Erschreckend einfach: Kreditkarten-Daten lassen sich einfacher klauen als gedacht: Mit einem softwaregestützten Rateangriff auf viele verschiedene Shop-Webseiten dauert es nur sechs Sekunden, um Kartennummer, Ablaufdatum und sogar die Sicherheitszahl zu bekommen, wie Forscher nun belegen. Diese Hacking-Methode erfordert wenig mehr als einen Laptop mit Internetanschluss.
Gerade jetzt im Weihnachtsgeschäft boomt der Online-Einkauf. Dank Kreditkarte ist das Onlineshopping einfach und bequem. Meist genügen fürs Bezahlen Name, Kartennummer und Ablaufdatum, oft wird auch der dreistellige Sicherheitscode abgefragt. Das gilt als relativ sicher -solange wir nicht auf Phishing-Websites hereinfallen, die die Seiten von Banken oder Onlineshops nachahmen und so diese Angaben erschleichen.
Lücken im System
Doch auch ohne Phishing können Hacker Kreditkarten-Daten einfacher bekommen als bisher angenommen. Denn es gibt zwei entscheidende Sicherheitslücken, wie Mohammed Ali und seine Kollegen von der Newcastle University herausfanden: Einige Kreditkartenanbieter registrieren nicht zentral, ob jemand auf verschiedenen Websites falsche Eingaben zur gleichen Kreditkarte macht. Und Shopping-Websites fordern unterschiedlich viele Angaben vom Bezahler.
Die Folge: Ein Hacker kann sich selbst ohne Vorwissen über Kartennummer, Ablaufdatum oder Sicherheitscode diese Angaben mit Hilfe einfacher Rateprogramme schnell beschaffen. „Selbst wenn man mit nicht mehr startet als den ersten sechs Zahlen der Kreditkartennummer – die für die Bank und den Kartentyp stehen und daher bei jeder Karte eines Anbieters gleich sind – kann ein Hacker die drei entscheidenden Daten für einen Onlinekauf in nur sechs Sekunden ermitteln“, sagt Ali.
Erst Nummer und Ablaufdatum…
Der Trick: Der Hacker beginnt entweder mit einer illegal im Netz erworbenen Kreditkartennummer oder sogar nur den ersten sechs Ziffern. „Die meisten Hacker haben schon gültige Kartennummern, aber selbst ohne diese ist es einfach, Variationen von Nummern zu erzeugen und sie automatisch an eine Reihe von Websites zur Validierung zu senden“, erklärt Ali. Denn häufig wird schon bei der Eingabe durch ein Häkchen angezeigt, ob die Nummer gültig ist.
Dann geht der Hacker auf eine Shopping-Website, die nur Kartennummer und Ablaufdatum für den Kauf abfragt. Dort beginnt er, zufällige Eingaben zu machen. Typischerweise sperren Shop-Portale den Vorgang nach zehn bis 20 Fehlversuchen, also wechselt der Hacker zum nächsten Portal. „Ein Ablaufdatum zu erraten erfordert maximal 60 Versuche, weil Banken Kreditkarten mit einer Gültigkeitsdauer von bis zu 60 Monaten ausgeben“, erklären die Forscher.
…dann der Sicherheitscode
Jetzt besitzt der Hacker bereits eine gültige Kreditkartennummer samt zugehörigem Ablaufdatum – für einige Online-Einkäufe ist das sogar schon ausreichend. Zwar fragen die Seiten den Namen des Kartenbesitzers ab, prüfen ihn aber meist gar nicht. Hier reicht beim Hacken daher ein Fantasiename, wie die Forscher erklären.
Um nun auch den Sicherheitscode zu ermitteln, wechselt der Hacker auf Shopping-Websites, die diese Angabe zum Kauf abfragen. „Um den dreistelligen Code zu erraten, benötigt man maximal 1.000 Versuche“, berichten die Forscher. „Wenn man diese Versuche auf 1.000 Websites verteilt, wird eine Anfrage schon nach wenigen Sekunden als richtig zurückkommen.“
1.060 Versuche reichen aus
Das bedeutet: Nach maximal 1.600 Anfragen und in weniger als sechs Sekunden bekommt ein Hacker so die drei Angaben, die er für die Nutzung einer Kreditkarte im Internet benötigt. „Das ist erschreckend einfach – man benötigt nur einen Laptop und eine Internetverbindung“, so die Forscher. Im Experiment gelang es ihnen leicht, auf diese Weise ihre eigenen VISA-Kreditkarten zu hacken.
„Diese Art von Attacken nutzt zwei Schwachstellen aus, die für sich genommen nicht schwerwiegend sind, aber zusammen ein schweres Risiko für das Bezahlsystem darstellen“, so die Forscher. Die erste ist das Fehlen einer zentralen, Website-übergreifenden Kontrolle bei einigen Kreditkartenanbietern, das andere die nicht einheitliche Abfrage der Kartendaten bei Shopping-Websites.
Erste Reaktionen von Shopping-Portalen
Immerhin: Bei einigen Kreditkartenanbietern, darunter Mastercard, gibt es ein zentrales Erfassungssystem. Dieses sperrt eine Karte nach zehn Fehlversuchen – selbst wenn diese auf verschiedenen Websites erfolgen. VISA, der weltweit größte Anbieter jedoch, ist gegen diese Attacken anfällig, wie die Wissenschaftler demonstrierten.
Noch vor Veröffentlichung ihrer Studie informierten Ali und seine Kollegen die Betroffenen Kreditkarten-Unternehmen und 36 potenziell anfällige Shopping-Websites. „Als Folge unserer Warnung änderten acht der 36 Websites ihre Sicherheitseinstellungen“, berichten die Forscher. Zu den Maßnahmen gehörte eine Verringerung der zulässigen Fehlversuche, ein gegen Bots gerichtetes Captcha auf der Bezahlseite oder die Einführung einer Sicherheitsabfrage bei der ausgebenden Bank.
„Wachsam sein“
Was kann man selbst tun, um sich vor einem solchen Hack zu schützen? „Leider gibt es hier keine Patentlösung“, sagt Koautor Martin Emms. Aber es sei in jedem Falle ratsam, nur eine Kreditkarte für Onlinekäufe zu verwende und bei dieser das Kreditlimit niedrig zu halten. Selbst wenn diese Karte gehackt wird, hält sich der Verlust dann wenigstens in Grenzen.
„Und man sollte wachsam sein, regelmäßig seine Kontendaten kontrollieren und nach ungewöhnlichen Zahlungen Ausschau halten“, sagt Emms. Einen echten Schutz vor solchen Hacking-Angriffen könne aber nur eine Änderung von Seiten der Kreditkartenanbieter und der Shopping-Websites bieten. (IEEE Security & Privacy, 2016)
(Newcastle University, 05.12.2016 – NPO)