Kreditkartendaten-Diebstahl an manipulierten Kassen bzw. POS-Terminals

Jetzt ist es wieder einmal passiert: Bei der US-Handelskette TARGET wurden 40 Millionen Kreditkartendaten durch eine Manipulation an den Kassen bzw. Bezahlterminals in den 1800 Filialen „gestohlen“ http://www.heise.de/security/meldung/Bis-zu-40-Millionen-Kreditkartendaten-bei-US-Shoppingriesen-Target-kopiert-2070721.html. Einen ähnlichen Fall, der das Ausmaß dieses Angriffs noch etwas überstieg, gab es bereits im Dezember 2006 bei TJX http://www.golem.de/0703/51433.html und der Schaden für TJX lag bei etwa einer Viertel Milliarde US-Dollar http://www.heise.de/newsticker/meldung/TJX-einigt-sich-bei-Klagen-um-Diebstahl-von-Kreditkartendaten-178370.html. Der Hacker aus den USA, der zusammen mit zwei osteuropäischen Hackern die Diebstähle begangen hatte, wurde 2010 verurteilt http://www.n-tv.de/technik/Hacker-Koenig-sitzt-20-Jahre-article795675.html. Und auch bei ALDI wurden die Bezahlterminals in den USA bereits gehackt http://www.heise.de/newsticker/meldung/Manipulierte-Kartenterminals-in-US-Filialen-von-Aldi-1105188.html.

Der Angriff vor Kurzem fand wohl auch nicht zufällig wieder zur umsatzstärksten Zeit des Jahres, während des Weihnachtsgeschäftes, statt, wie das auch schon vorher bei TJX der Fall war. Besonders kritisch ist dabei, daß bei Manipulationen an den Kassensystemen bzw. POS-Bezahlterminals auch potentiell die PINs mitgelesen werden können, so wie das bei ALDI in den USA der Fall war. Update 28.12.2013: Bei TARGET haben die Hacker auch die verschlüsselten PINs erbeutet und es wird nun befürchtet, daß die Verschlüsselung (3DES) geknackt und mit den Kartendaten und den PINs auch Geld abgehoben werden könnte http://www.heise.de/newsticker/meldung/Bericht-Target-Hacker-erbeuteten-auch-verschluesselte-PINs-2072386.html.

Die obigen spektakulären Fälle, die in den USA unter anderem deswegen publik wurden, weil es eine Meldepflicht gibt, zeigen eindrucksvoll, wie schnell Millionen von Kreditkartendaten und PINs in die Hände von Betrügern kommen und einen Millionenschaden verursachen können. In Deutschland, wo es auch eine Meldepflicht gibt, wird diese sehr lax gehandhabt http://www.kreditkartendiebe.de/2013/09/banken-verschweigen-massenhaft-skimmingfaelle/. Aus meiner Sicht müssten die Banken hier wesentlich konsequenter zu den Meldungen der Schadensfälle verpflichtet werden – aber vielleicht ist das auch noch zu sehr Neuland und es dauert noch etwas bis wir hier auch soweit sind;-)

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.