Angriff der Karten-Kloner

14.12.2007 15:36 Uhr Daniel Bachfeld

Mit ausgespähten Kartendaten räumen Betrüger Bankkonten leer. Die Methoden sind simpel und doch so raffiniert, dass man als Bankkunde kaum eine Chance hat, dem Betrug zu entgehen.

Online-Banking machen Sie nicht, Ihre EC-Karte steckt noch im Portemonnaie, die PIN haben Sie geheim gehalten, und trotzdem hat jemand Geld von Ihrem Konto abgehoben? Vielleicht sind Sie das Opfer eines Skimming-Angriffs: Mit manipulierten Geldautomaten sammeln Betrüger die Daten von EC-Karten, um davon Kopien anzufertigen und später Geld abzuheben. Die erforderliche PIN wird einfach elektronisch mitgelesen.

Auch in Geschäften oder an Tankstellen ist man vor solchen Angriffen nicht sicher. Kredit- und EC-Karten-Terminals werden oft ohne Wissen des Ladeninhabers manipuliert. Von dem Angriff bemerken auch die Opfer gewöhnlich erstmal nichts. Der Schlag trifft die meisten erst Wochen später, wenn die Kriminellen mit den Kartenkopien die Konten leerräumen.

War bislang Phishing in aller Munde, macht nun Skimming (bedeutet im Englischen so viel wie abschöpfen) die Runde. Nach Angaben der Landeskriminalämter sind die dadurch verursachten Schäden in den letzten Monaten rasant angestiegen. Allein in Nordrhein-Westfalen verzeichnete das Landeskriminalamt dieses Jahr bis Oktober 120 Fälle von Manipulationen, während es im gesamten Vorjahr 68 Skimming-Angriffe registrierte.

Bei einem einzigen Angriff tappen oft viele Opfer in die Falle. Gezählt haben die LKAs nur solche Vorkommnisse, bei denen die Bank selbst die Manipulation bemerkte und beim LKA zur Anzeige brachte oder die Gaukelei aufflog, als ein Kunde plötzlich Teile des Geldautomaten in der Hand hielt. Das LKA Bayern gelangte auf diese Weise zwischen Januar und März an 23 Aufsatzgeräte und sechs Videoleisten, mit denen die Karten- Kloner die Automaten manipulierten, um Kartendaten abzufangen.

Von den Polizeibehörden sind genaue Zahlen schwer zu erhalten, da es in diesem Bereich keine zentrale Erfassung gibt. Meistens landet die Anzeige eines Skimming-Vorfalls bei der Polizeidienststelle um die Ecke, die das Delikt statistikfeindlich als Zahlungskarten- Kriminalität verbucht. Aussagekräftige Zahlen liefert indes die von der EURO Kartensysteme GmbH betriebene Zentrale Debit-Schadensbekämpfung (ZDS), an die Banken die Daten verschiedener Schadensfälle mit Maestro-EC-Karten weiterleiten. Die ZDS sucht anhand der übermittelten Schadensdaten nach einem gemeinsamen Nenner, beispielsweise den manipulierten Automaten einer bestimmten Bank, den alle Opfer in einem bestimmten Zeitraum benutzt haben.

Tastatur-Skimmer — Muss das so aussehen? Manchmal wird nur die Original-Tastatur (rechts) mit einem Aufsatz (links) überklebt, manchmal auch die komplette Leiste (unten).

Alarmierendes Ergebnis der ZDS: Allein von Januar bis September 2007 wurden 891 Skimming-Angriffe an 251 Automaten bundesweit entdeckt. Offenbar sind einige der Automaten bei Skimmer-Banden sogar so beliebt, dass sie des Öfteren Ziel von Manipulationen sind. Nordrhein-Westfalen führt die Statistik mit 438 Attacken einsam an, an zweiter Stelle steht Baden-Württemberg mit 129 Manipulationen. Bis der Schnittpunkt solcher Fälle aber gefunden ist, vergehen Monate, mögliche Beweise wie Videoaufnahmen der Kameraüberwachung sind längst überspielt und die meist aus Rumänien oder Bulgarien stammenden Täter über alle Berge. Bislang haben die Banken alle vom ZDS nachgewiesenen Skimming- Schäden kulant erstattet. Einen Skimming- Fall, bei dem ein Opfer auf dem Schaden sitzen geblieben ist, soll es bislang nicht gegeben haben.

Die Skimming-Ausrüstung besteht aus einem Miniatur-EC-Kartenleser, der den Magnetstreifen der Karte ausliest und einer Videoleiste, die die PIN-Eingabe aufzeichnet. Der Mini-Leser wird einfach mit doppelseitigem Klebeband von außen vor den Leseschlitz des Geldautomaten geklebt. Für das ungeübte Auge ist das Mini-Lesegerät kaum zu erkennen, da es in Form und Farbe zum Geldautomaten passt. Manchmal installieren die Banden auch eine vollständige neue Frontplatte aus feinem Stahlblech. Die abgegriffenen Daten werden gespeichert und nach dem Abbau in einen PC übertragen oder gleich per Funk an die vor der Bankfiliale im Auto wartenden Betrüger übermittelt.

Die Videoleiste birgt eine kleine Kamera, die durch ein winziges Loch auf das Tastaturfeld schaut; sie wird meist im oberen Bereich des Automaten platziert. Manchmal montieren die Betrüger die Kamera auch an der Seite, etwa hinter dem bei einigen Automaten zu findenden Prospekthalter. Auch die Videoaufzeichnung der PIN-Eingabe wird meistens zwischengespeichert. In anderen Fällen benutzten die Kartenkopierer statt der Kamera eine Nachbildung der Tastatur, die auf das Original geklebt wurde. Die Anschläge werden mechanisch an die echte Tastatur durchgereicht und dabei protokolliert. Mit diesem Trick arbeiten meistens die rumänischen Skimmer-Banden, während die bulgarischen Banden die Videomethode vorziehen.

Angepappt

Natürlich sollen die Skimming-Module nicht auffallen. Deshalb fertigen die Betrüger exakt passende Aufsätze für verschiedene Modelle von Bankautomaten. Sie bevorzugen bestimmte Automaten bei bestimmten Banken, so wie das Wincor-Nixdorf- Modell ProCash 2050 und einige Geräte von NCR. Kunden der größeren Banken sind grundsätzlich eher gefährdet, Opfer von Skimmer-Banden zu werden als Kunden von kleinen Banken oder solchen mit dünnem Filialnetz. Die Vorsatzgeräte werden nach Erkenntnissen der LKAs in Serie produziert und sind über einschlägige Websites zu beziehen. Sie enthalten in feiner SMDTechnik ausgeführte Mikrocontroller-Schaltungen, die nicht größer sind als ein Daumennagel.

Komplettaufsatz — Original (oben) und Fälschung: Statt eines Aufsatzes haben die Betrüger gleich eine zusätzliche Frontplatte angebracht. Auf der Rückseite ist die komplette Elektronik nebst Akkupack untergebracht.

Bleibt man auf der sicheren Seite, wenn man kein Bargeld aus dem Automaten zieht? Keineswegs, denn auch in Geschäften und Tankstellen stellen Kriminelle den Kartenbenutzern nach. Dort kommen ganz simple Tricks zum Einsatz: Ein Angestellter, der mit den Betrügern gemeinsame Sache macht, zieht die ausgehändigte Karte zunächst durch den echten Kartenleser und anschließend durch einen zweiten, um die Daten für eine Kopie zu sammeln. Die PIN liest er bei der Eingabe heimlich mit, oder er fordert den Kunden zur wiederholten Eingabe der PIN auf dem Skimming-Gerät auf.

Mittlerweile häufen sich aber auch Fälle, in denen die Betrüger in Läden einbrechen und unbemerkt die Original-EC-Kartenleser mit Modulen zum Speichern der eingegebenen Daten nachrüsten. Zuletzt traf es einen Baumarkt in Hessen, bei dem das manipulierte POS-Terminal an der Kasse über vier Woche lang Daten von 560 EC-Karten mitprotokollierte. Der Schaden betrug 850.000 Euro, den allerdings die Banken trugen. Freilich funktioniert das nur dort, wo zum Bezahlen die PIN abverlangt wird – beim Lastschriftverfahren mit Unterschrift können die Skimmer keine PIN mitlesen.

Grenzüberschreitend

Die Abhebungen finden immer im Ausland statt, um einen besonderen Schutz deutscher Karten zu umgehen: EC-Karten deutscher Ausgabestellen sind mit dem moduliert maschinenfähigen Merkmal (MM-Merkmal) ausgestattet. Dabei handelt es sich um dielektrisch unterschiedliche Materialien, die in die Karte eingelassen sind und sich kapazitiv abtasten lassen. Die Leseeinheit im Geldautomaten verknüpft den MM-Code mit den verschlüsselten Informationen des Magnetstreifens. Bei Nichtübereinstimmung wird die Karte in der Regel von deutschen Geldautomaten abgewiesen. Dieses schwer fälschbare Merkmal wird aber aus Kostengründen im europäischen Ausland nicht angewandt. Deshalb genügen billige Kartenträger für die Kopien.

Solch einen dilettantischen Skimmer (links) dürfte man allerdings auch ohne Brille erkennen. Der Skimmer rechts dürfte indes wohl kaum noch weiter zu verkleinern sein.

Die Betrüger müssen also in mindestens zwei Ländern tätig werden; Ermittler sprechen hier von Cross Border Fraud, also grenzüberschreitender Kriminalität. Der Aufwand lohnt aber trotzdem, da deutsche Konten nach landläufiger Einschätzung besser gefüllt sind als die von Kunden in anderen Ländern. Nichtsdestotrotz ist Skimming aber nicht auf Deutschland beschränkt, es ist mittlerweile zu einem globalen Problem geworden.

Auslandsabhebungen sind bei deutschen EC-Karten respektive deren Dubletten zwar von Bank zu Bank in unterschiedlicher Höhe limitiert, aber in der Regel nur für eine bestimmte Summe pro Tag. Ehe das Opfer seine Kontoauszüge kontrolliert hat, kann der Täter bereits mehrfach den täglichen Verfügungsrahmen ausschöpfen und das Konto leerräumen.

Aufsatzskimmer — Die einzelnen Auf- und Einsatzgeräte sind so gut an den Automaten angepasst, dass die Manipulation kaum auffällt.

Nach Erkenntnissen des LKA Niedersachsen geben sich die Betrüger weder beim Skimmen noch beim Abheben viel Mühe, eine Tarnung aufzubauen. Wegen der hohen Fluktuation in den Skimmer-Banden sehe man dieselben Täter selten bei einem anderen Raubzug wieder. Ihrer habhaft zu werden ist ohnehin schwer, da sie die Aufsatzgeräte und Videokameras meist nach wenigen Stunden wieder von den Bankautomaten entfernen und in die nächste Stadt ziehen. Bei hoch frequentierten Bankfilialen in den Fußgängerzonen und Bahnhöfen größerer Städte reicht das aus, um an die Daten mehrerer Dutzend Opfer zu gelangen.

Zudem gehen die Banden arbeitsteilig vor: Eine Gruppe stellt die Skimming-Ausrüstung her, eine transportiert sie, eine weitere baut sie an und wieder ab und übermittelt die ausspionierten Daten. Die vierte Gruppe stellt die Kartenkopien her, die fünfte Gruppe räumt damit die Konten ab. Aber trotz aller Hakenschläge der Täter gelingt es mitunter doch einmal, ein paar Individuen auf frischer Tat beim Anbringen oder Entfernen ihrer Attrappen zu schnappen. Meist hatte dann aber Kollege Zufall die Hände im Spiel.

Gegenmittel

Zwar können die Ermittlungsbehörden nur selten Erfolge bei der Verfolgung der Kriminellen vorweisen, doch gibt es immerhin Ansätze zu einer wirksamen Abwehr: Viele der großen Bankhäuser treffen Maßnahmen, um die Manipulation ihrer Automaten zu erkennen und zu verhindern. Einige der Geräte haben mittlerweile Anti-Skimming-Technik eingebaut, andere lassen sich damit nachrüsten. Der Hersteller Wincor Nixdorf etwa baut Induktionsspulen ein, um ein im Bereich des Karteneinzugs montiertes Skimming-Modul zu erkennen. Im Verdachtsfall wird der Automat außer Betrieb genommen. Die Sache hat aber einen Haken: Jedes Stückchen Metall in der Nähe des Einzugschlitzes lässt den Automaten herunterfahren. Da dies zu Kinderstreichen verlockt, nutzen die Banken diese Funktion lieber nicht.

Nicht immer kommt alles schlechte von oben, manchmal spähen die Skimmer die PIN auch von der Seite aus dem Prospekthalter aus.

Hersteller NCR setzt ein Verfahren ein, das ohne Zusatzmodul auskommt: Die Karte wird beim Einzug ruckartig hinein- und herausbewegt, was verhindern soll, dass sich der EC-Kartenleser im Skimming-Modul auf den Magnetstreifen synchronisieren kann. Allerdings hilft dieses sogenannte Jittering nur gegen solche Module, die die Daten in Binärform auslesen und auf der Karte speichern. Gegen Module, die den Verlauf des Magnetfelds in Rohform speichern, soll es nicht helfen, da sich der Jitter später im Labor der Kartenfälscher herausfiltern lässt. Bei der mit 1700 NCR-Automaten ausgestatteten Postbank sollen die Betrüger schon einige Erfolge mit solchen Jitter-Proof-Modulen erzielt haben. Diebold setzt ganz einfach auf eine Kamera, mit der das Aussehen des Automaten überwacht wird. Dabei beobachtet meist ein Angestellter das Kamerabild; so- bald sich etwas ändert, wird der Automat abgeschaltet.

Videoleiste — Zwischen den vielen Akzeptanzaufklebern filmt eine Videokamera das Tastaturfeld mit.

Mit aktiver Gegenwehr arbeitet das Modul CPK+ des Automatenzulieferers und Dienstleisters Synfis: Mittels eines modulierten Wechselmagnetfeldes stört es den Magnetkopf eines aufgesetzten Skimming-Moduls. Sobald die Karte am Aufsatz vorbei ist und im Automaten steckt, schaltet sich das Modul ab. Nach Angaben von Synfis arbeitet das Modul herstellerübergreifend. Bislang sind nach Herstellerangaben 1000 Stück in deutsche Automaten verbaut worden, weltweit zählt man knappe 20.000. Unter anderem hat die Sparkasse Hannover inzwischen all ihre Geldautomaten von Wincor Nixdorf zum Stückpreis von 990 Euro nachträglich mit CPK+ ausgestattet. Nach Angaben des Institutes gab es hier bislang zwar noch keine Schäden durch Skimming, man wolle aber auf Nummer sicher gehen.

Nicht schuld!

Wie viele der 53.000 bundesweit aufgestellten Automaten aller Banken derzeit über Anti-Skimming-Funktionen verfügen, ist unbekannt. Eine Verdrängung der Banden aus bislang stark Skimming-belasteten Städten soll aber zu verzeichnen sein. Durch die Gegenmaßnahmen sollen immerhin zahlreiche Betrugsversuche erkannt und abgewehrt worden sein. Den verhinderten potenziellen Schaden beziffert die ZDS auf rund 45 Millionen Euro. Allerdings nimmt Skimming nur einen kleinen Teil in der Betrugsstatistik mit Debitkarten ein. Nach wie vor werden EC und Kreditkarten in erster Linie in Kaufhäusern und Geschäften, aus PKWs und Wohnungen oder durch Straßenraub gestohlen.

Das Anti-Skimming-Modul CPK+ der Firma Synfis unterstützt zusätzlich 30 Sensoren, mit denen sich zahlreiche Manipulationen und Zustände eines Geldautomaten registrieren lassen.

Eine grundsätzliche Lösung des Skimming- Problems könnte die bereits 2005 beschlossene Einführung des EMV-Standards bringen, bei dem die Kartendaten nicht auf dem Magnetstreifen gespeichert sind, sondern auf einem Chip. Sowohl ein Geldautomat als auch ein Terminal im Laden kommunizieren dann nur noch verschlüsselt mit der Karte – ein Karten- Kloner hätte keine Chance, mit den mitgelesenen Daten etwas anzufangen. Doch bislang weisen nur knapp 60 Prozent der ausgegebenen Karten einen solchen Chip auf, und nur 40 Prozent der rund 600.000 EC-Kartenterminals können damit auch etwas anfangen. Auch im Ausland ist der Standard noch nicht überall verbreitet, in den USA etwa wird er gar nicht angewandt. Daher sind die Karten immer noch parallel mit einem kopierbaren Magnetstreifen ausgestattet. Hier ist der Kartenbesitzer aber fein raus: Seit 2005 gilt die sogenannte Haftungsumkehr. Demnach muss immer derjenige Partner für Betrugsfälle im Kartensektor haften, der nicht EMV-fähig ist – das kann die Bank oder das Geschäft sein.

Obacht

Üblicherweise folgen an dieser Stelle in c’t- Artikeln immer Hinweise, wie man sich schützen kann. Allerdings raten sowohl die Polizei als auch die Banken davon ab, die Bankautomaten auf etwaige Manipulationen zu untersuchen. Das Rütteln an Tastatur und hervorstehenden Elementen sollte man tunlichst unterlassen, da einer der Täter sehr wahrscheinlich noch in der Nähe ist und seine Reaktion auf den Abriss und den somit nahenden Verlust seines Equipments schwer vorherzusagen ist. Die Sparkassen empfehlen, bei einem Verdacht – oder wenn sich ein Vorsatzgerät von alleine vom Automaten löst – sofort den rund um die Uhr besetzten Sicherheitsleitstand über den in jedem Schalterraum vorhandenen Notruf zu verständigen.

Ein paar Vorsichtsmaßnahmen gibt es trotzdem: Da die PIN zur EC-Karte hauptsächlich per Kamera von oben ausgespäht wird, hilft es schon, das Tastaturfeld bei der Eingabe etwa mit einer Zeitung abzudecken. Im Übrigen verhindert diese Maßnahme auch das konventionelle Ausspähen der Geheimzahl durch den Hintermann. Auch sollten sich Kartenbenutzer kürzere Kontrollzyklen des Kontostandes angewöhnen, um kurzfristig auf ungewollte Abhebungen reagieren zu können und das Konto schnell sperren zu lassen. Einige Institute wie die Volks- und Raiffeisenbanken, Sparda-Banken und andere bieten auch die Möglichkeit, jede Kontobewegung per SMS auf das Handy mitgeteilt zu bekommen.

Links

[1] Skimming-Angriffe [1]
[2] Betrug am Geldautmaten [2] (dab [3])

URL dieses Artikels:
https://www.heise.de/-270934

Links in diesem Artikel:
[1] http://www.cyberfahnder.de/nav/them/phish/skimming.htm
[2] http://www.pfiffige-senioren.de/geldautomat-faelle.htm
[3] mailto:dab@ct.de