Dein Geld kann in nur sechs Sekunden bereits einem Fremden gehören. Zahlungskarten von Anbietern wie Visa, Mastercard und American Expressen kann man hacken. Das Beunruhigende an diesem Szenario ist, dass du dich kaum dagegen schützen kannst. Bei diesen Methoden kommt es nämlich keineswegs darauf an, in welchen Shops und mit welchen Sicherheitsvorkehrungen du deine Karte tatsächlich verwendest.
Über 4 Millionen entdeckte Zahlungskarten im Internet
Im Darknet tauchen immer wieder Kartennummern zum Kauf auf. Man verkauft sie dort millionenfach für einen Gegenwert von rund 10 USD pro Karte. Der Schwarzmarkt rund um all diese Kartennummern boomt also. Aber wie ist es möglich, dass sich so viele Zahlungskartendaten im Darknet finden lassen?
Dahinter vermutet man sogenannte Brute-Force-Angriffe. Vereinfacht ausgedrückt handelt es sich bei Brute-Force-Angriffen um Angriffsmanöver, bei denen Kriminelle so viele Passwörter oder Passphrasen austesten, bis sie irgendwann die richtige Kombination finden. Diese werden nicht von Menschenhand durchgeführt, sondern von Computern, die Tausende von Vermutungen pro Sekunde anstellen können. NordVPN hat dazu eine Studie veröffentlicht, wie Brut-Forcing zu Zahlungskarten-Nummern führt.
Die ersten 6–8 Zahlen einer Kreditkarte sind ID-Nummern der Kartenaussteller. Das bedeutet, dass in der Realität nur 7–9 Zahlen von den Hackern tatsächlich erraten werden müssen. Die 16. Ziffer ist nämlich eine Prüfnummer, die man hauptsächlich verwendet, um festzustellen, ob sich ein Fehler in der Eingabe der Kartennummer eingeschlichen hat. Dadurch ist die Menge an Zahlen, die ein Computer bei einem solchen Angriff erraten muss, überschaubar.
Um neun Ziffern für eine volle Zahlungskartennummer herauszufinden, muss ein Computer rund 1 Milliarde Kombination austesten. Das dauert für einen typischen Computer nur wenige Minuten, da dieser bis zu 25 Milliarden Kombinationen in einer Stunde durchspielen kann. Je nach Aussteller der Karte muss ein Krimineller jedoch gar nicht neun Ziffern erhalten. Da sie in vielen Fällen nur um die sieben Ziffern erraten müssen, reduziert das die benötigte Zeit für eine richtige Kombination drastisch. Laut Marijus Briedis, CTO bei Nord VPN, kann damit innerhalb von 6 Sekunden eine Zahlungskarte gehackt werden.
Dein Geld kann in 6 Sekunden einem Fremden gehören: Schutzmaßnahmen der Kartenhersteller
Es ist eine beunruhigende Vorstellung, dass dein Geld in nur sechs Sekunden einem Fremden gehören kann. Um zu verhindern, dass sämtliche Kartennummern ihrer Kunden in die Hände von Kriminellen fallen, haben Kartenhersteller ihre eigenen Sicherheitsmaßnahmen getroffen. Die meisten von ihnen haben darum die Anzahl der Rate-Versuche, die in einem bestimmten Zeitintervall unternommen werden können, reduziert. So lässt Mastercard, das auf ein zentrales Authentifizierungssystem setzt, etwa nur um die zehn Versuche zu, bevor das System darauf reagiert. Der Kartenanbieter Visa hingegen setzt auf ein dezentralisiertes System. Hier könnten laut Aussagen der Experten rund 30 bis 40 Versuche nötig sein, bevor das System darauf reagiert. Zu Zeiten, in denen besonders viele Anfragen aufkommen, könnten es sogar noch mehr sein.
Gestützt wird diese Vermutung durch die entdeckten Zahlungskartennummern im Netz. Von den über 4 Millionen gefundenen Kartennummern stammten mehr als die Hälfte (rund 2,5 Millionen) von Visa-Karten. Etwa 1,6 Millionen der Kartennummern gehörten zu Mastercard-Karten. Deutlich weniger Kartennummern konnten vom Anbieter American Express gefunden werden. Hier waren nur etwas über 200.000 Kartennummern zu finden.
Das größte Problem an der Lage ist, dass sich Nutzer gegen diese Form von Angriff nicht direkt selbst schützen können. Wichtig ist es darum, die Abrechnungen der eigenen Zahlungskarten immer auf Unstimmigkeiten zu kontrollieren. Ebenso sollte man auf Sicherheitsmitteilungen der Bank zügig reagieren. Ansonsten sind dir als Benutzer leider die Hände gebunden, denn du kannst nicht verhindern, dass Computer irgendwo Brute-Force-Angriffe durchführen. Wer sich selbst schützen möchte, kann nur versuchen, auf den Einsatz solcher Zahlungskarten zu verzichten. Wenn du nicht verzichten willst oder kannst, sind sogenannte Prepaid-Kreditkarten oder ein separates Bankkonto zur Zahlungskarte eine Alternative.
Was genau wird mit Brute-Force durch ausprobieren ermittelt:
Kartennummer?
CPC-Nummer?
Oder was?
Oder alles?
Und wo funktionieren solche ergaunerten Karten:
Online Kaufen
an ATM?
in Einzelhandel an POS?
So wie der Artikel geschrieben ist kann der Leser das beschriebene nicht nachvollziehen.
Wenn von einer Kreditkartennummer 7 bis 9 Stellen durch ausprobieren mit Brute-Force ermittelt werden, dann ergeben sich Tausende Treffer die zu der einstelligen Prüfziffer passen. Woher soll der Hacker wissen, welche von den tausenden Treffer der richtige ist?
Außerdem wird bei Zahlung mit Kreditkarte, auch das Verfallsdatum abgefragt. Und dieses Datum kann man nicht errechnen.
Bei Onlinezahlungen, wird auch die dreistellige Zahl auf der Rückseite abgefragt + Verfallsdatum.
Und am ATM oder POS wird die PIN abgefragt.
Man braucht also mindestens Kreditkartennummer und PIN dazu, ODER die dreistellige Nummer von Kartenrückseite + Verfallsdatum.
Auch meine bisherige Fragen wurden auch noch nicht ergänzend beantwortet.
Solche nicht nachvollziehbar geschriebener Artikel, stehlen dem Leser seine Zeit, weil selbst nach fünffachen durchlesen, nicht weiß ist wie es funktionieren soll! Man versucht es zu verstehen, was hier aber nicht möglich ist, weil Angaben in Beschreibung unvollständig sind.
Minuspunkte für diesen Autor.
Oder war es ein 1 April Scherz am 2 April?
Ich muss auch fragen… Was bringt einem die Kartennummer alleine? Die Gültigkeit und CVC Nummer muss meines Erachtens doch auch passen. Dazu kommen ab bestimmten Beträgen zweifach Authentifizierung hinzu.
Mir ist auch mal eine Karte gehackt worden. Aber nicht so, sondern vermutlich an einem Automaten.
Finde der Artikel überspitzt hier einiges ohne die Relationen zu nennen.
Der Artikel wurde von anderen Blog abgekupfert.
Und ist dabei nicht richtig verstanden worden, und unvollständig und nichtverständlich umgeschrieben.
Das müsste die Erstquelle sein, die auch alle nowendigen Details nennt, um es verstehen zu können:
https://www.financialexpress.com/money/consumer-alert-hacking-a-payment-card-can-take-as-few-as-6-seconds-study/2468995/
https://www-financialexpress-com.translate.goog/money/consumer-alert-hacking-a-payment-card-can-take-as-few-as-6-seconds-study/2468995/?_x_tr_sl=auto&_x_tr_tl=de&_x_tr_hl=de