In den Vereinigten Arabischen Emiraten (Dubai, Abu Dhabi,...) hat es
eine schwerwiegende Sicherheitslücke im Bankensystem gegeben.
Nach bisherigen (unvollständigen) Informationen zufolge wurde in
einer der vier Clearingstellen für Geldautomatentransaktionen ein
Spähprogramm installiert oder eine Kopie einer Datenbank gezogen.
Ausgeschlossen wurde der Einsatz von Skimming-Geräten (Aufsatz oder
Inserts an Geldautomaten mit Kameras), da eine Vielzahl von Kunden
von allen Banken betroffen waren und sämtliche Geldautomaten
überprüft wurden.
Fakt ist, dass eine erhebliche Anzahl von Bankkartennummern samt PIN
gestohlen wurden. Seit August 2008 wurden Bankkonten systematisch mit
angefertigten Kopien der Karten und geraubter PIN über Geldautomaten
in einer Vielzahl von Ländern (Asien, Mittler Osten, USA)
leergeräumt.
Das führte dazu, dass alle Banken in den VAE ihre Kunden dazu
aufgerufen haben (per SMS) ihre PIN bei den Bankautomaten des
jeweiligen Instituts zu ändern. Einige Banken haben angefangen, alle
Bankkarten auszutauschen.
Dieser Vorfall wirft einige Fragen auf.
1. Wie ist so eine Sicherheitslücke überhaupt möglich? Eigentlich
sollten PIN nie unverschlüsselt übertragen oder gespeichert sein.
2. Ist so ein Vorfall auch in Europa / Deutschland denkbar?
Der Fall wäre ein guter Grund, eine umfassenden Artikel über die
Sicherheit von Banknetzwerken und Bankautomatentransaktionen zu
veröffentlichen. Ich erinnere mich nur an einen Artikel vor über 10
Jahren in der c't (c't 7/96, Sicherheitsrisiko Magnetkarte). Wäre
eine Aktualisierung nicht angebracht?
Links zu Zeitungsartikeln:
Sep 9th, PIN fraud sparks bank alert
http://thenational.ae/article/20080909/NATIONAL/247640263
Sep 12th, Bigger security flaw behind card thefts
http://archive.gulfnews.com/articles/08/09/13/10244568.html
Sep 15th, UAE banks restrict ATM usage abroad
http://archive.gulfnews.com/articles/08/09/16/10245267.html
Sep 16th, Mashreq joins list of fraud-hit banks
http://archive.gulfnews.com/articles/08/09/17/10245522.html
Sep 20th, Central Bank struggles to pinpoint fraudsters
http://archive.gulfnews.com/articles/08/09/20/10246432.html
Sep 20th, How to beat ATM fraudsters
http://thenational.ae/article/20080920/BUSINESS/437084856
Sep 22nd, Bank lifting ATM limits after wave of frauds
http://thenational.ae/article/20080922/NATIONAL/448740673
Oct 5th, Central Bank starts inquiry into ATM fraud
http://thenational.ae/article/20081005/NATIONAL/171162807
Oct 5th, Chronology of ATM card fraud (Fraud crisis bankrupts
confidence)
http://thenational.ae/article/20081005/NATIONAL/362962006
Oct 9th, More ATM card fraud in UAE and Qatar
http://www.itp.net/news/533589-more-atm-card-fraud-in-uae-and-qatar
Oct 12th, Banks give ultimatums to clients over fraud
http://thenational.ae/article/20081012/NATIONAL/787913246
eine schwerwiegende Sicherheitslücke im Bankensystem gegeben.
Nach bisherigen (unvollständigen) Informationen zufolge wurde in
einer der vier Clearingstellen für Geldautomatentransaktionen ein
Spähprogramm installiert oder eine Kopie einer Datenbank gezogen.
Ausgeschlossen wurde der Einsatz von Skimming-Geräten (Aufsatz oder
Inserts an Geldautomaten mit Kameras), da eine Vielzahl von Kunden
von allen Banken betroffen waren und sämtliche Geldautomaten
überprüft wurden.
Fakt ist, dass eine erhebliche Anzahl von Bankkartennummern samt PIN
gestohlen wurden. Seit August 2008 wurden Bankkonten systematisch mit
angefertigten Kopien der Karten und geraubter PIN über Geldautomaten
in einer Vielzahl von Ländern (Asien, Mittler Osten, USA)
leergeräumt.
Das führte dazu, dass alle Banken in den VAE ihre Kunden dazu
aufgerufen haben (per SMS) ihre PIN bei den Bankautomaten des
jeweiligen Instituts zu ändern. Einige Banken haben angefangen, alle
Bankkarten auszutauschen.
Dieser Vorfall wirft einige Fragen auf.
1. Wie ist so eine Sicherheitslücke überhaupt möglich? Eigentlich
sollten PIN nie unverschlüsselt übertragen oder gespeichert sein.
2. Ist so ein Vorfall auch in Europa / Deutschland denkbar?
Der Fall wäre ein guter Grund, eine umfassenden Artikel über die
Sicherheit von Banknetzwerken und Bankautomatentransaktionen zu
veröffentlichen. Ich erinnere mich nur an einen Artikel vor über 10
Jahren in der c't (c't 7/96, Sicherheitsrisiko Magnetkarte). Wäre
eine Aktualisierung nicht angebracht?
Links zu Zeitungsartikeln:
Sep 9th, PIN fraud sparks bank alert
http://thenational.ae/article/20080909/NATIONAL/247640263
Sep 12th, Bigger security flaw behind card thefts
http://archive.gulfnews.com/articles/08/09/13/10244568.html
Sep 15th, UAE banks restrict ATM usage abroad
http://archive.gulfnews.com/articles/08/09/16/10245267.html
Sep 16th, Mashreq joins list of fraud-hit banks
http://archive.gulfnews.com/articles/08/09/17/10245522.html
Sep 20th, Central Bank struggles to pinpoint fraudsters
http://archive.gulfnews.com/articles/08/09/20/10246432.html
Sep 20th, How to beat ATM fraudsters
http://thenational.ae/article/20080920/BUSINESS/437084856
Sep 22nd, Bank lifting ATM limits after wave of frauds
http://thenational.ae/article/20080922/NATIONAL/448740673
Oct 5th, Central Bank starts inquiry into ATM fraud
http://thenational.ae/article/20081005/NATIONAL/171162807
Oct 5th, Chronology of ATM card fraud (Fraud crisis bankrupts
confidence)
http://thenational.ae/article/20081005/NATIONAL/362962006
Oct 9th, More ATM card fraud in UAE and Qatar
http://www.itp.net/news/533589-more-atm-card-fraud-in-uae-and-qatar
Oct 12th, Banks give ultimatums to clients over fraud
http://thenational.ae/article/20081012/NATIONAL/787913246