Chipbankkarten sind so konzipiert, dass es keinen Sinn macht, sie mit Skimmern oder Malware zu klonen, wenn Sie mit einer Chipkarte anstelle eines Magnetstreifens bezahlen. Mehrere jüngste Angriffe auf amerikanische Geschäfte deuten jedoch darauf hin, dass Diebe Schwachstellen bei der Implementierung dieser Technologie durch einige Finanzinstitute ausnutzen. Dies ermöglicht es ihnen, Chipkarten zu umgehen und tatsächlich verwendbare Fälschungen zu erzeugen.
Traditionell codieren Plastikkarten die Kontodaten des Besitzers im Klartext auf einem Magnetstreifen. Skimmer oder Malware, die hinter Zahlungsterminals versteckt sind, können Daten von diesen lesen und schreiben. Diese Daten können dann auf jede andere Magnetstreifenkarte codiert und für betrügerische Finanztransaktionen verwendet werden.
Moderne Karten verwenden die EMV- Technologie (Europay + MasterCard + Visa), die die auf dem Chip gespeicherten Kontodaten verschlüsselt. Dank dieser Technologie wird jedes Mal, wenn eine Karte mit einem Terminal interagiert, das Chips unterstützt, ein einmaliger eindeutiger Schlüssel generiert, der als Token oder Kryptogramm bezeichnet wird.
Fast alle Chipkarten speichern dieselben Daten, die auf dem Magnetstreifen der Karte codiert sind. Dies dient der Abwärtskompatibilität, da viele US-amerikanische Anbieter noch nicht auf chipfähige Terminals umsteigen müssen . Diese doppelte Funktionalität ermöglicht es Karteninhabern auch, den Magnetstreifen zu verwenden, wenn der Chip der Karte oder das Händlerterminal nicht ordnungsgemäß funktioniert.
Es gibt jedoch verschiedene Unterschiede zwischen Daten, die auf einem EMV-Chip gespeichert sind, und Daten, die auf einem Magnetstreifen gespeichert sind. Eine davon ist eine Chipkomponente, die als Integrated Circuit Card Verification Code (iCVV) bezeichnet wird und manchmal auch als „dynamisches CVV“ bezeichnet wird.
iCVV unterscheidet sich von dem auf Magnetband gespeicherten CVV-Kartenbestätigungscode und schützt vor dem Kopieren von Daten vom Chip und dem Erstellen gefälschter Magnetstreifenkarten. Sowohl iCVV als auch CVV sind nicht mit dem dreistelligen numerischen Code verknüpft, der auf der Rückseite der Karte aufgedruckt ist. Dieser wird normalerweise zum Bezahlen in Online-Shops oder zum Bestätigen der Karte per Telefon verwendet.
Der Vorteil des EMV-Ansatzes besteht darin, dass selbst wenn ein Skimmer oder ein Virus Informationen über eine Kartentransaktion abfängt, diese Daten nur für diese Transaktion gültig sind und Dieben künftig keine betrügerischen Zahlungen mehr ermöglichen sollten.
Damit dieses gesamte Sicherheitssystem funktioniert, müssen die von Finanzorganisationen, die Karten ausstellen, bereitgestellten Backend-Systeme sicherstellen, dass beim Einsetzen einer Karte in das Terminal nur iCVV zusammen mit den Daten ausgegeben wird und umgekehrt, wenn nur mit einem Magnetstreifen bezahlt wird CVV. Wenn diese Informationen nicht mit dem ausgewählten Transaktionstyp übereinstimmen, muss das Finanzinstitut die Transaktion ablehnen.
Das Problem ist, dass nicht alle Organisationen ihre Systeme richtig konfiguriert haben. Es ist keine Überraschung, dass Diebe diese Schwachstellen seit Jahren kennen. 2017 schrieb ich über eine Zunahme des Prozentsatzes der Verwendung von " Schimmern " - High-Tech-Skimmern, die Daten von Transaktionen abfangen, die mit einem Chip getätigt wurden.
Schimmer an einem kanadischen Geldautomaten gefunden
Forscher von Cyber R & D Labs haben kürzlich die Ergebnisse einer Studie veröffentlicht, in der sie 11 Arten der Chip-Implementierung auf Karten von 10 verschiedenen Banken in Europa und den USA getestet haben. Sie fanden heraus, dass sie Daten von vier von ihnen nehmen, dann geklonte Magnetstreifenkarten erstellen und diese erfolgreich für Zahlungen verwenden konnten.
Es gibt allen Grund zu der Annahme, dass die von Cyber R & D Labs beschriebene Methode von Malware verwendet wird, die in Geschäftsterminals installiert wird. Die Programme fangen Transaktionsdaten von der EMV ab, die dann weiterverkauft und zum Erstellen von Kopien von Chipkarten verwendet werden können, jedoch unter Verwendung eines Magnetstreifens.
Im Juli 2020 gab das weltweit größte Zahlungsnetzwerk Visa eine Warnung herausüber Sicherheitsbedrohungen in Bezug auf die Terminals eines kürzlich kompromittierten Verkäufers. In ihren Terminals wurde Malware gepatcht, um mit Chipkarten zu arbeiten.
"Die Implementierung sicherer Zahlungstechnologien wie des EMV-Chips hat die Vorteile von Kontozahlungsdaten für Dritte erheblich verringert, da diese Daten nur die persönliche PAN-Kontonummer, den Bestätigungscode für die iCVV-Karte und das Ablaufdatum der Daten enthalten", schrieb Visa. „Daher war bei korrekter iCVV-Bestätigung das Fälschungsrisiko minimal. Darüber hinaus haben viele Händler P2PE-verschlüsselte Terminals verwendet, die PANs verschlüsseln, wodurch das Risiko von Zahlungen weiter verringert wird. “
Der Name des Verkäufers wurde nicht erwähnt, aber etwas Ähnliches scheint bei Key Food Stores Co-Operative Inc., einer Supermarktkette im Nordosten der USA, passiert zu sein. Key Food gab zunächst Einzelheiten zum Kartenhack im März 2020 bekannt, aktualisierte jedoch die Erklärung im Juli 2020, um klarzustellen, dass auch EMV-Transaktionsdaten abgefangen wurden.
„Die Terminals in den Filialen waren EMV-fähig“, erklärt Key Food. "Unserer Meinung nach konnte Malware bei Transaktionen an diesen Punkten nur die Kartennummer und das Ablaufdatum abfangen (nicht den Namen des Eigentümers und nicht den internen Bestätigungscode)."
Die Behauptung von Key Food ist zwar technisch korrekt, verschönert jedoch die Realität: Die gestohlenen EMV-Daten können weiterhin verwendet werden, um Varianten von Magnetstreifenkarten zu erstellen, die dann an Registrierkassen verwendet werden können, an denen Terminals mit Malware installiert sind, wenn die ausstellende Bank nicht verkauft hat. EMV-Schutz ist korrekt.
Im Juli veröffentlichte das Betrugsbekämpfungsunternehmen Gemini Advisory einen Blog-Beitrag, in dem die jüngsten Hacks bei Händlern - einschließlich Key Food - beschrieben wurden, die EMV-Transaktionsdaten gestohlen haben, die dann illegal in den Handel kamen Geschäfte für Carder.
"Bei diesem Vorfall gestohlene Zahlungskarten wurden im Internet zum Verkauf angeboten", erklärt Gemini. "Kurz nachdem der Vorfall entdeckt wurde, bestätigten mehrere Finanzinstitute, dass alle teilnehmenden Karten über EMV verarbeitet wurden, ohne sich auf Magnetstreifen als Fallback-Methode zu verlassen."
Gemini hat bestätigt, dass ein weiterer Sicherheitsvorfall in einem Spirituosengeschäft in Georgia auch die EMV-Transaktionsdaten kompromittiert hat, was dazu führte, dass sie später im dunklen Netz von Websites angezeigt wurden, auf denen gestohlene Karten verkauft wurden. Wie von Gemini und Visa festgestellt, hätte in beiden Fällen die korrekte Bestätigung der iCVV-Daten von Banken die Daten für Betrüger unbrauchbar machen müssen.
Gemini stellte fest, dass die schiere Anzahl der betroffenen Geschäfte darauf hindeutete, dass es höchst unwahrscheinlich war, dass Diebe EMV-Daten mit manuell installierten EMV-Schimmern abfangen würden.
"Angesichts der Unpraktikabilität dieser Taktik kann der Schluss gezogen werden, dass sie eine andere Technik verwendet haben, um in Zahlungsterminals einzubrechen und genügend EMV-Daten zu sammeln, um das Klonen von EMV-Bypass durchzuführen", schrieb das Unternehmen.
Stas Alferov, Direktor für Forschung und Entwicklung bei Gemini, sagte, dass Finanzinstitute, die solche Kontrollen nicht durchführen, die Fähigkeit verlieren, Fälle von Missbrauch solcher Karten zu verfolgen.
Tatsache ist, dass viele Banken, die Chipkarten ausgestellt haben, der Ansicht sind, dass solange sie für Transaktionen mit einem Chip verwendet werden, praktisch kein Risiko besteht, sie in unterirdischen Märkten zu klonen und zu verkaufen. Wenn diese Unternehmen bei betrügerischen Transaktionen nach Mustern suchen, um festzustellen, welche Geräte von Anbietern durch Malware kompromittiert wurden, übersehen sie möglicherweise vollständig chipbasierte Zahlungen und konzentrieren sich nur auf die Kassen, an denen Kunden die Karte in Streifen gezogen haben.
"Kartennetzwerke beginnen zu erkennen, dass jetzt viel mehr EMV-Transaktionen gehackt werden", sagte Alferov. „Größere Kartenherausgeber wie Chase oder Bank of America prüfen bereits iCVV- und CVV-Inkonsistenzen und lehnen verdächtige Transaktionen ab. Kleinere Organisationen tun dies jedoch eindeutig nicht. "
Ob gut oder schlecht, wir wissen nicht, welche Finanzinstitute den EMV-Standard falsch implementiert haben. Daher sollten Sie Ihre Kartenausgaben stets sorgfältig überwachen und nicht autorisierte Transaktionen sofort melden. Wenn Ihre Bank es Ihnen ermöglicht, Textnachrichten über Transaktionen zu erhalten, können Sie diese Aktivitäten nahezu in Echtzeit verfolgen.