ePerso: Hacker zeigt PIN-Diebstahl ohne Malware

Jan Schejbal von der Piratenpartei hat eine neue Social-Engineering-Attacke, welche mit einem klassischen Phishing-Angriff vergleichbar ist, im Zusammenhang mit dem elektronischen Personalausweis demonstriert. Zu diesem Zweck wurde ein FSK18-Bereich auf der Webseite der Piratenpartei zur Verfügung gestellt. Die Besucher werden an dieser Stelle zur Alterskontrolle aufgefordert. Anstelle der AusweisApp startet allerdings ein von Schejbal entwickeltes JavaScript-Programm.

Optisch sind im Vergleich zur echten AusweisApp kaum Unterschiede festzustellen. Die Besucher werden nach dem Start der Anwendung aufgefordert, ihre PIN einzugeben. Im Anschluss daran wird die PIN an die Betreiber der Webseite übermittelt und die Besucher werden über den Zweck dieser Anwendung informiert.

ePerso: Piratenpartei zeigt PIN-Diebstahl

Entgegen der optischen Ähnlichkeit gibt es jedoch Unterschiede im Hinblick auf die Funktionalität. Beispielsweise kann die PIN nicht über die in der echten AusweisApp vorhandene Bildschirmtastatur eingegeben werden. Zudem reagiert die von Schejbal entwickelte Anwendung nicht auf alle Schaltflächen.

Laut dem Hacker könnten diese Funktionen ohne Probleme nachgerüstet werden. Er sei lediglich zu faul gewesen, diese Möglichkeiten entsprechend zu programmieren, heißt es in seinem Blogbeitrag zu diesem Thema.

Diese Nachricht empfehlen

Kommentieren58

Weitere Nachrichten zum Thema Frankreich: Hacker nach Demo-Hack verhaftetChina: Hacker haben Energiekonzerne angegriffenPersonalausweis hat Probleme mit SonderzeichenNeue Panne im elektronischen PersonalausweisCeBIT 2011: Freier Eintritt mit e-PersonalausweisOpposition fordert Stopp des E-Personalausweises