Zahlreiche Kunden der US-amerikanischen Supermarkt-Kette Target erlebten vergangenes Jahr ebenso absurde wie schockierende Momente, als sie ihre Kreditkartenrechnung erhielten: Einer jungen Studentin wurden 700 Dollar verrechnet, die sie angeblich in einem "Ölgeschäft" in Sibirien ausgegeben hatte. Ein Navy-Seal musste dutzende Beträge zwischen sieben und 20 Dollar bezahlen, die er in Supermärkten quer durch die USA konsumiert haben soll. Und so weiter und so fort. Der Haken: Alle Angaben waren nicht richtig – die Kreditkarten waren von Betrügern benutzt worden, die zuvor Datenbanken von Target geplündert hatten. Kunden von Home Depot und zahlreichen kleineren Ketten passierte Ähnliches, im Normalfall müssen sie nicht für den Schaden haften.
Zugriff aus der Ferne
Den großen Händlern schaden solche Vorfälle jedoch enorm. Ihr größter Feind sind sogenannte "Ram Scraper", die in den letzten Jahren zum wichtigsten Werkzeug für Kreditkarten-Hacker wurden. Visa warnte bereits 2008 vor dem Tool, seitdem sind Ram Scraper allerdings noch leichter verfügbar und noch vielfältiger geworden. Es gibt Developer Kits, fertige Ram Scraper werden im Untergrund verkauft. Der große Vorteil: Im Unterschied zu beispielsweise Skimmern, die bei Bankomaten Pin-Codes aufzeichnen, können Ram-Scraper aus der Fernse installiert werden. Um ihre Funktionsweise zu verstehen, muss man sich zunächst das Prinzip von Kreditkarten-Transaktionen vor Augen halten.
Verschlüsselung hat Lücken
Händler schicken die Kreditkarten-Daten beim Bezahlen an eine Bank, um sie authentifizieren zu lassen. Größere Ketten benutzen dazu eigene Datencenter, kleinere setzen auf Drittfirmen. Branchenstandards verpflichten Unternehmen dazu, die Kreditkarten-Daten bei der Speicherung zu verschlüsseln, jedoch nicht beim Versand im eigenen Netzwerk. Viele Händler tun dies auf eigene Faust, dennoch bleibt dank der Konstruktion der Geräte immer ein kleiner Moment, in dem die Daten frei offenlegen.
Eindringen durch Phishing oder Insider
Hier kommt der RAM-Scraper ins Spiel, der die Daten (namensgebend) von der Random-Access Memory (RAM) der Bezahlinstrumente stiehlt. Er wird installiert, indem Hacker in das Firmennetzwerk eindringen. Sie nutzen Sicherheitslücken, durchbrechen Vorkehrungen, haben einen Insider oder arbeiten mit Phishing-Mails. Wenn der RAM-Scraper installiert ist, untersucht er das System nach Kreditkarten-Daten. Die Effizienz der Daten variiere dabei, so Wired: Manche sind sehr präzise, andere identifizieren auch viel Themenfremdes als Kreditkarten-Daten.
Via Tor an Hacker
Hat der RAM-Scraper nun ausreichend viel gesammelt, verschlüsselt er seinen Fund und schickt ihn an seinen Inhaber – natürlich über Proxyserver, manche benutzen direkt den Anonymisierungsdienst Tor. Der Kriminelle lädt nun die gefundenen Daten auf eine leere Dummy-Kreditkarte – und geht damit einkaufen oder verkauft diese weiter. Das passierte etwa auch beim Target-Hack, wo insgesamt 40 Millionen Datensätze entwendet worden waren. Die Betrüger hatten dort Ram-Scraper installiert und exakt am Tag vor Thanksgiving aktiviert. In den nächsten zwei Wochen schickten die Tools alle sieben Stunde Datensätze gen Russland, wo die Betrüger beheimatet waren. Laut Businessweek schlugen dabei mehrere Warnsysteme Alarm, die allerdings von den Target-Verantwortlichen ignoriert worden waren.
Umstellung auf "europäische" Karten gefordert
Lösungsvorschläge gibt es zur Genüge: Experten fordern beispielsweise, dass die Verschlüsselungsmechanismen schon vom Beginn der Eingabe an aktiviert werden müssten. Dazu bräuchte es allerdings neue Protokolle. Eine große Verbesserung würde auch die Umstellungen auf EMV-Karten geben, bei denen die Authentifizierung auch durch einen goldenen Chip funktioniert. In Europa und Kanada sind diese Karten mittlerweile Standard, in den USA sind hingegen Karten, die nur durch den Magnetstreifen kommunizieren, weit verbreitet. Visa fordert jetzt eine Umstellung auf das "europäische System", die bis Ende 2015 erfolgen soll. Aber auch die EMV-Karten sind nicht vollends geschützt, in Österreich gab es laut Wiener Zeitung ebenso Fälle von Kreditkarten-Missbrauch. Einen Fortschritt brächte die Umstellung aber allemal. (fsc, derStandard.at, 1.10.2014)