Schlagwort-Archive: Kreditkarte

Verifiziert von Visa?

Originalartikel von Rik Ferguson, Director Security Research & Communication EMEA


Quelle: johnsnape’s Flickr

Visas 2001 eingeführtes Sicherheitsprotokoll 3DS  (3 Domain Secure) war ein Versuch, den Kreditbetrug beim Online-Einkauf einzudämmen. Das Protokoll ist besser bekannt unter den Bezeichnungen, die es bei den verschiedenen Kreditkartenherausgebern erhielt: „Verified by Visa“, „Mastercard Secure Code“,J/Secure” (JCB International) und “SafeKey” (American Express). Leider stellt 3DS keinerlei Hürde für Betrüger dar – zumindest nicht in der Art, wie die Kartenanbieter das Protokoll implementieren.

Visa schreibt in „Haben Sie noch Fragen“ auf der Website: „Verified by Visa schützt Ihre Karte vor unautorisierten Transaktionen und bietet Ihnen umfassende Sicherheit beim Online-Shopping.“ Und weiter an anderer Stelle: „Sie können Ihr Passwort zurücksetzen lassen.“ Hier aber liegt das Problem.

Es handelt sich um eine sehr grundlegende Design-Sicherheitslücke. Tätigt ein Verbraucher einen Einkauf bei einem Händler, der an diesem Programm teilnimmt, so wird er in der Bezahlphase an eine 3DS-Verifizierungsseite weitergeleitet. Hier muss er die Einzelheiten der Transaktion bestätigen, sein Kennwort angeben, und damit ist die Transaktion komplett. Der Händler bekommt das Kennwort nie zu sehen, und keine Transaktion kann ohne dieses Passwort durchgeführt werden. Soweit so gut , aber …

Was würde ein Krimineller tun, der zwar die Karteninformationen des Verbrauchers hat, aber nicht sein Kennwort? Hier kommt ihm der Link „Passwort vergessen“ gerade recht. Im ersten Schritt beim Zurücksetzen des Kennworts muss der Karteninhaber seine Kartennummer angeben, damit das Passwort des richtigen Kontos geändert wird. Danach werden weitere Daten abgefragt, die beweisen, dass es sich um den legitimen Inhaber handelt. Folgende Abbildung zeigt die Identifizierungsphase:

Der zweite Schritt beim Zurücksetzen des Kennwort

 

Nun, das sieht gar nicht gut aus! Drei von vier Informationen, die die Identität prüfen sollen, sind auf der Kreditkarte an sich enthalten, sei es gedruckt oder auf dem Magnetstreifen. Was, wenn der Kriminelle bereits Zugriff darauf hat? Übrig bleibt eine einzige, nicht auf der Karte vorhandene Information. Die jedoch ist nicht nur weit verbreitet in sozialen Netzwerken, Umfragen und an vielen anderen Orten, sie ist auch frei verfügbar in öffentlichen Datenbanken: Es ist das Geburtsdatum.

Nach Angabe der erforderlichen Informationen kann der Verbraucher jetzt ein neues Kennwort seiner Wahl angeben – und damit ist die Transaktion autorisiert. Schlimmer noch, der Karteninhaber erhält keine Mail-Benachrichtigung darüber, dass auf sein Konto zugegriffen und sein Kennwort geändert wurde. Erst ein Blick in die Kontoauszüge offenbart den Schaden.

Verbesserungsvorschläge? Es wären lediglich ein paar wirklich grundlegende Schritte in diesen Prozess einzubauen:

  • Bei der Anmeldung an dieses Sicherheistssystem sollte der Karteninhaber eine Reihe “geheimer Fragen” festzulegen haben, die später als Authentifizierungsdaten beim Ändern eines Kennworts dienen können.
  • Anstatt sich zum Reset-Menü durchzuklicken, könnte der Kartenhalter per Mail ein einmaliges Kennwort für das Zurücksetzen bekommen.
  • Sobald eine Änderung der Konteninformationen angefragt wird, sollte der Inhaber ein Benachrichtigung darüber erhalten.

Und noch etwas: Es wäre schön, wenn das Kennwort Sonderzeichen enthielte.

Europäische Kunden Opfer eines großangelegten Kreditkartendiebstahls

Original Artikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Die ursprünglichen Berichte über einen möglichen groß angelegten Diebstahl von Kreditkartendaten von einem spanischen Dienstleister sind gelinde gesagt dürftig, und der Mangel an Informationen trägt nicht dazu bei, die Befürchtungen der Kreditkartenkunden in Europa zu zerstreuen.


Kreditkartendetails zum Verkauf in einem Untergrundforum

In einer Pressemitteilung erklärte der Zentrale Kreditausschuss, die deutschen Banken hätten „auf die Warnmeldung von VISA und Mastercard hinsichtlich eines möglichen Diebstahls bei einem spanischen Unternehmen auf Kreditkartendaten deutscher Kunden umgehend reagiert.“ Der betroffene spanische Dienstleister wurde bislang noch nicht genannt, denn die Untersuchungen der Polizei laufen noch. Allgemein wird jedoch angenommen, dass es sich um einen Finanzdienstleister handelt, der sich um die Zahlungsabwicklung von Kreditkartentransaktionen ausländischer Kreditkarten in Spanien kümmert.

Als reine „Präventionsmaßnahme“ haben viele deutsche Banken damit begonnen, mehr als 100.000 Kreditkarten zu annulieren und mit neuen zu ersetzen. Auch in Österreich, Schweden und in Finnland werden laut entsprechender Berichte Ersatzkreditkarten vergeben.

Ralf Palm, ein Sprecher der Postbank stellte fest, es habe Kundenbeschwerden über Unregelmäßigkeiten und Fehlbeträge gegeben, und auch die Bank selbst habe solche Unregelmäßigkeiten bereits entdeckt. Offensichtlich wollte er damit andeuten, dass die gestohlenen Informationen bereits im kriminellen Untergrund im Umlauf sind.

Über das Ausmaß des Datenklaus herrscht noch keine Klarheit, weder weiß man, wie viele Menschen davon betroffen sind noch welcher Art die gestohlenen Daten sind. Ein weiteres Indiz, dass es sich um ein europaweites Problem handelt, liefert ein Bericht der BBC, wo es heißt, „die britischen Kunden werden direkt kontaktiert, wenn der Verdacht eines Risikos besteht“.

Trotz der bisher mageren Details über den Datendiebstahl drängt sich eine beunruhigende Parallele zu dem Diebstahl beim Heartland Payment Systems in den USA auf. Dabei wurden Informationen über mehr als 130 Millionen Kreditkarten und Kontokarten geklaut.

Falls Sie also in den letzten Monaten in Spanien mit Ihrer Kreditkarte gezahlt haben, scheint es sinnvoll die Kontoauszüge Ihrer Bank zu kontrollieren.