Abhebungen mit falscher PIN

Ist das VISA Kartensystem sicher ?

Eigentlich wollte ich mit meinem Schreiben vom 29. Februar 2004 die PIN meiner VISA-Karte sicherheitshalber sperren lassen, nachdem mir 2001 über 2.000 DM von zwei VISA-Karten mit PIN Eingabe gestohlen wurden. Auf mein Schreiben mit der Bitte um Sperrung der PIN erhielt ich die Antwort, daß dies „systemtechnisch nicht möglich“ sei. Als ich weiterhin auf Sperrung der PIN bestand, bekam ich schließlich einen Anruf, in dem mir mitgeteilt wurde, ich solle 3x eine falsche PIN eingeben, dann sei diese gesperrt. Als ich dann zum Geldautomaten ging und statt der richtigen PIN „9298“ eine falsche PIN „5000“ eingab, kamen 500 € aus dem Automaten. Ich glaubte meinen Augen nicht zu trauen und dachte natürlich, daß es sich um einen einmaligen Fehler handelt. Am nächsten Tag ging ich dann nochmal mit einer Videokamera zum Automaten und filmte die nächste Abhebung mit der falschen PIN „5000“ und bekam wiederum anstandslos 500 € mit einer falschen PIN. 2200 € konnte ich insgesamt mit einer falschen PIN abheben (danach hatte ich keine Lust mehr und auch alles auf Video festgehalten). Das VISA System hat davon nichts bemerkt, d.h. es wurde keine Falscheingabe festgestellt.

Nach einiger Recherche und Austausch mit Mike Bond von der Cambridge University, fand ich heraus, daß bei den Abhebungen nicht die PIN direkt mit der im Zentralrechner gespeicherten PIN abgeglichen wird, sondern ein sogenannter „PIN Verification Value“ (PVV). Das heißt die 4-stellige PIN, die am Geldautomaten eingegeben wird, wird in einen 4-stelligen PVV umgerechnet und dieser mit dem im Zentralrechner gespeicherten PVV verglichen. Mathematisch läßt sich sehr einfach und präzise nachweisen, daß deshalb 2/3 aller Kreditkarten 2 oder mehr gültige PINs haben. WOW ! Und es geht noch weiter: 0,5% aller Kreditkarten haben sogar 5 oder mehr valide PINs. Details hierzu gibt es in diesem Dokument von Mike Bond: http://www.cl.cam.ac.uk/~mkb23/research/Enc-Rand-Comp.pdf

VISA ist trotzdem der Meinung, dass das System nicht unsicher ist. Die kartenausgebende Bank bezieht wie folgt Stellung:

„Dennoch kann es grundsätzlich vorkommen, dass eine weitere als die dem Karteninhaber kommunizierte PIN bei der Verifizierung durch VISA das gleiche mathematische Ergebnis liefert, das auch durch die Eingabe der „richtigen“ PIN erzielt worden wäre. Allerdings ist der Quotient aus der Möglichkeit einer weiteren möglichen PIN und der Chance, zufällig diese weitere PIN einzugeben, so hoch, dass dieser Umstand von der Kartenindustrie nicht als Sicherheitsrisiko eingeschätzt wird.“ 

Mir ist 2004 genau das passiert. Es ist genau der Fall eingetreten, der von der Kartenindustrie nicht als Sicherheitsrisiko eingeschätzt wird. Ich habe auf Anhieb eine „weitere mögliche PIN geraten.

Einen Artikel dazu finden Sie auch in der Welt am Sonntag unter http://www.welt.de/print-wams/article120668/Das_System_ist_loechrig_wie_ein_Sieb.html

Was meinen Sie dazu ? Brauchen Sie Material für einen Prozeß ?
Schreiben Sie mir: thomas.opel@kreditkartendiebe.de

7 Kommentare

  1. Habe im Oktober 2013 einen ADAC – Visa – Gold karten Raub Gehabt beim Lidl in Spanien + Bevor ich die Karte Sperren konnte wurde mir 4800 € abgehoben . in 10 Buchungen innerhalb von 20 min.. Bank sagt Pin dabei gehabt, stimmt nicht. Pin wurde übers Telefon gesetzt + wurde nie von mir aufgeschrieben oder benutzt.. Da nur Bezahlt . Ombudsmann eingeschaltet + die haben nur das von der Bank übernommen Pin dabei. + Pech gehabt Eidesstattlich könnte ich es bezeugen das es nie Notiert wurde. vorsichtshalber habe ich bei der Neuen karte mir keinen Pin Geben Lassen. Da habe ich wohl auf der Ganzen Linie verloren oder????

  2. Nein, da haben sie noch nicht verloren und ich würde auf jeden Fall nochmal tiefer dazu einsteigen, insbesondere, nachdem der Schaden mit 4.800 EUR doch sehr beträchtlich ist und es ein paar interessante Besonderheiten gibt:

    1. Haben Sie mit der Karte & PIN bei ALDI bezahlt? Falls ja, wäre das natürlich das offensichtlichste Szenario und die Argumentation entsprechend einfach.

    2. Spanien ist ein Hotspot für derartige Fälle und es scheint dort noch viele alte / veraltete Geldautomaten zu geben.

    3. Besonders interessant ist, daß die 10 Abhebungen in nur 20 min erfolgten. Die besagten alten / veralteten Geldautomaten scheinen irgendwie manipuliert werden zu können, sodaß innerhalb kürzester Zeit Abhebungen erfolgen können. Es wäre super, wenn Sie noch folgende Informationen zur Verfügung stellen können:

      a) In welchen zeitlichen Abständen bzw. zu welchen Zeitpunkten und an wie vielen unterschiedlichen Geldautomaten erfolgten die Abhebungen?
      b) Autorisierungsprotokolle / -logfiles für die Transaktionen mit den folgenden Angaben (Hintergrundinfos dazu bei einem ähnlichen Fall gibt´s in dieser Untersuchung der Cambridge University: http://www.cl.cam.ac.uk/~rja14/Papers/unattack.pdf):
      – „ARQC“ (= Authorisation Request Cryptogram)
      – „ARPC“ (= Authorisation Response Cryptogram)
      – „ATC“ (= Application Transaction Counter)
      – „TVR“ (= Terminal Verification Results)
      – „CVR“ (= Card Verification Results)

      Die Autorisierungsprotokolle / -logfiles bitte
      i) von der Bank
      ii) vom Kreditkartenunternehmen VISA
      anfordern. Für den Fall, daß diese nicht vorliegen bzw. die Bank sich unkooperativ zeigt, kann alleine das schon ein Grund sein, daß das Gericht GEGEN die Bank entscheidet.

    Die Reaktion der Bank in Ihrem Fall ist die übliche, wie bei allen anderen Fällen. Es wird mit dem Anscheinsbeweis argumentiert und der Schaden eines veralteten Geldautomatensystems auf die Kunden abgewälzt.

  3. mir wurde am 10.6. die geldbörse gestohlen und mein KTO wurde mit einer fremden EC karte an einem postbank GA 9 x geplündert + mit 2 abhebungen bei der DB. pin hat definitiv NICHT vorgelegen, ist nur in meinem gedächtnis.
    wie kann das sein? abstand von dienstahl zu den abhebungen ca. 1,5 stunden.
    angeblich bekommt man mit einer fremden EC karte beo der postbank jedoch nur max. 500.- € / woche.
    habe jetzt von meiner hausbank, ebenso wie von der postbank stellungnahmen gefordert – muß ich sonst noch etwas tun?
    polizei und KUNO sind umgehend nach entdeckung erledigt worden, mehr sollte nicht passiert können.
    macht es auch für mich sinn, die authorisierungsprotokolle anzufordern. von der postbank und der DB, oder?
    danke für hilfe, denn auch bei mir ist der betrag ähnlich hoch – und dafür kämpft man. nochzumal, wenn man sich NICHTS hat zuschulden kommen lassen.

  4. Ich empfehle auch die Autorisierungsprotokolle / Logiles der Transaktionen von den Automaten mit den folgenden Informationen inklusive Fristsetzung anzufordern:

    – “ARQC”:= Authorisation Request Cryptogram
    – “ARPC”:= Authorisation Response Cryptogram
    – “ATC”:= Application Transaction Counter
    – “TVR”:= Terminal Verification Results
    – “CVR”:= Card Verification Results

    Diese Informationen können wir einem Experten geben (habe entsprechende Kontakte) und möglicherweise Schwachstellen aufdecken.

  5. Hallo,

    Mir ist es am 30.08.2014 in Prag passiert. Kreditkarte gestohlen dreimal 4000 Kronen abgehoben UND das obwohl ich nachweislich nie in meinem Leben mit der Kreditkarte Geld abgehoben habe ich selber weiss die Nummer gar nicht und habe den Umschlag wahrscheinlich noch verschlossen zu hause liegen! Postbank hat mehrere versuche festgestellt drei haben geklappt. Weitere Auskünfte verweigert Postbank momentan aus rechtlichen Gründen.

    Sollte der Umschlag noch zu sein gehe ich vor Gericht.

    Gruss

    Patrick Juch

  6. Vor ein paar Tagen am 14.09. wurde meine VISA Gold gesperrt vom VISA Card Service in Deutschland, weil an einem Tag innerhalb kurzer Zeit 18 Transaktionen an 2 Geldautomaten (ATM) in Jakarta und Denpasar in Indonesien abgewickelt wurden, was einen Schaden von 3860 EUR verursachte. VISA Card ging zunaechst davon aus, dass ich die Transactionen gemacht habe. Ich war aber nie dort. Zur selben Zeit war ich wie gewohnt im Job in meinem Buero in Tanzania/Ost-Afrika.
    Interessant ist der Zufall, dass ich genau an dem selben Tag morgens eine ATM Abhebung in Tanzania machte mit meiner VISA Card. Die letzte Abhebung davor lag 6 Tage zurueck. Ich habe den Polizeibericht zusammen mit der Zahlungsreklamation und einer Kopie der Kartenumsatzabfrage an den VISA Card Service nach Deutschland per Fax geschickt.
    Wir wissen von organisiertem Kreditkartenbetrug in diesen Laendern in Afrika. Frueher wurden hier in Tanzania wie in anderen afrikanischen Laendern alte ATMs manipuliert, indem man die Card Slots auswechselte um Daten auslesen zu koennen. Heute gibt es moderne ATM bei uns. Unter anderem werden heute mit sogenannten „Heat Cameras“ unmittelbar nach Benutzung der ATM Tastatur die vom Finger getippten und erwaermten Tasten mit einem Smart Phone die mit diesem speziellen Aufsatz ausgeruestet sind fotografiert.
    Wie kann man mit einer gestohlenen PIN eine andere Karte faelschen und an einem Geldautomaten benutzen ohne dies mit der Kartennummer und Inhaberdaten zu kombinieren?
    Wie ist ihre Erfahrung in einem solchen Fall zu handeln? Genuegen meine Reklamation mit den entsprechenden Unterlagen, oder muss ich in dem Fall noch andere Dokumente anfordern?

  7. Hallo zusammen,
    meiner Frau wurde die Geldbörse in der Wohnung gestohlen, sie war nur schnell in der Waschküche und lies die Türe unverschlossen. Zu dieser zeit haben Putzfrauen den Hausflur gereinigt somit der verdacht nahe steht dass eine der Frauen die Wohnungstür öffnete und die im gang liegende Geldbörse mitnahm mit allen ausweisen und Bankkarten. dies geschah an einem Donnerstag morgen und am Mittag wurde in Frankreich schon Fr. 2000.- mit der Visa Card und Fr. 2000.- mit der Bankkarte abgebucht,meine Frau wiederum merkte erst am Samstagmorgen dass die Geldbörse fehlte. Sofort karten gesperrt und Polizeianzeige getätigt.
    jetzt meine Frage wie ist das möglich den Pin zu erurieren obwohl sie in nur im Kopf hat.
    freundliche Grüsse

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.