Kreditkarte
Kreditkarte
Bildquelle: Johan Swanepoel, thx!, Lizenz

NordVPN-Hinweis: Hacken einer Zahlungskarte in nur 6 Sekunden möglich

Der VPN-Dienstanbieter, NordVPN, warnt davor, dass eine durchschnittliche Zahlungskarte in nur sechs Sekunden geknackt werden kann.

Eine von NordVPN, einem VPN-Dienstanbieter, veröffentlichte aktuelle Studie analysierte statistische Daten, die unabhängige Forscher sammelten, die auf die Erforschung von Cybersicherheitsvorfällen im Darknet spezialisiert sind, in denen man solche Zahlungskartennummern anbietet. Dabei werteten sie eine Datenbank aus, die die Details von insgesamt 4.478.908 Karten aus 140 Ländern enthielt.

NordVPN stellt fest, dass Brute Force die häufigste Methode zum Hacken einer Zahlungskarte ist. Diese Art von Angriff sei unglaublich schnell. Demgemäß könne eine durchschnittliche Debit- oder Kreditkarte in nur sechs Sekunden geknackt werden. NordVPN nahm dahingehend Bezug auf Untersuchungen von Forschern der Newcastle University. Die konkrete Angriffsmethode bezeichneten diese als Distributed Guessing Attack.

Boomender Schwarzmarkt für Zahlungskarten-Nummern im Darknet

NordVPN verdeutlicht, dass viele Leute annehmen, falls ein Dieb in den Besitz von Zahlungskartendaten käme, die Karte dennoch sicher wäre, da sie ja nicht gestohlen wurde. Dies sei jedoch ein weit verbreiteter Irrglauben. Die Sicherheitsforscher klären darüber auf, dass es einerseits die Möglichkeit gibt, Zahlungskartennummern herauszufinden, ohne gleich in eine Datenbank einzubrechen.

„Brute Force“ ist die dabei die häufigste Methode, um eine Zahlungskarte zu hacken. Andererseits gibt es für diese Daten auch einen boomenden Schwarzmarkt. Diese Nummern werden millionenfach für etwa 10 USD pro Karte in Darknet-Markets verkauft.

In der Kryptografie besteht ein Brute-Force-Angriff darin, dass ein Angreifer viele Passwörter oder Passphrasen einreicht, in der Hoffnung, sie schließlich richtig zu erraten. Der Angreifer prüft systematisch alle möglichen Passwörter und Passphrasen, bis er schließlich das richtige gefunden hat. Brute-Force-Angriffe funktionieren, indem sie jede mögliche Kombination berechnen, aus der ein Passwort bestehen könnte, und testen, ob es das richtige Passwort ist. Mit zunehmender Länge des Passworts steigt die durchschnittliche Zeit, um das richtige Passwort zu finden, exponentiell an. NordVPN erklärt dazu:

„Brute Force ist ein bisschen wie raten. Stellen Sie sich einen Computer vor, der versucht, Ihr Passwort zu erraten. Zuerst versucht er 000000, dann 000001, dann 000002 und so weiter, bis es richtig ist. Da es sich um einen Computer handelt, kann er Tausende von Vermutungen pro Sekunde anstellen.“

NordVPN-Studie: Mittels Brute-Forcing zu Zahlungskarten-Nummern

Marijus Briedis, CTO bei NordVPN, informiert:

„Die einzige Möglichkeit, wie eine so große Anzahl von Zahlungskarten im Darknet auftauchen kann, ist Brute-Forcing. Das bedeutet, dass die Kriminellen im Grunde versuchen, die Kartennummer und den CVV zu erraten. Die ersten 6-8 Zahlen sind die ID-Nummer des Kartenausstellers. Damit bleiben den Hackern 7-9 Zahlen, die sie erraten müssen, denn die 16. Ziffer ist eine Prüfsumme. Diese verwendet man nur, um festzustellen, ob bei der Eingabe der Nummer ein Fehler vorliegt. Um die neun Ziffern zu erraten, die für eine vollständige Kartennummer erforderlich sind, muss ein Computer 1 Milliarde Kombinationen durchspielen. Ein typischer Computer, der etwa 25 Milliarden Kombinationen pro Stunde ausprobieren kann, braucht dafür nur eine Minute. Je nach Kartenaussteller benötigt ein Krimineller jedoch möglicherweise nur sieben Ziffern, um eine korrekte Vermutung anzustellen. In diesem Fall würden sechs Sekunden ausreichen.“

Die meisten Kartenherausgeber begrenzen die Anzahl der möglichen Eingaben, um diese Art von Angriffen zu verhindern. Allerdings würden die Kriminellen Wege finden, diese Beschränkungen zu umgehen. Mastercard zum Beispiel hat ein zentralisiertes Authentifizierungssystem. Ein Krimineller kann es also nur etwa 10 Mal mit einer Nummer versuchen, bevor das zentralisierte System von Mastercard dies erkennt.

nordvpn

Mit dem Sicherheitssystem von Visa kann ein Betrüger es 30 bis 40 Mal versuchen, vielleicht sogar noch öfter. Und wenn er sich die richtige Tageszeit aussucht, wenn viel los ist, kann er es noch viel öfter versuchen, weil das System dezentralisiert und föderiert ist, zeigt Briedis auf.

Dies steht im Zusammenhang mit der Tatsache, dass mehr als die Hälfte (2.524.142) aller entdeckten Zahlungskarten Visa-Karten waren, gefolgt von Mastercard (1.602.248) und American Express (215.971).

Sicherheitstipps

NordVPN weist ferner darauf hin, dass deshalb Kartennutzer ihre monatlichen Abrechnungen auf verdächtige Aktivitäten überprüfen und schnell auf jede Sicherheitsmitteilung ihrer Bank reagieren sollten. Ansonsten gibt es nur wenig, was Nutzer tun können, um sich vor dieser Bedrohung zu schützen. Es sei denn, man verzichtet ganz auf den Einsatz von Karten. Am wichtigsten wäre es, wachsam zu bleiben. Briedis ergänzt:

„Eine weitere Empfehlung ist, ein separates Bankkonto für verschiedene Zwecke zu haben und nur kleine Geldbeträge auf dem Konto zu halten, mit dem die Zahlungskarten verbunden sind. Einige Banken bieten auch vorübergehend virtuelle Karten an, die Sie verwenden können, wenn Sie sich beim Online-Shopping nicht sicher fühlen.“

Tarnkappe.info


Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.