Digital Life
27.01.2017

Bankomatkarten-Betrug: Shimming ist das neue Skimming

Ultraflache "Shimmer", die in den Einzugsschacht von Kartenlesegeräten gesteckt werden, stellen nach Skimmern die nächste Generation des Kartenbetrugs dar.

Eine neue Technologie für den Kredit- und Bankomatkarten-Betrug sorgt bei Sicherheitsexperten in aller Welt für Kopfzerbrechen. "Shimmer" sind ultraflache elektronische Bauteile, die in den Kartenschacht von Lesegeräten, etwa Geldautomaten eingeführt werden und dort verbleiben können. Wenn reguläre Benutzer des Geräts ihre Karte einführen, wird die darauf gespeicherte Information abgelesen und im Shimmer gespeichert. Der Speicher kann dann durch spezielle Karten ausgelesen werden. Die gewonnenen Daten können dazu verwendet werden, um Kreditkarten-Kopien zu erzeugen.

Wie CBC berichtet, sind nun eine Reihe von Shimming-Geräten in einem Geschäft in der kanadischen Stadt Coquitlam entdeckt worden. Die ausgefeilte Technik der Geräte gibt Anlass zur Vermutung, dass sie von organisierten Verbrecherbanden benutzt werden. In den vergangenen Jahren wurden Shimmer bereits in anderen Staaten, etwa Mexiko, gefunden.

Fortschritt beim Betrug

Der Begriff "Shimmer" ist ein Verweis auf einen magnetischen Shim. Beim Auslesen von Daten durch das Originalgerät wird quasi mitgeschnitten. Die Geräte werden als Weiterentwicklung von "Skimmern" gesehen. Skimmer bestehen aus Kartenlese- und PIN-Eingabe-Teilen, die üblicherweise so konstruiert sind, dass sie über Original-Bauteile von Kartenlesegeräten gestülpt werden können und dabei nicht auffallen. Bei "Shimming" merkt man Veränderungen am Originalgerät nicht einmal mit geschultem Auge.

Nur wenn Karten plötzlich im Kartenschacht stecken bleiben, kann dies als Hinweis auf das Vorhandensein von Shimming-Geräten gesehen werden. Laut der kanadischen Polizei kann man Shimming durch die Verwendung drahtloser Zahlungsoptionen vermeiden. Bei Drahtlostechnologien wie NFC werden Daten nur in geringem Ausmaß übertragen. Die Anfertigung einer Kartenkopie anhand dieser Daten ist nicht möglich.