Bezahl-Terminals in Geschäften anfällig für Datenklau
Die Terminals, die in Geschäften für Kartenzahlungen eingesetzt werden, können laut Berliner IT-Experten mit etwas technischem Sachverstand kopiert und dann zum Plündern von Händler-Konten verwendet werden. Auf diese Weise könnten sich Kriminelle Geld über die Funktion zum Aufladen von Telefon-SIM-Karten sowie als vermeintliche Rückzahlung bei Retouren holen, erklärte die IT-Sicherheitsfirma SRLabs am Dienstag.
Eine Lücke verbirgt sich im Poseidon-Protokoll der EC-Terminals, die andere im Netzwerk-Protokoll ZVT. Über die Lücke ZVT sei es möglich Bankomat- und Kreditkartendaten bei Zahlungen mitzulesen, wenn man sich im selben Netzwerk wie das Terminal befindet. Die zweite Lücke ist im Poseidon-Protokoll.
Terminals klonen
Über diese Lücke könne man ein Terminal für Kartenzahlungen klonen. Dafür braucht man ein ähnliches Terminal, das zum Beispiel im Internet gekauft werden kann. Dort könne mit etwas Fachwissen die ID eines bei einem Händler aktiven Terminals eingespeist werden. Diese ID steht auf jedem Kassenbon. Mit einem solchen geklonten Terminal bekomme man Zugang zum Konto des Händlers bei einem Zahlungsabwickler und könne auf dessen Geld zugreifen, erklärte SRLabs.
„Jeder kann so tun, als ob er jedes andere Gerät wäre und dann auf die Konten der entsprechenden Händler zugreifen“, sagte SRLabs-Leiter Karsten Nohl „Zeit Online“.
Für den Hack brauche man zwar noch weitere Informationen neben der Terminal-ID, sie sind laut SRLabs aber für Kundige relativ einfach zu beschaffen. So komme man an die Service-Passwörter der Betreiber heran, die benötigt werden, um zu den Einstellungen des Terminals vorzustoßen.
Das Service-Passwort lasse sich auch aus dem Gerät auslesen, erklärten die Experten „Zeit Online“. Die dritte erforderliche Information - die voreingestellte Port-Nummer - lasse sich über einen Diagnosebefehl herausfinden, hieß es. Die Experten von SRLabs hätten drei Monate lang an dem Hack gearbeitet.
Ausführliche Details will SRLabs am 27. Dezember beim Kongress des Chaos Computer Clubs (CCC) in Hamburg vorstellen. Als kurzfristige Lösung sollten die Funktionen für SIM-Aufladung und Retouren deaktiviert werden, empfahlen die Experten. Auf lange Sicht müsse jedes Terminal seinen eigenen Sicherheitsschlüssel bekommen, damit keine Kopien mehr erstellt werden könnten.
"Missbrauch ausgeschlossen"
Die Deutsche Kreditwirtschaft nahm am Dienstag nicht zu den technischen Einzelheiten des von SRLabs beschriebenen Angriffsszenarios Stellung. In einer Stellungnahme hieß es, die vorgestellten Angriffe erfolgten auf die Magnetstreifentechnik und seien nicht auf Chipkarten übertragbar: „Missbrauch oder Schäden im Girocard-System zu Lasten von Karteninhabern sind daher ausgeschlossen.“