Verteilter Angriff: Kreditkartendaten in Sekunden zu "erraten"

Wer es drauf anlegt kann quasi ohne vorab vorhandene Informationen komplette Datensätze von Kreditkarten generieren und missbrauchen. Das haben Sicherheitsforscher jetzt nachgewiesen. Das Problem ist, dass bei den Banken faktisch kein Schutz vor verteilten Angriffen besteht.
Um Transaktionen mit einer Kreditkarte auslösen zu können, benötigt man im Grunde drei Zahlen: Die Kreditkartennummer, das Ablaufdatum und den dreistelligen Sicherheits-Code. Die Payment-Systeme sind insbesondere darauf eingestellt, dass Angreifer versuchen, letzteren per Brute-Force-Angriff zu ermitteln, wenn sie die beiden ersten Angaben bereits haben. Daher wird nur eine begrenzte Zahl aufeinanderfolgender Eingabe-Versuche akzeptiert.

Der Schutz versagt allerdings, wenn Kriminelle beginnen, mit verteilten Attacken zu arbeiten. Das ist im Grunde kein besonderes Problem mehr, da beispielsweise Botnetze einfach angemietet und mit eigenem Code versorgt werden können. Wenn nun beispielsweise ein paar tausend Rechner auf hunderte oder gar tausende weltweit verteilte Online-Shops zugreifen und koordiniert Ziffernkombinationen durchprobieren, bis ein funktionierender Kreditkarten-Datensatz gefunden ist, erkennen dies die Schutzvorrichtungen im Hintergrund schlicht nicht.


In Sekunden zu funktionierenden Daten

Das Verfahren wurde von Sicherheitsforschern in einem wissenschaftlichen Paper genauer beschrieben, das im Journal IEEE Security & Privacy veröffentlicht wurde. Darin wird auch vorgerechnet, dass es im Zweifelsfall nur wenige Sekunden dauert, bis ein komplett neuer, funktionierender Datensatz generiert werden kann. Der Angreifer benötigt dafür keine Daten von in Umlauf befindlichen Kreditkarten, sondern nur ein Notebook, eine Internet-Verbindung und ein Botnetz, über das ein verteilter Angriff organisiert werden kann.

Die Methode könnte zuletzt bei einem Angriff auf die Tesco Bank zum Einsatz gekommen sein. Dabei wurde vor einigen Wochen Geld von rund 20.000 Konten gestohlen. Dass durch einen Brute-Force-Angriff eine einzelne Bank getroffen wird, wäre dabei auf die Tatsache zurückzuführen, dass der erste Teil einer Kreditkarten-Nummer stets fest zu einem bestimmten Kreditinstitut gehört.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:15 Uhr 256gb USB Stick für iPhone MFI Zertifizierter Patianco USB 3.0 Speicherstick Externer Photostick für iPad Pendrive Flash Laufwerk für iOS,Android Handy,PC,Laptop,Daten Kopierten Mit Einem klic256gb USB Stick für iPhone MFI Zertifizierter Patianco USB 3.0 Speicherstick Externer Photostick für iPad Pendrive Flash Laufwerk für iOS,Android Handy,PC,Laptop,Daten Kopierten Mit Einem klic
Original Amazon-Preis
47,99
Im Preisvergleich ab
59,99
Blitzangebot-Preis
39,99
Ersparnis zu Amazon 17% oder 8
Im WinFuture Preisvergleich
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!