Während sich Sicherheitsunternehmen darum bemühen, bekannte strukturelle Schwachstellen in der Sicherheitstechnologie auszumerzen, steigt die Zahl letzterer kontinuierlich an. Aktuell thematisierten Sicherheitsexperten der Universität Glasgow ein Verfahren, dass bereits jetzt von Kriminellen in der Praxis angewandt werden kann und deine Passwörter sowie PINs mit hoher Genauigkeit identifiziert. Unabhängig davon, ob diese auf der handelsüblichen QWERTZ-Tastatur, einem Display oder dem Eingabefeld eines Geldautomaten eingetippt werden.
Wärmebildkameras gefährden digitale Sicherheit
Man stelle sich folgendes Szenario vor: Du gibst deine PIN am Geldautomaten ein, hebst 20 Euro ab und setzt deinen Weg fort. Kurz darauf betritt ein Krimineller ausgestattet mit einer Wärmebildkamera die Bühne und schießt ein Wärmebild von dem Eingabebereich. Ist die Zeit zwischen der Eingabe des PINs und der Erstellung des Wärmebilds gering, lassen sich Hitzespuren auf den einzelnen Tasten erkennen. Aufgrund des Temperaturunterschieds werden früher betätigte Taste dunkler dargestellt, was Aufschluss über die Reihenfolge der Zeichen gibt. Laut Sicherheitsexperte Mohamed Khamis können selbst Laien anhand dieser Bilder die eingetippte PIN oder das eingetippte Passwort erfolgreich identifizieren. Einzige Voraussetzung: Diese müssten in einem Zeitraum von 30 bis 60 Sekunden nach der Eingabe aufgenommen worden sein.
Das Forschungsteam um Khamis ging einen Schritt weiter und setzte maschinelles Lernen, um eine Software mit der Bezeichnung ThermoSecure zu entwickeln. Diese soll die Gefahren, die von Wärmebildkameras ausgehen, verdeutlichen. Aus einer entsprechenden Studie ging hervor, dass ThermoSecure in der Lage ist, 86 Prozent der Passwörter erfolgreich zu identifizieren, sofern die dazugehörigen Wärmebilder innerhalb von 20 Sekunden nach der Eingabe erstellt wurden. Selbst längere 16-stellige Passwörter drückten den Wert auf lediglich 67 Prozent herunter. Bei Passwörtern mit nur sechs Zeichen betrug die Erfolgsrate indes bis zu 100 Prozent.
„Der Zugang zu Wärmebildkameras ist erschwinglicher denn je – sie sind für weniger als 200 Pfund Sterling erhältlich – und auch maschinelles Lernen wird immer zugänglicher. Das steigert die Wahrscheinlichkeit deutlich, dass Menschen auf der ganzen Welt ähnliche Systeme wie ThermoSecure entwickeln, um Passwörter zu stehlen“, so Khamis. Laut dem Sicherheitsforscher sei es daher wichtig, dass Computer-Sicherheitsforschung mit diesen Entwicklungen Schritt hält und neue Wege zur Risikominderung findet.
So schützt du dich
Nutzer können sich nur bedingt wirkungsvoll gegen die Wärmebildkamera-Masche schützen. Längere Passwörter können das Risiko zumindest etwas minimieren. An Geldautomaten empfiehlt es sich derweil, einige Sekunden mehr als notwendig vor Ort auszuharren, damit die Hitzesignatur abnimmt. Auch Handschuhe oder das Auflegen der flachen Hand auf die gesamte Tastatur können eine Lösung darstellen. Ferner produzieren beleuchtete Tastaturen eigenständig Hitze und erschweren somit die Erstellung präziser Wärmebilder. Zudem können biometrische Sicherheitsverfahren Abhilfe schaffen. Diese bringen allerdings eigene Schwachstellen mit sich. Zu guter Letzt bleibt noch die sogenannte Zwei-Faktor-Authentifizierung. Diese ist stets empfehlenswert – auch unabhängig von der thermalen Betrugsmasche.
Fragen über Fragen nach diesem Artikel. Weiß der Autor überhaupt von er spricht?
Es geht hier um Bankautomaten. Wie will der Betrüger ohne meine Karte Geld abheben? Er sieht zwar wärmere Tasten, aber die Reihenfolge steht da nicht.
ZFA bei Bankautomaten wäre mir neu, ebenso längere „Passwörter?!“ bei der Karte. Ich hatte immer nur 4-stellige PINs.
Danke für die verlorene Zeit.
Hallo Alex,
1. Wie aus dem Artikel hervorgeht, funktioniert die Masche auch wunderbar an handelsüblichen QWERTZ-Tastatur oder Display. Es geht also nicht um Geldautomaten per se, sondern AUCH um Geldautomaten. Nur, dass die Folgen hier drastischer ausfallen könnten.
2. Wie ebenfalls aus dem Artikel hervorgeht, lässt sich die Reihenfolge anhand der Farben der einzelnen Tasten respektive der verbliebenen Restwärme ablesen.
3. Geldkarten können einerseits entwendet werden. Andererseits nutzen Betrüger des Öfteren getarnte Auslesegeräte, um die Daten, die auf dem Magnetstreifen gespeichert sind, zu kopieren und ein Duplikat der Karte zu erstellen. Es empfiehlt sich also, vorsichtig zu sein.
Wo gibt es noch Magnetstreifen?
Diese Herangehensweise gibt es seit Jahren…
Einfachster Schutz? Einfach die flache Hand nach der Pineingabe für kurze Zeit auf alle Tasten legen
ist doch ganz einfach, nach der Geldentnahme noch mehrmals auf die Tasten tippen.
einfachster Schutz: nach dem Geldabheben nochmal alle Zifferntasten kurz antippen – sollte der Geldautomat überleben 😉
Einfach nicht mit dem Finger drücken, sondern z. B. mit einem Schlüssel. Der überträgt keine Wärme und auch keine Viren. Ist also auch noch ein Gewinn an Hygiene.
einfach Mal die Hand flach auf alle zahlen legen.
Ganz einfach. Hose runter und mit der verschwitzten Kimme anwärmen. Das Passwort wäre zumindest dann fürn Arsch
Ab jetzt immer Eisspray dabei.
🙂
10000 Möglichkeiten bis man den 4 stelligen pin hat. Einfach die flache Hand auflegen. Irgendwelche zahlen tippen. Stift benutzen…. Oder oder oder
Diese Stigmatisierung von Bargeld nervt!
Ich lecke immer direkt die Tastatur ab, dann sind da auch keine Keime mehr drauf. Sicherheit geht vor! Schützt andere und lasst euch lecken!
Eine Idee hätte ich: Handschuhe tragen, wenn man die PIN eintippt und somit verhindern, dass sich die Körperwärme auf die Tastatur überträgt.
Super die Tipps. Weil man davon ja so viel am Geldautomaten umsetzen kann. Längere PIN? Kein Problem. Beleuchtet Tastaur einbauen? Schnell gemacht. Biometrisches Verfahren verwenden? Klar, kein Problem. Zwei-Faktor-Authentifizierung? Ist ja schnell aktiviert.
Klasse, dass man den einzigen hilfreichen Tipp (den ich vor ca. 8 Jahren kennenlernte, als die Betrugs-Methode durch die Presse ging) aus den Kommentaren lernt. Vor und nach der PIN-Eingabe ganze Handfläche auf die Zifferntasten, damit alle schöne Hitze-Signaturen haben.
Und was noch fehlt: nicht die Karte stecken lassen, denn die wird ja schließlich auch nicht für den erfolgreichen Betrug benötigt, ne?
Artikelqualität: Schulnote 5
Längere Passwörter können das Risiko zumindest etwas minimieren. An Geldautomaten empfiehlt es sich derweil, einige Sekunden mehr als notwendig vor Ort auszuharren, damit die Hitzesignatur abnimmt. Ferner produzieren beleuchtete Tastaturen eigenständig Hitze und erschweren somit die Erstellung präziser Wärmebilder. Zudem können biometrische Sicherheitsverfahren Abhilfe schaffen. Diese bringen allerdings eigene Schwachstellen mit sich. Zu guter Letzt bleibt noch die sogenannte Zwei-Faktor-Authentifizierung.
Ich tippe schon seit Jahren während der Geldeingabe immer verschiedene Tasten an. Nur die richtigen drücke ich ganz runter. Die falschen nur kurz den Finger auflegen. So wird es bei einem eventuellen filmen auch für den Betrüger wertlos. Aber hier in diesem speziellen Fall ist es doch fast unmöglich. Bis das Geld ausgezahlt ist und ich es verpacken vergeht doch sowieso mehr als eine Minute.
werden diese Artikel vorher von keiner Redaktion gelesen ?
Ich habe gar kein Geld mehr auf dem Konto welches ich abheben könnte
Nach Eingabe alles mit einem Tuch abwischen
Die Lösung ist doch ganz einfach.Nachdem man fertig ist mit abheben. Jede Taste von 0-9 nochmal betätigen und das 2 mal.Es entsteht überall eine Wärmesignatur und die Pin wäre nicht ersichtlich
Es reicht nicht, die getippt Zahlen zu erkennen, man muß auch noch die Reihenfolge haben. Vor einigen Jahren habe ich mit meinen Kindern in den Technikkurse dazu versuche gemacht, um Lösungen zu finden. Bei 35 Grad Temperatur ist die Erkennung mit Wärmekameras nahe 0. nutzt nun z.b die Stiftkappe zur Eingabe oder den Gummiefinderüberzug fürs Geldzählen gilt gleiches. variiert man Stärke und Dauer des Drucks, erhält man zwar die Zahlen aber die falsche Reihenfolge. es gibt etliche Lösungen. Am besten einfach ausprobieren.Wärmebildkameras zum testen haben einige Leute und Firmen. Man findet dann nicht nur Lecks in Fassaden überlastet Kabel und Sicherungen, Lagerschäden sondern auch Passworte
An die Möglichkeit hätte ich nie gedacht, daher finde ich den Beitrag hilfreich auch wenn er recht allgemein gehalten ist.
Ich denke nicht, dass man eine Bankomatkarte wegen seinem Chip so einfach kopieren kann. Gefahr sehe ich nur dann, wenn nach erfolgtem Ausspähen meine Karte gestohlen wird. Habe ich bezüglich Überlegung etwas übersehen?
ich wische seit Jahren immer die Tastatur fest mit der flachen Hand ab. Die Karte steckt außerdem in Alufolie.
diese Gefahr besteht immer aber das mit dem Passwort ..ist ein Problem ..warum nicht biometrische Infos
So ein quatsch.kann mich meinen Vorredner ln nur anschließen. Einfach noch ne Minute warten oder das Geld halt sehr langsam einpacken. Jede taste nochmal Kreuz und quer drücken.fertig. was soll dieser Mist Artikel? Zu welcher Seite der Macht gehören Sie dass man hier sowas schreibt.
So wenig wie möglich Bargeld auf dem Girokonto lassen und Überziehungsmöglich ausschalten. Besser Geld aufs Tagesgeldkonto legen und bei Bedarf umbuchen. Dann kann keiner was anheben.
ich lasse immer meinen Hund mit der kalten Schnauze tippen😂
jeder Studienabbrecher darf jetzt anscheinend online -Artikel schreiben. Die, die es dann lesen, sind bald genau so dumm…
Theoretisch möglich, praktisch fast unmöglich. Denn was nützt die PIN ohne Karte? Kopieren der Karte (Magnetstreifen) ist zwecklos, da fast überall nur noch Chiptransaktionen erfolgen. Der Autor des Artikels sollte sich vorher informieren.
hast du in deinem Pin 2 x die gleiche Zahl, funktioniert das mit der Wärmebildkamera auch nicht mehr;-)
Ist doch simpel: Einfach von Bill Gates chippen lassen und du brauchst kein Bargeld mehr und lebenslanges Besuchsrecht auf seiner Superyacht und Epsteins Teenagers Island gibt’s obendrauf – ist doch klar, Bargeld ist für ehrliche Looser.
Warum alles so kompliziert, ich tippe meine Zahlenreihenfolge immer mit dem Fingernägel, da gibt es keine Wäre Übertragung.
Keine Wärmeübertragung
Warum warten, jede Taste drücken etc. wie wäre es mit dem Fingernagel tippen, dabei entsteht keine Wärme die übertragen werden kann.
Alles Quatsch, ich habe meinen eigenen ATM….. meine reiche Frau…. Problem gelöst:)
Ich bin vielleicht zu dumm, aber braucht der Betrüger nicht die Karte?
Am Besten, man stellt auch da eine 2-Authentifizierung bereit, erst Pin, dann sechstelliger Code ans Handy und dann Geld. Wenn es das gäbe, würde ich es einrichten.
Das ganze wurde schon vor Jahren getestet. Am gefährlichsten sind Geräte mit Kunststofftasten. Dort sind die Abdrücke wirklich lange sichtbar.
Geräte mit Tasten aus Metall wiederum leiten die Hitze so gut von der Kontaktstelle weg, dass unmittelbar nach Eingabe nichts mehr zu erkennen war.
Getestet wurde mit einen iPhone und einer Handyhülle mit Wärmebildkamera (FLIR oder so ähnlich)
Ganz einfache Lösung:
Skimming mit einer Kartenkopie geht nur bei Geldkarten und nicht bei EC Karten. Bei den EC Karten müsste der Betrüger/Dieb die original Karte besitzen. Also gefährdet sind Sparkarten oder solche Kunden.
Ist irgendwem bewusst, dass man nach dem PIN auch noch den Betrag eintippt? Als ich vor Jahren noch Bargeld benutzt habe, brauchten die vor mir immer mindestens 4 bis 5 Minuten. Das gibt ein langweiles Wärmebild.
Kann mir nicht passieren, ich nehme immer den Autoschlüssel zum tippen.
Absoluter Quatsch.dann Tipps du eben noch 20 x auf die Tasten und schon ist keine Taste mehr zu erkennen.also denkt erst bevor ihr schreibt.
Der Geldautomat steck doch sowieso an einer Steckdose, dann sollte man die Tastatur einfach auf 37 Grad heizen. Wahrscheinlich reicht es schon wenn man die Abwärme einfach an der Zifferntastatur vorbei leitet. Man bin ich wieder schlau.
Der Artikel schürt unnötige Ängste.
Mit gefälschten Karten kann man an den meisten Geldautomaten in Europa sowieso kein Geld abheben, da der Automat das erkennt.
Und sollte das doch passieren haftet die Bank und nicht der Kunde, also kein Stress.
Ich tippe schon seit Jahren meine Texte auf dem Tablet mit einem Eingabestift, gute Idee für die ATM
nächstes Mal.
Yoah ne, wer kennt es denn nicht. Der Kriminelle der innerhalb 30 Sekunden nachdem man vom Automaten weggeht:
– Schnell Maskiert
– Zum Automaten rennt
– Dumm davor steht und ein Foto macht (Überwachungskameras sind ja auch überbewertet)
– Zurück zu dir rennt und deine Karte klaut
– Noch 3 andere Leute die in der Schlange stehen zu überlisten