen, um damit später Kopien anzufertigen. Die PIN spähen sie mit einer versteckten Kamera oder einem zusätzlichen PIN-Pad aus, das sie über das Original-Tastenfeld legen. Details und Bilder dazu enthält auch der heise-Security-Artikel "Angriff der Karten-Kloner ".

In den neuen Fällen sendeten die an den Terminals der Säulen angebrachten Skimming-Geräte die ausgelesenen Daten per Bluetooth an die Kriminellen, die sich in der Nähe aufhalten. Mit den nachgemachten Karten konnten diese dann später laut Bericht Geld an Automaten abheben. Rund 180 Zapfsäulen mit Bezahlfunktion sollen die bislang unbekannten Täter manipuliert haben. Aufgefallen war der Betrug, weil sich zurückverfolgen ließ, dass mehrere dem Angriff zum Opfer gefallene Kunden eine bestimmte Säule der Kette 7-Eleven benutzt hatten.

Auch in Deutschland trifft man immer häufiger auf Tankstellen, auf denen man direkt an der Zapfsäule bezahlen kann. Dazu muss man aber bereits vor dem Tanken die Karte einstecken und die PIN eingeben, damit das Outdoor Payment Terminal (OPT) den Verfügungsrahmen prüfen kann. Bislang gibt es jedoch keine Berichte über erfolgreiche Skimming-Angriffe an deutschen Zapfsäulen.

Wie auch bereits bei bisherigen Terminals beim Händler gibt es auch auf Tankstellen Systeme, die das EMV-Verfahren unterstützen, bei der der Chip auf der Karte mehr oder minder verschlüsselt mit dem Terminal kommuniziert und so Skimming-Angriffe erschwert. Da sowohl EC- als auch Kreditkarten aus Kompatibiltätsgründen weiterhin eine Magnetstreifen tragen, können Betrüger diesen auslesen, um an die gewünschten Daten zu kommen.

Ob beim Bezahlen das EMV-Verfahren oder der Magnetstreifen benutzt wurden, ist letztlich für den Kunden ohne Belang – er bekommt den Schaden in der Regel immer erstattet. Der Unterschied ist nur für die Zuordnung der Haftung in Schadensfällen wichtig. War die Karte nicht EMV-fähig, haftet der Herausgeber, also in der Regel die Bank. War indes das Terminal nicht EMV-fähig, verschiebt sich die Haftung auf den Händler. Dass sich aber auch das EMV-Verfahren austricksen lässt, haben britische Forscher erst kürzlich zumindest für britische Karten gezeigt.

Siehe dazu auch:

(dab)