"Shopshifting": Gefahr beim elektronischen Bezahlen

Ende letzten Jahres haben Forscher brisante Schwachstellen bei elektronischen Bezahl-Terminals entdeckt. Sie betreffen die Kommunikationsprotokolle, über die das EC-Terminal-Gerät, die Kasse und der Bezahldienstleister miteinander “sprechen”. Hierbei handelt es sich um zwei verschiedene Protokolle, die jeweils Sicherheitsmängel aufweisen und eine erschreckende Bandbreite von Betrugsmöglichkeiten eröffnen.

Durch die Ausnutzung der Lücken könnten Angreifer z.B. Daten vom Magnetstreifen der EC-Karte und PINs auslesen. Auch könnten Gutschriften im Namen des Terminal-Besitzers auf beliebige Konten transferiert werden.

Außerdem haben die Nachforschungen und Tests ergeben, dass viele EC-Kartengeräte den gleichen Schlüssel verwenden, mit dem man Geräteeinstellungen vornehmen kann. Noch dazu waren Passwörter für das Service-Management eines Payment-Dienstleisters offen im Internet zu finden. Damit ließ sich ein Terminal-Gerät neu konfigurieren und einem anderen Händlerkonto zuordnen. So können die Einnahmen eines Händlers problemlos umgeleitet und einem anderen gutgeschrieben werden.

Besonders heikel: Die Sicherheitslücken erlauben es darüber hinaus, Händler-Terminals zu klonen. Den Sicherheitsexperten ist es gelungen, ein auf Ebay günstig ersteigertes Terminal mit falscher Identität bei einem Bezahldienstleister anzumelden. Die Hürden dafür waren nicht hoch, so wird z.B. die hierfür benötigte Terminal-ID auf jeden Zahlungsbeleg gedruckt.

Es braucht nicht viel Fantasie, sich groß angelegte Betrugswellen auszumalen, zumal sich die Angriffe leicht automatisieren lassen. Die Terminal-IDs werden fortlaufend vergeben und sind entsprechend leicht vorherzusagen. Hier sind Zahlungsdienstleister und Banken gefordert, schnellstens Abhilfe zu schaffen und ihre Prozesse zu prüfen und abzusichern. Wichtig ist insbesondere, dass die Terminalgeräte individuelle Keys erhalten.