Skimming (Betrug)

Manipulierter Geldautomat (BKA-Stand, Hessentag 2016):
– Leiste mit Minikamera über der Tastatur (kleines Loch)
– Zusätzliches Kartenlesegerät vor dem Karteneinschubschacht
– Aufsatz einer Platte mit täuschend echt wirkender Vorschalt-Tastatur

Skimming (englisch für „Abschöpfen“) ist ein Begriff für einen Man-in-the-Middle-Angriff, der illegal die Daten von Kreditkarten oder Bankkarten zum Kreditkartenbetrug ausspäht. „Beim Skimming werden illegal Kartendaten erlangt, indem Daten von Magnetstreifen ausgelesen und auf gefälschte Karten kopiert werden.“[1] Mit der gefälschten Karte erfolgt dann eine Abhebung bzw. Bezahlung zulasten des rechtmäßigen Karteninhabers.

Details

Ein typisches Angriffsmuster ist das gleichzeitige Ausspähen von Magnetstreifeninhalt der Kredit- oder EC-Karte zusammen mit der PIN an einem Geldautomaten. Die Daten der EC-Karte werden dann typischerweise auf einen leeren Kartenrohling (sog. White-Plastic) aufgebracht, mit dem die Betrüger dann – zusammen mit der PIN – Bargeld an Geldautomaten abheben können (Kontoplünderung). Da die Karte im Besitz des Eigentümers verbleibt, bemerkt der Inhaber des Kontos diesen Angriff in der Regel erst mit Abholung der Kontoauszüge oder wenn die Bank nach Überziehung des Dispositionskredits einschreitet.

Bei Geldautomaten sind inzwischen verschiedene Varianten beschrieben worden, denen gemeinsam ist, dass die fortschreitende Miniaturisierung der Lesegeräte die Manipulation von Automaten enorm vereinfacht. Eine Variante ist es, auf den Einschiebeschacht direkt am Geldautomaten ein Lesegerät in Form eines kleinen Kunststoffrahmens aufzubringen. Die Karte wird dann einfach durch das zusätzliche Lesegerät hindurch in den Automaten gezogen und dabei der Inhalt des Magnetstreifens ausgelesen. Alternativ werden auch Vorfälle berichtet, bei denen ein zusätzliches Lesegerät in den Türöffner der Filiale eingebaut wurde, denn häufig erfordert schon der Zutritt zum Vorraum mit dem Geldautomaten den Einsatz der Karte.[2]

Beim Deep-Insert-Skimming werden äußerst dünne „Kartenlese-Wanzen“ direkt in den Kartenschlitz von Bankautomaten eingeführt. Diese Wanzen bestehen aus einem Metallplättchen mit Leseeinheit, Speicherchip und einer sehr dünnen Batteriezelle.[3][4]

Die Eingabe der PIN wird meist mit einer kleinen Funk-Kamera gefilmt, die oft oberhalb der Tastatur in einer angeklebten Kunststoffleiste versteckt ist (sogenannte „Kameraleiste“). Diese ist in der Regel selbst für argwöhnische Benutzer kaum erkennbar. Es kommen aber auch ganze Tastenfeld-Attrappen (Skimmer) zum Einsatz, die über das eigentliche Tastenfeld geklebt werden und einfach die Tastendrücke aufzeichnen.[5] Auch mit Wärmebildkameras kann die PIN noch nach der Eingabe von der Tastatur abgelesen werden.[6]

Diese Angriffsmuster sind deshalb möglich, weil der Zugang zu den Kartendaten vom Lesegerät gesteuert wird,[7] nicht wie bei moderneren Smartcards von dem Chip auf der Karte selbst. Die Kartendaten sind auf dem Magnetstreifen ungeschützt und können von jedermann ausgelesen werden. Das ist bei Smartcards anders: Hier kann zum einen nur ein Teil des Inhalts überhaupt ausgelesen werden, zum anderen kontrolliert die Karte selbst die korrekte Eingabe der PIN und sperrt sich selbst nach einer gewissen Zahl von Fehlversuchen. Da viele Geldautomaten im Ausland (noch) nicht für Smartcards ausgelegt sind (zum Beispiel in Nord-, Mittel- und Südamerika), enthalten viele der ausgegebenen Kreditkarten oder Bankkarten weiterhin – auch wenn sie mit einem Chip ausgestattet sind – aus Kompatibilitätsgründen einen Magnetstreifen, der das Skimming begünstigt.

Bei Kreditkarten verfahren die Täter ähnlich. Hier wird die Karte des Opfers z. B. beim Bezahlen in einem Restaurant neben dem regulären Kartenlesegerät noch durch ein zweites gezogen.

Sofern das Opfer nicht grob fahrlässig gehandelt hat, ersetzt die jeweilige Bank den entstandenen Schaden. Bei einem Verdacht auf Diebstahl der Daten kann eine Karte bei der Zentralen Anlaufstelle zur Sperrung elektronischer Berechtigungen (Notrufnummer 116116) gesperrt werden.

Mit Antiskimming-Modulen kann durch den kombinierten Einsatz mehrerer Abwehrmechanismen das Skimming beinahe unmöglich gemacht werden.

Statistik

Registrierte Manipulationen an Geldautomaten
JahrDeutschland
ManipulationenGeräteEntstandener Schaden in Mio. Euro
20050219[8]07,00[8]
20060308[8]11,00[8]
20071349[9]21,00[8]
20082387[10]40,00[8]
20092058[11]0964[10]40,00[10]
20103183[12]1765[10]60,00[10]
201134,00[13]
201234,00[13]
201311,30[13]
201901,40[13]
2020152[14]01,06[13]
2021116[14] (Jan. – Nov.)00,33[14] (Jan. – Nov.)

Die rückläufige Summe der durch Skimming verursachten Schäden wird durch die Finanzbranche mit größeren Investitionen in die Sicherheit erklärt, bspw. durch Nutzung der EMV-Technik.[2]

Siehe auch

  • Cash Trapping

Literatur

  • Hacken statt knacken – Bankraub a la carte. In: Der Spiegel. Nr. 50, 1986 (online).

Weblinks

Einzelnachweise

  1. Pressemitteilung des BKA (Memento des Originals vom 4. März 2016 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bka.de
  2. a b Die Zeit: Banken: Kaum noch Datenklau am Geldautomaten in NRW, Frankfurt/Main, dpa, 16. Januar 2022
  3. Fabian A. Scherschel: Fast unauffindbar: Skimming mit Deep-Insert-Wanzen in Bankautomaten, heise Security, 9. Mai 2016
  4. Fabian A. Scherschel: l+f: Deep-Insert-Wanze bei der Arbeit im Bankautomat, heise Security, 14. Juni 2016
  5. Daniel Bachfeld: Angriff der Karten-Kloner, heise Security, 14. Dezember 2007
  6. Cem Güler: Bankautomaten Fingerzeig für Kriminelle, Süddeutsche Zeitung, 1. September 2015
  7. itwissen.info
  8. a b c d e f Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Jan Korte, Karin Binder, Caren Lay, weiterer Abgeordneter und der Fraktion DIE LINKE. (PDF; 88 kB) Schutz vor PIN-Skimming. 27. April 2011, abgerufen am 13. Juni 2011.
  9. Skimming nimmt in Deutschland dramatisch zu. Abgerufen am 13. Juni 2011.
  10. a b c d e Attacken auf Geldautomaten nehmen um die Hälfte zu. In: Welt Online. 10. Mai 2011, abgerufen am 13. Juni 2011.
  11. Tausende Kunden werden an Geldautomaten abgezockt. In: abendblatt.de. 10. Mai 2011, abgerufen am 13. Juni 2011.
  12. Manipulierte Geldautomaten: Karlsruher Polizei gibt Tipps. In: ka-news.de. 13. Juni 2011, abgerufen am 13. Juni 2011.
  13. a b c d e Weniger Datenklau am Geldautomat. Westfälische Nachrichten, Wirtschaft, Nachrichten, Frankfurt am Main, dpa, 18. Januar 2021
  14. a b c Süddeutsche Zeitung: Weniger Datenklau an Geldautomaten – „Skimming“, Wirtschaft, Frankfurt/Main, dpa, 19. Dezember 2021

Auf dieser Seite verwendete Medien

Skimming-BKA-Hessentag2016.jpg
Autor/Urheber: Cherubino, Lizenz: CC BY-SA 4.0
Manipulationen zum Ausspähen von Kartendaten an einem Geldautomaten, „Skimming“ (Zahlungskartenkriminalität), BKA-Stand, Hessentag 2016
  • Manipuliertes Kartenlesegerät vor dem Karteneinschubschacht
  • Aufsatz einer Platte mit täuschend echt wirkender Vorschalt-Tastatur
  • Leiste mit Minikamera über der Tastatur (kleines Loch)
Täter kopieren den Magnetstreifen am manipulierten Kartenlesegerät, und spähen die PIN durch eine Kamera oder Tastatur-Attrappe aus. Mit den Kartendaten heben sie im Ausland Geld ab.