EC-Betrug am Fahrkartenautomaten
Skimming entwickelt sich nicht mehr nur für Banken zum ernstzunehmenden Problem. Auch die Fahrkartenautomaten der Deutschen Bahn im Mainzer Hauptbahnhof wurden jüngst von Betrügern so manipuliert, dass eine Kopie der genutzten EC-Karte hergestellt werden konnte.
Zu diesem Zwecke manipulierten die Kriminellen mehrere Automaten im Mainzer Hauptbahnhof mit Aufsätzen vor dem EC-Kartenschlitz. Eine durch diesen Aufsatz eingezogene Karte wurde ausgelesen, so dass Kopien davon angefertigt werden konnten. Die PIN erlangten die Kriminellen durch eine über dem Tastenfeld montierte Mini-Kamera. Möglich ist diese Betrugsmasche durch den Magnetstreifen der EC-Karte. Auch wenn in Deutschland fast ausschließlich der auf der EC-Karte angebrachte Chip zur bargeldlosen Zahlung und zum Abheben von Bargeld genutzt wird, befindet sich, quasi als Backupsystem, weiterhin der mittlerweile veraltete und als unsicher geltende Magnetstreifen auf der Rückseite der Karten. Dieser wird als Ausfalllösung für defekte Chips genutzt. Allerdings sind die Daten dieses Streifens leicht und mit geringem technischen Aufwand auszulesen. Im Ausland jedoch wird der Magnetstreifen noch oft zur Zahlung eingesetzt, viele Länder haben noch nicht auf die verschlüsselten Chips umgestellt. Und in eben diesen Ländern können die Skimmer mit den kopierten EC-Karten und der per Kamera abgegriffenen PIN einkaufen gehen und Geld abheben.
Ein Sprecher der Deutschen Bahn gab auf Nachfrage von heise Security an, dass bereits im März zehn Fahrkartenautomaten in Oberhausen, Koblenz, Bielefeld und Mülheim an der Ruhr manipuliert und für Skimming missbraucht wurden. Daraufhin habe die Bahn die Bundespolizei und das DB-Sicherheitspersonal angewiesen, die Automaten regelmäßig auf Manipulationen zu kontrollieren. Es wurde auch ein Update eingespielt, das die Kunden bei der Eingabe der PIN anweist, das Tastenfeld für die Eingabe zu verdecken.
Generell sollte bei in Außenbereichen stehenden Geld-, Fahrschein- oder auch Tankstellenautomaten nach auffälligen Änderungen Ausschau gehalten werden. In Zweifel ist es zudem immer ratsam, das Tastenfeld bei der PIN-Eingabe zu bedecken – mit den Magnetstreifendaten ohne PIN-Nummer können die Betrüger deutlich weniger anfangen als mit einer passenden Kombination. Im Betrugsfall sollte der Vorfall der zuständigen Bank gemeldet werden. In der Regel erstatten die Banken den Schaden. Doch auch wer seinen Magnetstreifen ungültig macht und sich so vor Angreifen sicher schätzt: Auch die Chips können ausgelesen werden. Der technische Aufwand ist dabei zwar höher, dennoch sind bereits Fälle bekannt, in denen auch die Verschlüsselung der Chips geknackt wurde.