Verteilter Angriff: Kreditkartendaten in Sekunden zu "erraten"

Wer es drauf anlegt kann quasi ohne vorab vorhandene Informationen komplette Datensätze von Kreditkarten generieren und missbrauchen. Das haben Sicherheitsforscher jetzt nachgewiesen. Das Problem ist, dass bei den Banken faktisch kein Schutz vor ... mehr... Internet, E-Commerce, Kreditkarte Bildquelle: Fosforix / Flickr Internet, E-Commerce, Kreditkarte, Kreditkarten Internet, E-Commerce, Kreditkarte, Kreditkarten

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Also brauche ich genau 1000 Rechner, die alle mit einem bestimmten Sicherheitscode eine Zahlung durchführen sollen. Bei 999 schlägt diese fehl, nur bei einem Rechner funktioniert es. Simple Methode!
 
@Roy Bear: falsch. da man mehrere versuche hat, reduziert sich das ganze deutlich.
 
@kemo159: Ein simpler Captcha Code zur Kontrolle vor dem Absenden der Kreditkartendaten würde die Geschichte mit den Botnetzen doch ganz schnell massiv eindämmen, oder täusche ich mich da? Da sollte man die Shop Betreiber in die Pflicht nehmen bzw. haftbar machen.
 
@Jogibär: captcha kann von vielen Bots erkannt und gelöst werden.
 
@kemo159: kommt auf's captcha an...
 
Wieso erkennt der Server des Kreditkarteninstituts nicht, dass hier versucht wird die Kreditkarte mehrmals gleichzeitig zu nutzen? Wer hat da wieder gepfuscht?
 
@eshloraque: Wundert mich auch. Einen Kumpel hat sein Institut mal angerufen, dass seine Karte gesperrt wurde. Diese wurde fast zeitlich in Deutschland (war er selbst), in Paris und London benutzt. Also geografische Erkennungssysteme gibt es. Bei Online-Shops hat wahrscheinlich nie einer daran gedacht, dass man selten 20 Shops gleichzeitig besucht.
 
@eshloraque: So wie es hier im Artikel steht ist es schwierig zu erkennen denn:
Es wird nicht eine einzige Kreditkartennummer durchprobiert sondern tausende verschiedene Kreditkartenummern mit jeweils anderen Daten, so lange bis eine davon passt. Im Optimalfall wird kein einziges mal die selbe Kreditkartennummer genutzt.
D.h. man kann nicht dannach gehen, dass eine Nummer X mal falsch eingegeben wurde und auch nicht dannach dass ein und die selbe Nummer von verschiednenen Standorten benutzt wurde. Bei einem Botnetz kommen die Versuche nicht mal aus dem selben Netzwerk.
Eine falsche Anfrage aus einem Netzwerk mit je einer Nummer ist erstmal unverdächtig.
 
@Tyrannmisu: d.h. die haben eine 7-stellige Kontonummer, 60 mögliche Gültigkeitsmonate und 1000 mögliche Prüfziffern. Sind nur 600 Milliarden Anfragen um statistisch eine gültige Kreditkarte zu erhalten. Erscheint mir ein bisschen viel.
 
@eshloraque: Da gebe ich Ihnen durchaus Recht, aber genau dieser Angriff wird hier beschrieben. Ein wahlloses durchprobieren von Kreditkartendaten per verteiltem Bruteforce. Wie effektiv dies tatsächlich ist kann ich selbst nicht einschätzen, auf den ersten Blick würde ich auch sagen: Nicht besonders. Laut dem Sicherheitsforscher der hier zitiert wird wohl im Zweifelsfall nur wenige Sekunden bis ein Datensatz passt. Erscheint mir aber etwas utopisch.
 
@Tyrannmisu: Das wahllose Durchprobieren bezieht sich nicht auf die Kontonummern. Zwar behaupten die Forscher es würde auch mit den Nummern funktionieren, ausprobiert haben sie es aus ethischen Gründen aber nicht. Alles andere ist einfach. Da nicht jede Website alle Daten abfragt holt man sich von einige, die nur das Gültigkeitsdatum abholen, mit maximal 60 Versuchen dieses ab, bei den nächsten mit max. 1000 Versuchen die CVV2.

Funktioniert im Übrigen nur bei VISA, die anderen tracken die multiplen Versuche mit der gleichen Kartennummer sehr wohl.

Hier gibts das Paper: http://eprint.ncl.ac.uk/file_store/production/230123/19180242-D02E-47AC-BDB3-73C22D6E1FDB.pdf
 
Auf Brute-Force-Angriffe gibt es eine konzeptionell sehr einfache Lösung: Passwortstärke erhöhen. Statt 3 Ziffern Sicherheitscode, 12 alphanumerische Zeichen mit Groß- und Kleinschreibung. Die Chance auf nur einen Zufallstreffer bei 3 Versuchen pro Erdbewohner (es gibt ja nur endlich viele gültige Kreditkarten, die man angreifen kann) wäre grob geschätzt 0 ( basierend auf 1-(1-a)^n~=an, wenn a sehr klein ist. a ist ~10^(-20), n ist ~10^10).
 
@dpazra: das funktioniert so nicht, weil sich so ein passw/pin niemand merken kann...das einzige was praktikabel wäre, wäre nach jedem fehlversuch eine doppelte wartezeit bis zur nächsten möglichkeit und nach einer bestimmten zahl automatische sperre...zwischen den versuchen min 10min...ab dem zweiten fehlversuch dann die beantwortung einer geheimen frage, die aufs mobiltelephon gesendet wurde...dann weis auch gleich der besitzer bescheid...
 
@Rulf: Ich spreche vom Ersatz des CVC, der auf der Kartenrückseite steht und nicht auswendig gelernt werden muss. Es ist ein Geheimnis dessen Funktion es ist, die physikalische Präsenz der Karte bei demjenigen nachzuweisen, der sie Werte eingibt. Für diesen Zweck hat der CVC aber eine phänomenal geringe Stärke gegen Rateversuche.

Passwort/PIN/Mobil-TAN/allgemeine 2-Faktorverfahren sind Antworten auf eine andere (durchaus wichtigere Frage) nämlich die nach der Berechtigung die physisch vorhandene Karte tatsächlich zu nutzen. Mobil-TAN ist etabliert, komfortabel und kompliziert technisch anzugreifen. Meiner Meinung nach, haben Passphrasen noch zu wenig Aufmerksamkeit in diesem Feld, sie sind leicht zu merken, technisch nicht direkt angreifbar und sicher gegen Rateversuche.
 
@dpazra: in der heutigen Zeit, ist es Recht einfach auch dort die richtigen Daten zu kriegen. Ich sag nur Nokia + Bochum + Simemu.
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen