Wer es drauf anlegt kann quasi ohne vorab vorhandene Informationen komplette Datensätze von Kreditkarten generieren und missbrauchen. Das haben Sicherheitsforscher jetzt nachgewiesen. Das Problem ist, dass bei den Banken faktisch kein Schutz vor verteilten Angriffen besteht. Um Transaktionen mit einer Kreditkarte auslösen zu können, benötigt man im Grunde drei Zahlen: Die Kreditkartennummer, das Ablaufdatum und den dreistelligen Sicherheits-Code. Die Payment-Systeme sind insbesondere darauf eingestellt, dass Angreifer versuchen, letzteren per Brute-Force-Angriff zu ermitteln, wenn sie die beiden ersten Angaben bereits haben. Daher wird nur eine begrenzte Zahl aufeinanderfolgender Eingabe-Versuche akzeptiert.
Der Schutz versagt allerdings, wenn Kriminelle beginnen, mit verteilten Attacken zu arbeiten. Das ist im Grunde kein besonderes Problem mehr, da beispielsweise Botnetze einfach angemietet und mit eigenem Code versorgt werden können. Wenn nun beispielsweise ein paar tausend Rechner auf hunderte oder gar tausende weltweit verteilte Online-Shops zugreifen und koordiniert Ziffernkombinationen durchprobieren, bis ein funktionierender Kreditkarten-Datensatz gefunden ist, erkennen dies die Schutzvorrichtungen im Hintergrund schlicht nicht.
Regelbetrieb startet: Motion Code-Kreditkarte stoppt Datendiebe
In Sekunden zu funktionierenden Daten
Das Verfahren wurde von Sicherheitsforschern in einem wissenschaftlichen Paper genauer beschrieben, das im Journal IEEE Security & Privacy veröffentlicht wurde. Darin wird auch vorgerechnet, dass es im Zweifelsfall nur wenige Sekunden dauert, bis ein komplett neuer, funktionierender Datensatz generiert werden kann. Der Angreifer benötigt dafür keine Daten von in Umlauf befindlichen Kreditkarten, sondern nur ein Notebook, eine Internet-Verbindung und ein Botnetz, über das ein verteilter Angriff organisiert werden kann.
Die Methode könnte zuletzt bei einem Angriff auf die Tesco Bank zum Einsatz gekommen sein. Dabei wurde vor einigen Wochen Geld von rund 20.000 Konten gestohlen. Dass durch einen Brute-Force-Angriff eine einzelne Bank getroffen wird, wäre dabei auf die Tatsache zurückzuführen, dass der erste Teil einer Kreditkarten-Nummer stets fest zu einem bestimmten Kreditinstitut gehört.
Quelle
Was sagt uns das wieder einmal ? 
Nichts ist sicher außer dem Tod und der Steuer. 
Linear-Darstellung
