Image credit:

Hacker erraten Visa-Kartendaten in 6 Sekunden

Kreditkartennummer, Ablaufdatum und Sicherheitscode
0 Shares
Share
Tweet
Share
Save

Sponsored Links

Kreditkarten sind durch ihre dreistelligen Sicherheitscodes und Ablaufdaten eh schon unzureichend gegen Missbrauch geschützt. Jetzt zeigen IT-Sicherheitsexperten Newcastle University, wie schlecht es wirklich um die Sicherheit zumindest von Visa-Karten bestellt ist. Mit einem sogenannten Distributed Guessing Attack, einem verteilten Rate-Angriff, sei es ihnen gelungen, die korrekten Kartendaten einer beliebigen Karte in nur sechs Sekunden zu erraten. Mit dieser Methode könnte auch der Angriff auf die Tesco-Bank neulich durchgezogen worden sein.

Funktioniert so: Der Angreifer versucht auf vielen Websites mit Visa-Bezahlfunktion gleichzeitig Nummernkombinationen durch. Offenbar reagiert das Visa-System nicht auf solche ungewöhnlichen Abfrageversuche. Damit können pro Kartenfeld typischerweise zehn bis zwanzig Zahlenkombinationen pro Website abgefragt werden.

Das für sich genommen wäre nicht schlimm: Zehn bis zwanzig Kombinationen pro Website ist nicht genug, um aus der riesigen Menge an möglichen Kombinationen die Richtige zu finden. Das Problem wird erst dadurch akut, dass verschiedene Websites verschiedene Kartendaten abfragen oder anbieten. So kann der Angreifer nach und nach, wie in einem Puzzle, die richtigen Daten zusammensetzen.

Um das Spiel zu starten, muss man nur die ersten sechs Ziffern der Karte wissen: und die seien laut Doktorand und Studienautor Mohammed Ali von der School of Computing Science der Newcastle University bei jeder Bank zunächst diesselben. In nur sechs Sekunden, schreibt er laut dem Independent, sei die richtige Kombination vollständig.

Visa äußerte sich zum Hack beim Independent: Die Forschung berücksichtige nicht die "mehreren Ebenen von Betrugsprävention die im Bezahlsystem existieren". Außerdem könne sich jeder Kunde gegen solche Angriffe schützen, indem er oder sie "Verified by Visa" nutze*

* Aus eigener Erfahrung muss ich sagen: Dieses System funktioniert in meinem auf Privatsphäre getrimmten Browser schlecht, weil ich bei jeder Bezahlseite und den zig Umleitungen jeweils die Visa-Datenabfrage freischalten muss, Bezahlvorgänge mehrmals neustarten und immer hoffen muss, dass zwischendurch nichts schief geht und mein Zugang gesperrt wird.

From around the web

Page 1Page 1ear iconeye iconFill 23text filevr