Der Artikel in Kürze
Um die Daten von Visa-Kreditkarten zu entschlüsseln, benötigen Hacker lediglich einen Rechner mit Internetverbindung und eine spezielle Software um durch Raten an die sensiblen Zahlen zu kommen. Für echte Könner ist diese Sicherheitslücke in Kombination mit Programmen, die die Kartennummern, das Ablaufdatum oder den Sicherheitscode erraten können, ausreichend. Doch was bedeutet das für die Kunden?
In sechs Sekunden: Distributed Guessing Attack ermöglicht Hack
IT-Sicherheitsexperten der Newcastle University zeigten im Zuge ihrer Forschung, wie schlecht es um die Sicherheit von Visa-Karten bestellt ist und haben eine neue Diskussion zum Thema Kreditkartenbetrug angestoßen. Der Ausdruck Distributed Guessing Attack steht im Zentrum der Diskussion. Diese Methode ist ein verteilter Rate-Angriff mit welchem es den Forschern gelungen ist, die korrekten Kartendaten einer beliebigen Karte in nur sechs Sekunden zu erraten.
Wo liegt die Sicherheitslücke?
Für das Hacken der Kreditkartendaten nutzen Hacker eigentlich mehrere Sicherheitslücken aus. Die Experten lassen die spezielle Software zehn bis 20 Mal auf mehreren E-Commerce-Websites verschiedene Zahlenkombinationen durchprobieren. Da bei den verschiedenen Onlineshops oft unterschiedliche Daten abgefragt werden, können die Hacker so einzelne Teile der Kreditkartendaten auf Knopfdruck binnen weniger Sekunden erraten lassen. Angreifern ist somit nach und nach möglich die richtigen Daten wie ein Puzzle zusammenzusetzen. Das Ergebnis ist allerdings kein anschauliches Puzzle-Bild von einer Landschaft oder einem Haustier, sondern die sensiblen Daten zahlreicher Kreditkartenbenutzer.
Ein vereinfachtes Beispiel: Um den Security Code - die dreistellige Prüfnummer, die immer auf der Rückseite der Kreditkarte angegeben wird - zu erraten, müsste man unzählige Kombinationen testen. Der Trick liegt laut Forschern der Newcastle University darin, diese Versuche auf 1000 Websites zu verteilen. So erhält man nach wenigen Sekunden die richtige gewünschte Nummer.
Wie können sich Visa-Kunden schützen?
Nun stellt sich die Frage, wie sich Kreditkarten-User vor Betrug und Datendiebstahl schützen können. Laut Martin Emms - Mitautor des Fachbeitrags in IEEE Security & Privacy - gibt es für Visa-Kunden und auch Kreditkartenkunden anderer Institute keine Patentlösung gegen die derzeitigen Betrugsmethoden. Wenn Sie ein paar Ratschläge beachten, können Sie den Schaden begrenzen und bösen Überraschungen vorbeugen. So empfiehlt es sich beispielsweise nur eine Kreditkarte für Online-Einkäufe zu benutzen. Außerdem sollte der Rahmen für Transaktionen klein gehalten werden. Ein regelmäßiger Blick auf die Kreditkartenübersicht ist selbstverständlich immer ratsam, um ihre Kreditkarte auf auffällige Abbuchungen zu überprüfen.
Visa meldet sich zu Wort
Eine Stellungnahme des Kreditkarteninstitut zum möglichen Hack ließ nicht lange auf sich warten. Die Forschung der Newcastle University berücksichtige nicht die mehreren Ebenen von Betrugsprävention, die im Bezahlsystem existieren. Das Unternehmen verweist außerdem auf das Sicherheitssystem Verified by Visa, das sämtliche Online-Transaktionen sicherer gestalte und Betrug verhindere. Kritiker bemängeln, dass Verified by Visa gerade bei auf Privatsphäre optimierten Browser-Einstellungen einige Probleme mit sich bringt.
Quellen:
