Auch an Geldautomaten: Passwörter dank neuer Masche praktisch nutzlos

von
3 Min. Lesezeit in Pocket speichern
Das Abheben von Bargeld stellt inzwischen bereits seit Jahren ein Wagnis dar. Mittels Skimming können Kriminelle deine Geldkarten kopieren und deine PINs in Erfahrung bringen. Eine neue respektive erweiterte Methode macht deine PINs und Passwörter nun sogar Laien zugänglich.
Passwörter-Masche

Geldautomat-Betrug

Während sich Sicherheitsunternehmen darum bemühen, bekannte strukturelle Schwachstellen in der Sicherheitstechnologie auszumerzen, steigt die Zahl letzterer kontinuierlich an. Aktuell thematisierten Sicherheitsexperten der Universität Glasgow ein Verfahren, dass bereits jetzt von Kriminellen in der Praxis angewandt werden kann und deine Passwörter sowie PINs mit hoher Genauigkeit identifiziert. Unabhängig davon, ob diese auf der handelsüblichen QWERTZ-Tastatur, einem Display oder dem Eingabefeld eines Geldautomaten eingetippt werden.

Wärmebildkameras gefährden digitale Sicherheit

Man stelle sich folgendes Szenario vor: Du gibst deine PIN am Geldautomaten ein, hebst 20 Euro ab und setzt deinen Weg fort. Kurz darauf betritt ein Krimineller ausgestattet mit einer Wärmebildkamera die Bühne und schießt ein Wärmebild von dem Eingabebereich. Ist die Zeit zwischen der Eingabe des PINs und der Erstellung des Wärmebilds gering, lassen sich Hitzespuren auf den einzelnen Tasten erkennen. Aufgrund des Temperaturunterschieds werden früher betätigte Taste dunkler dargestellt, was Aufschluss über die Reihenfolge der Zeichen gibt. Laut Sicherheitsexperte Mohamed Khamis können selbst Laien anhand dieser Bilder die eingetippte PIN oder das eingetippte Passwort erfolgreich identifizieren. Einzige Voraussetzung: Diese müssten in einem Zeitraum von 30 bis 60 Sekunden nach der Eingabe aufgenommen worden sein.

Das Forschungsteam um Khamis ging einen Schritt weiter und setzte maschinelles Lernen, um eine Software mit der Bezeichnung ThermoSecure zu entwickeln. Diese soll die Gefahren, die von Wärmebildkameras ausgehen, verdeutlichen. Aus einer entsprechenden Studie ging hervor, dass ThermoSecure in der Lage ist, 86 Prozent der Passwörter erfolgreich zu identifizieren, sofern die dazugehörigen Wärmebilder innerhalb von 20 Sekunden nach der Eingabe erstellt wurden. Selbst längere 16-stellige Passwörter drückten den Wert auf lediglich 67 Prozent herunter. Bei Passwörtern mit nur sechs Zeichen betrug die Erfolgsrate indes bis zu 100 Prozent.

Wärmebildkameras überwinden Passwörter

„Der Zugang zu Wärmebildkameras ist erschwinglicher denn je – sie sind für weniger als 200 Pfund Sterling erhältlich – und auch maschinelles Lernen wird immer zugänglicher. Das steigert die Wahrscheinlichkeit deutlich, dass Menschen auf der ganzen Welt ähnliche Systeme wie ThermoSecure entwickeln, um Passwörter zu stehlen“, so Khamis. Laut dem Sicherheitsforscher sei es daher wichtig, dass Computer-Sicherheitsforschung mit diesen Entwicklungen Schritt hält und neue Wege zur Risikominderung findet.

So schützt du dich

Nutzer können sich nur bedingt wirkungsvoll gegen die Wärmebildkamera-Masche schützen. Längere Passwörter können das Risiko zumindest etwas minimieren. An Geldautomaten empfiehlt es sich derweil, einige Sekunden mehr als notwendig vor Ort auszuharren, damit die Hitzesignatur abnimmt. Auch Handschuhe oder das Auflegen der flachen Hand auf die gesamte Tastatur können eine Lösung darstellen. Ferner produzieren beleuchtete Tastaturen eigenständig Hitze und erschweren somit die Erstellung präziser Wärmebilder. Zudem können biometrische Sicherheitsverfahren Abhilfe schaffen. Diese bringen allerdings eigene Schwachstellen mit sich. Zu guter Letzt bleibt noch die sogenannte Zwei-Faktor-Authentifizierung. Diese ist stets empfehlenswert – auch unabhängig von der thermalen Betrugsmasche.

Verwandte Artikel

FINANZEN UND VERSICHERUNGEN
Apple Pay & Google Pay kostenlos: Für diese 6 Kreditkarten zahlst du keinen Cent Gebühren
E-BIKE
E-Bike ABC: Das sind die 7 wichtigsten Bauteile
KRIMINALITäT
Neue Bankgebühr? Jeder falsche Klick kann Geld kosten
GADGETS
Überflüssig: Gehyptes Gadget könnte auch eine App sein
AUTO
Eine Schande für das E-Auto: Benziner und Diesel zerlegen den Stromer
WHATSAPP
WhatsApp kündigt Abschied an: Das ist der Grund für das baldige Ende

46 Kommentare

  1. Alex
    Fragen über Fragen nach diesem Artikel. Weiß der Autor überhaupt von er spricht? Es geht hier um Bankautomaten. Wie will der Betrüger ohne meine Karte Geld abheben? Er sieht zwar wärmere Tasten, aber die Reihenfolge steht da nicht. ZFA bei Bankautomaten wäre mir neu, ebenso längere "Passwörter?!" bei der Karte. Ich hatte immer nur 4-stellige PINs. Danke für die verlorene Zeit.
    • Artem Sandler
      Hallo Alex, 1. Wie aus dem Artikel hervorgeht, funktioniert die Masche auch wunderbar an handelsüblichen QWERTZ-Tastatur oder Display. Es geht also nicht um Geldautomaten per se, sondern AUCH um Geldautomaten. Nur, dass die Folgen hier drastischer ausfallen könnten. 2. Wie ebenfalls aus dem Artikel hervorgeht, lässt sich die Reihenfolge anhand der Farben der einzelnen Tasten respektive der verbliebenen Restwärme ablesen. 3. Geldkarten können einerseits entwendet werden. Andererseits nutzen Betrüger des Öfteren getarnte Auslesegeräte, um die Daten, die auf dem Magnetstreifen gespeichert sind, zu kopieren und ein Duplikat der Karte zu erstellen. Es empfiehlt sich also, vorsichtig zu sein.
  2. Florian
    Diese Herangehensweise gibt es seit Jahren... Einfachster Schutz? Einfach die flache Hand nach der Pineingabe für kurze Zeit auf alle Tasten legen
  4. Claudio
    einfachster Schutz: nach dem Geldabheben nochmal alle Zifferntasten kurz antippen - sollte der Geldautomat überleben ;)
  5. Schaefer
    Einfach nicht mit dem Finger drücken, sondern z. B. mit einem Schlüssel. Der überträgt keine Wärme und auch keine Viren. Ist also auch noch ein Gewinn an Hygiene.
  7. Markus
    Ganz einfach. Hose runter und mit der verschwitzten Kimme anwärmen. Das Passwort wäre zumindest dann fürn Arsch
  9. Simone Baseda
    10000 Möglichkeiten bis man den 4 stelligen pin hat. Einfach die flache Hand auflegen. Irgendwelche zahlen tippen. Stift benutzen…. Oder oder oder Diese Stigmatisierung von Bargeld nervt!
  10. IchBinS!
    Ich lecke immer direkt die Tastatur ab, dann sind da auch keine Keime mehr drauf. Sicherheit geht vor! Schützt andere und lasst euch lecken!
  11. Manuela Dienhart
    Eine Idee hätte ich: Handschuhe tragen, wenn man die PIN eintippt und somit verhindern, dass sich die Körperwärme auf die Tastatur überträgt.
  12. Tim
    Super die Tipps. Weil man davon ja so viel am Geldautomaten umsetzen kann. Längere PIN? Kein Problem. Beleuchtet Tastaur einbauen? Schnell gemacht. Biometrisches Verfahren verwenden? Klar, kein Problem. Zwei-Faktor-Authentifizierung? Ist ja schnell aktiviert. Klasse, dass man den einzigen hilfreichen Tipp (den ich vor ca. 8 Jahren kennenlernte, als die Betrugs-Methode durch die Presse ging) aus den Kommentaren lernt. Vor und nach der PIN-Eingabe ganze Handfläche auf die Zifferntasten, damit alle schöne Hitze-Signaturen haben. Und was noch fehlt: nicht die Karte stecken lassen, denn die wird ja schließlich auch nicht für den erfolgreichen Betrug benötigt, ne? Artikelqualität: Schulnote 5 Längere Passwörter können das Risiko zumindest etwas minimieren. An Geldautomaten empfiehlt es sich derweil, einige Sekunden mehr als notwendig vor Ort auszuharren, damit die Hitzesignatur abnimmt. Ferner produzieren beleuchtete Tastaturen eigenständig Hitze und erschweren somit die Erstellung präziser Wärmebilder. Zudem können biometrische Sicherheitsverfahren Abhilfe schaffen. Diese bringen allerdings eigene Schwachstellen mit sich. Zu guter Letzt bleibt noch die sogenannte Zwei-Faktor-Authentifizierung.
  13. Martin Benedikt
    Ich tippe schon seit Jahren während der Geldeingabe immer verschiedene Tasten an. Nur die richtigen drücke ich ganz runter. Die falschen nur kurz den Finger auflegen. So wird es bei einem eventuellen filmen auch für den Betrüger wertlos. Aber hier in diesem speziellen Fall ist es doch fast unmöglich. Bis das Geld ausgezahlt ist und ich es verpacken vergeht doch sowieso mehr als eine Minute.
  17. Adrian
    Die Lösung ist doch ganz einfach.Nachdem man fertig ist mit abheben. Jede Taste von 0-9 nochmal betätigen und das 2 mal.Es entsteht überall eine Wärmesignatur und die Pin wäre nicht ersichtlich
  18. Mab
    Es reicht nicht, die getippt Zahlen zu erkennen, man muß auch noch die Reihenfolge haben. Vor einigen Jahren habe ich mit meinen Kindern in den Technikkurse dazu versuche gemacht, um Lösungen zu finden. Bei 35 Grad Temperatur ist die Erkennung mit Wärmekameras nahe 0. nutzt nun z.b die Stiftkappe zur Eingabe oder den Gummiefinderüberzug fürs Geldzählen gilt gleiches. variiert man Stärke und Dauer des Drucks, erhält man zwar die Zahlen aber die falsche Reihenfolge. es gibt etliche Lösungen. Am besten einfach ausprobieren.Wärmebildkameras zum testen haben einige Leute und Firmen. Man findet dann nicht nur Lecks in Fassaden überlastet Kabel und Sicherungen, Lagerschäden sondern auch Passworte
  19. Gerhard Cervenka
    An die Möglichkeit hätte ich nie gedacht, daher finde ich den Beitrag hilfreich auch wenn er recht allgemein gehalten ist.
  20. Karl-Heinz
    Ich denke nicht, dass man eine Bankomatkarte wegen seinem Chip so einfach kopieren kann. Gefahr sehe ich nur dann, wenn nach erfolgtem Ausspähen meine Karte gestohlen wird. Habe ich bezüglich Überlegung etwas übersehen?
  21. Molly
    ich wische seit Jahren immer die Tastatur fest mit der flachen Hand ab. Die Karte steckt außerdem in Alufolie.
  22. Greiner
    diese Gefahr besteht immer aber das mit dem Passwort ..ist ein Problem ..warum nicht biometrische Infos
  23. Quacks
    So ein quatsch.kann mich meinen Vorredner ln nur anschließen. Einfach noch ne Minute warten oder das Geld halt sehr langsam einpacken. Jede taste nochmal Kreuz und quer drücken.fertig. was soll dieser Mist Artikel? Zu welcher Seite der Macht gehören Sie dass man hier sowas schreibt.
  24. HARO
    So wenig wie möglich Bargeld auf dem Girokonto lassen und Überziehungsmöglich ausschalten. Besser Geld aufs Tagesgeldkonto legen und bei Bedarf umbuchen. Dann kann keiner was anheben.
  26. Brad
    jeder Studienabbrecher darf jetzt anscheinend online -Artikel schreiben. Die, die es dann lesen, sind bald genau so dumm...
  27. Geldabheber
    Theoretisch möglich, praktisch fast unmöglich. Denn was nützt die PIN ohne Karte? Kopieren der Karte (Magnetstreifen) ist zwecklos, da fast überall nur noch Chiptransaktionen erfolgen. Der Autor des Artikels sollte sich vorher informieren.
  28. Michou
    hast du in deinem Pin 2 x die gleiche Zahl, funktioniert das mit der Wärmebildkamera auch nicht mehr;-)
  29. mrebholz
    Ist doch simpel: Einfach von Bill Gates chippen lassen und du brauchst kein Bargeld mehr und lebenslanges Besuchsrecht auf seiner Superyacht und Epsteins Teenagers Island gibt's obendrauf - ist doch klar, Bargeld ist für ehrliche Looser.
  30. Kaus
    Warum alles so kompliziert, ich tippe meine Zahlenreihenfolge immer mit dem Fingernägel, da gibt es keine Wäre Übertragung.
  32. Klaus
    Warum warten, jede Taste drücken etc. wie wäre es mit dem Fingernagel tippen, dabei entsteht keine Wärme die übertragen werden kann.
  35. Franko
    Am Besten, man stellt auch da eine 2-Authentifizierung bereit, erst Pin, dann sechstelliger Code ans Handy und dann Geld. Wenn es das gäbe, würde ich es einrichten.
  36. Philipp E
    Das ganze wurde schon vor Jahren getestet. Am gefährlichsten sind Geräte mit Kunststofftasten. Dort sind die Abdrücke wirklich lange sichtbar. Geräte mit Tasten aus Metall wiederum leiten die Hitze so gut von der Kontaktstelle weg, dass unmittelbar nach Eingabe nichts mehr zu erkennen war. Getestet wurde mit einen iPhone und einer Handyhülle mit Wärmebildkamera (FLIR oder so ähnlich)
  37. Gökhan
    Ganz einfache Lösung: Skimming mit einer Kartenkopie geht nur bei Geldkarten und nicht bei EC Karten. Bei den EC Karten müsste der Betrüger/Dieb die original Karte besitzen. Also gefährdet sind Sparkarten oder solche Kunden.
  38. Ueli
    Ist irgendwem bewusst, dass man nach dem PIN auch noch den Betrag eintippt? Als ich vor Jahren noch Bargeld benutzt habe, brauchten die vor mir immer mindestens 4 bis 5 Minuten. Das gibt ein langweiles Wärmebild.
  40. U.D
    Absoluter Quatsch.dann Tipps du eben noch 20 x auf die Tasten und schon ist keine Taste mehr zu erkennen.also denkt erst bevor ihr schreibt.
  41. Reinhold
    Der Geldautomat steck doch sowieso an einer Steckdose, dann sollte man die Tastatur einfach auf 37 Grad heizen. Wahrscheinlich reicht es schon wenn man die Abwärme einfach an der Zifferntastatur vorbei leitet. Man bin ich wieder schlau.
  42. Roman
    Der Artikel schürt unnötige Ängste. Mit gefälschten Karten kann man an den meisten Geldautomaten in Europa sowieso kein Geld abheben, da der Automat das erkennt. Und sollte das doch passieren haftet die Bank und nicht der Kunde, also kein Stress.
  43. Klaus Hoffmann
    Ich tippe schon seit Jahren meine Texte auf dem Tablet mit einem Eingabestift, gute Idee für die ATM nächstes Mal.
  44. Peter Enis
    Yoah ne, wer kennt es denn nicht. Der Kriminelle der innerhalb 30 Sekunden nachdem man vom Automaten weggeht: - Schnell Maskiert - Zum Automaten rennt - Dumm davor steht und ein Foto macht (Überwachungskameras sind ja auch überbewertet) - Zurück zu dir rennt und deine Karte klaut - Noch 3 andere Leute die in der Schlange stehen zu überlisten
Kommentar schreiben
[-AMP Version-]