• Home
  • Blog
  • Articles , News
  • Neue Gefahr “Shopshifting”: Sicherheitslücken beim elektronischen Bezahlen

Neue Gefahr “Shopshifting”: Sicherheitslücken beim elektronischen Bezahlen

15Jan

Neue Gefahr “Shopshifting”: Sicherheitslücken beim elektronischen Bezahlen

By News 0 Comments

Ende 2015 haben Forscher brisante Schwachstellen bei elektronischen Bezahl-Terminals entdeckt. Sie betreffen die Kommunikationsprotokolle, über die das EC-Terminal-Gerät, die Kasse und der Bezahldienstleister miteinander kommunizieren. Es handelt sich um zwei verschiedene Protokolle, die jeweils Sicherheitsmängel aufweisen und eine erschreckende Bandbreite von Betrugsmöglichkeiten eröffnen.

Durch die Ausnutzung der Lücken könnten Angreifer z.B. Daten vom Magnetstreifen der EC-Karte und PINs auslesen. Auch könnten Gutschriften im Namen des Terminal-Besitzers auf beliebige Konten transferiert werden.

Außerdem haben die Nachforschungen und Tests ergeben, dass viele EC-Kartengeräte den gleichen Schlüssel verwenden, mit dem man Geräteeinstellungen vornehmen kann. Noch dazu waren Passwörter für das Service-Management eines Payment-Dienstleisters offen im Internet zu finden. Damit ließ sich ein Terminal-Gerät neu konfigurieren und einem anderen Händlerkonto zuordnen. So können die Einnahmen eines Händlers problemlos umgeleitet und einem anderen gutgeschrieben werden.

Besonders heikel: Die Sicherheitslücken erlauben es darüber hinaus, Händler-Terminals zu klonen. Den Sicherheitsexperten ist es gelungen, ein auf Ebay günstig ersteigertes Terminal mit falscher Identität bei einem Bezahldienstleister anzumelden. Die Hürden dafür waren nicht hoch, so wird z.B. die hierfür benötigte Terminal-ID auf jeden Zahlungsbeleg gedruckt.

Es braucht nicht viel Fantasie, sich groß angelegte Betrugswellen auszumalen, zumal sich die Angriffe leicht automatisieren lassen. Die Terminal-IDs werden fortlaufend vergeben und sind entsprechend leicht vorherzusagen. Hier sind Zahlungsdienstleister und Banken gefordert, schnellstens Abhilfe zu schaffen und ihre Prozesse zu prüfen und abzusichern. Wichtig ist insbesondere, dass die Terminalgeräte individuelle Keys erhalten.

Quellen:
Shopshifting: Sicherheitsforscher decken Lücken beim elektronischen Bezahlen auf (heise.de)
32C3: Unsichere Kreditkarten-Terminals vorgeführt

Bild:
Auf der Grundlage von:
Wikimedia Commons, „Telecash 1“ by Nightflyer. Lizenziert unter CC BY-SA 3.0.
Wikimedia Commons, “Achtung” by Tene~commonswiki. [Public domain].

Share this post

Author

Leave a Reply

Your email address will not be published.

Related Posts

29Oct

Neue Phishing-Methode per SMS

Seit Anfang des Herbstes ist eine neue Phishing-Welle unterwegs, bei der gefälschte Nachrichten per SMS auf dem Handy des... read more

11Sep

Microsoft Exchange 2016 Betaphase

Microsoft hat die erste Public Preview des Microsoft Exchange 2016 im Juli bereitgestellt. Die 4its testet seitdem das neue... read more

09Oct

Safe Harbor-Urteil: Europäischer Gerichtshof zeigt Datenschutz in den USA die rote Karte

Der EuGH hat das so genannte "Safe-Habor-Abkommen" zwischen der EU und den USA für nichtig erklärt. Die Vereinbarung geht... read more

13Oct

Schadsoftware BlackByte umgeht Antivirus-Programme

Aktuell beobachten Sicherheitsexperten eine neue Variante von Ransomware-Angriffen, die von Antivirus- und Sicherheitsprogrammen nicht erkannt wird. Das macht es... read more

14Jun

Quishing: Betrug mit QR-Codes

Neu ist diese Phishing-Methode mittels QR-Codes nicht, aktuell wird aber wieder vermehrt davor gewarnt. Auch das Bundesamt für Sicherheit... read more

13Sep

Microsoft gegen die USA

Microsoft steht vor dem US-Berufungsgericht um die Herausgabe von E-Mails aus seinem Rechenzentrum an die amerikanische Justiz zu verhindern. Dabei... read more

02Sep

Partnerschaft mit ALLPECON

Komplexe und anspruchsvolle Kundenprojekte erfordern oft ebenso breit gefächertes wie spezialisiertes Know-how in unterschiedlichen Bereichen. Ein einzelnes Unternehmen allein... read more

18Dec

Trojaner: Emotet erneut aktiv

Ende 2018 / Anfang 2019 gab es eine erste breite Welle von Infektionen, die vor allem Unternehmen betroffen hat.... read more

13Jul

Betrüger machen auch vor Corona nicht halt

Die Corona-Pandemie und ihre Folgen bringen – leider – auch neue Betrugsmaschen hervor. Aktuell scheinen Unternehmen im Visier einer... read more

19Nov

Wieder Gefahr durch Emotet

Anfang des Jahres war es den Sicherheitsbehörden mehrerer Länder, darunter Deutschland, gelungen, die Bedrohung durch den gefährlichen Trojaner Emotet... read more

Diese Website nutzt Google Analytics. Möchtest du nicht weiter getrackt werden. Klicke hier.