Fachartikel vom 08/20/2018

IT-Risiko der Woche Mobile Kartenlesegeräte stehlen die PIN

Kleine, handliche, mobile und günstige mobile Kartenlesegeräte sind die beste Voraussetzung fürs Bezahlen bei Food Trucks, Lieferservices, Pop-Up-Restaurants und Marktständen. Leider scheint es, als ob sie auch mit einigen Sicherheitslücken bestückt sind, die es Hackern erlauben, Kreditkarteninformationen zu stehlen oder den zu zahlenden Betrag heimlich zu erhöhen.

Bild: Avira
Bei einigen mobilen Lesegeräten für Kreditkarten können Unbefugte die PIN auslesen oder den Zahlungsbetrag manipulieren. (Bild: Avira)

Man genießt ein gutes Essen in einem kleinen Pop-Up-Restaurant, verbringt dort einen schönen Abend mit Freunden und bezahlt dann in Ruhe die Rechnung. Normalerweise zahlt man ja bar, aber diesmal hat man einfach nicht genug Geld dabei. Kein Problem, denn man kann ja auch via Karte zahlen. Gesagt, getan. Ein paar Tage später beim kurzen Blick aufs Bankkonto fällt es dann auf – irgendwie ist der abgebuchte Betrag leicht höher als die Rechnung hergibt. Klar, man könnte versuchen das zu regeln, aber das kostet dann wieder Zeit und Mühe. Ist es das für Cent-Beträge wirklich wert?

Laut Sicherheitsforschern ist das obige Szenario gar nicht mal so unrealistisch, zumindest wenn man bei einem Dienstleister zahlt, der ein mobiles Kartenlesegerät nutzt. Diese zeichnen sich dadurch aus, dass sie klein, handlich und mobil sind, normalerweise an einem Tablet oder Smartphone angeschlossen sind und einen sehr geringen Anschaffungspreis haben.

Billige Kartenlesegeräte, schlechte Sicherheit

Sicherheitsforscher von Positive Technologies haben sich sieben dieser Geräte angesehen, die alle weniger als 50 US-Dollar kosten. Einige davon sind sogar von bekannten Firmen wie Paypal und Square. Das Ergebnis ist schockierend: Fünf der Geräte erlauben es Cybergaunern oder betrügerischen Verkäufern, die Kunden übers Ohr zu hauen und sie mehr zahlen zu lassen als nötig, während man über zwei Geräte sogar die PIN auslesen kann.

5 Minuten reichen für einen Hack aus

Die erste Sicherheitslücke basiert auf einem Bluetooth-Exploit. Der Hacker kann hier die verschlüsselte Bluetooth-Verbindung zwischen dem Kartenleser und dem mobilen Terminal abhören und an den Preisen herumspielen: Die letztendliche Rechnung wird dann höher sein, als das was der Kunde auf dem Gerät zu sehen bekommt.

Mehr auf Sicherheit.info

Die zweite Lücke, die es den Cyberkriminellen erlaubt PINs zu stehlen, wies nur die Gerätereihe auf, die von Miura produziert wird. Sowohl Paypal als auch Square nutzen solche Geräte – zumindest bisher. Damit der Angriff ausgeführt werden kann muss wahrscheinlich ein wenig Vorarbeit geleistet werden, denn er verlangt eine alte Version der Firmware, die die Hacker unter anderem zuerst installieren müssen. Laut den Sicherheitsforschern kann so eine Attacke allerdings dennoch in nur wenigen Minuten durchgeführt werden.

Unsichere Geräte sind weiter in Umlauf

Während die entsprechenden Firmen die Sicherheitslücken so schnell wie möglich schließen wollen, ist das nur die halbe Miete. Alte mobile Kartenlesegeräte bleiben schließlich in Umlauf und werden größtenteils weiterhin angreifbar bleiben. Auch heißt das nicht, dass nicht bald schon neue Angriffsflächen entstehen können: Bei einem Preis von unter 50 US-Dollar ist es letzten Endes eher unwahrscheinlich, dass sehr viel Geld für ausgiebige Suchen nach Sicherheitslücken ausgegeben wird.

Nicole Lorenz, PR & Social Media Manager bei Avira.
Der Originalbeitrag stammt aus dem Blog von Avira.

Kontakt- und Firmen-Infos im Branchenverzeichnis