Verteilter Angriff: Kreditkartendaten in Sekunden zu "erraten"

Internet, E-Commerce, Kreditkarte Bildquelle: Fosforix / Flickr
Wer es drauf anlegt kann quasi ohne vorab vorhandene Informationen komplette Datensätze von Kreditkarten generieren und missbrauchen. Das haben Sicherheitsforscher jetzt nachgewiesen. Das Problem ist, dass bei den Banken faktisch kein Schutz vor verteilten Angriffen besteht. Um Transaktionen mit einer Kreditkarte auslösen zu können, benötigt man im Grunde drei Zahlen: Die Kreditkartennummer, das Ablaufdatum und den dreistelligen Sicherheits-Code. Die Payment-Systeme sind insbesondere darauf eingestellt, dass Angreifer versuchen, letzteren per Brute-Force-Angriff zu ermitteln, wenn sie die beiden ersten Angaben bereits haben. Daher wird nur eine begrenzte Zahl aufeinanderfolgender Eingabe-Versuche akzeptiert.

Der Schutz versagt allerdings, wenn Kriminelle beginnen, mit verteilten Attacken zu arbeiten. Das ist im Grunde kein besonderes Problem mehr, da beispielsweise Botnetze einfach angemietet und mit eigenem Code versorgt werden können. Wenn nun beispielsweise ein paar tausend Rechner auf hunderte oder gar tausende weltweit verteilte Online-Shops zugreifen und koordiniert Ziffernkombinationen durchprobieren, bis ein funktionierender Kreditkarten-Datensatz gefunden ist, erkennen dies die Schutzvorrichtungen im Hintergrund schlicht nicht.


In Sekunden zu funktionierenden Daten

Das Verfahren wurde von Sicherheitsforschern in einem wissenschaftlichen Paper genauer beschrieben, das im Journal IEEE Security & Privacy veröffentlicht wurde. Darin wird auch vorgerechnet, dass es im Zweifelsfall nur wenige Sekunden dauert, bis ein komplett neuer, funktionierender Datensatz generiert werden kann. Der Angreifer benötigt dafür keine Daten von in Umlauf befindlichen Kreditkarten, sondern nur ein Notebook, eine Internet-Verbindung und ein Botnetz, über das ein verteilter Angriff organisiert werden kann.

Die Methode könnte zuletzt bei einem Angriff auf die Tesco Bank zum Einsatz gekommen sein. Dabei wurde vor einigen Wochen Geld von rund 20.000 Konten gestohlen. Dass durch einen Brute-Force-Angriff eine einzelne Bank getroffen wird, wäre dabei auf die Tatsache zurückzuführen, dass der erste Teil einer Kreditkarten-Nummer stets fest zu einem bestimmten Kreditinstitut gehört. Internet, E-Commerce, Kreditkarte, Kreditkarten Internet, E-Commerce, Kreditkarte, Kreditkarten
2016-12-05T11:34:00+01:00
Diese Nachricht empfehlen
Kommentieren15
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 08:40 Uhr USB Stick 32gb+USB C 64gb+USB Stick 64gb+USB Stick 128gbUSB Stick 32gb+USB C 64gb+USB Stick 64gb+USB Stick 128gb
Original Amazon-Preis
17,98
Im Preisvergleich ab
17,99
Blitzangebot-Preis
14,39
Ersparnis zu Amazon 20% oder 3,59
Im WinFuture Preisvergleich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden