PIN-Nummern von Bankkarten sind leicht zu knacken

[Tina206]

Habt Ihr auch das WDR-Wirtschaftsmagazin "markt“ gesehen? Berichtet wurde über den Fall einer jungen Frau, deren Sparkonto nach dem Diebstahl der Bankkarte leer geräumt wurde.

Da die Diebe sofort die richtige PIN-Nummern am Geldautomaten eingegeben hatten, behauptete die Bank, dass die Kundin entweder selbst das Geld abgehoben habe und die Karte gar nicht gestohlen wurde, oder dass sie die Geheimnummer womöglich auf die Bankkarte geschrieben hat.

Schließlich, so die Banken, sei es unmöglich, die PIN-Nummern von Bankkarten zu errechnen. Diese seien hundertprozentig sicher.
.Es soll Fälle geben, bei denen bestohlene Bankkunden den Brief mit der PIN noch ungeöffnet bei sich zu Hause haben. Niemand konnte also die PIN verraten oder ausgespäht haben, weil in diesen Fällen nicht einmal der Karteninhaber selbst seine PIN kenne.

Ein IT-Sicherheitsberater bestätigt das es für Spezialisten unter Umständen möglich sei, die PIN zu errechnen. Alles was man zur Entschlüsselung der PIN benötige, sei - neben der gestohlenen Karte - ein handelsübliches Kartenlesegerät und ein ungestörter Zugriff auf einen Geldautomaten - irgendwo auf der Welt.

Mit Hilfe des Automaten und den ausgelesenen Kartendaten lasse sich die PIN für Spezialisten in kurzer Zeit ermitteln, so der IT-Experte.

Angesichts der dokumentierten Missbrauchsfälle führt die Verbraucherzentrale NRW jetzt in insgesamt 74 Fällen Musterverfahren gegen diverse Banken. Im Kern geht es dabei immer um dieselbe Frage: Wer ist schuld daran, dass Unberechtigte Geld vom Konto abheben konnten? Von der Antwort hängt ab, wer den finanziellen Schaden zu tragen hat: die Bank oder der Kunde selbst?

Bin gespannt was dabei raus kommt.

[marsvin]

Zitat:

Zitat von Tina206

Habt Ihr auch das WDR-Wirtschaftsmagazin "markt“ gesehen? Berichtet wurde über den Fall einer jungen Frau, deren Sparkonto nach dem Diebstahl der Bankkarte leer geräumt wurde.

Da die Diebe sofort die richtige PIN-Nummern am Geldautomaten eingegeben hatten, behauptete die Bank, dass die Kundin entweder selbst das Geld abgehoben habe und die Karte gar nicht gestohlen wurde, oder dass sie die Geheimnummer womöglich auf die Bankkarte geschrieben hat.

Schließlich, so die Banken, sei es unmöglich, die PIN-Nummern von Bankkarten zu errechnen. Diese seien hundertprozentig sicher.
.Es soll Fälle geben, bei denen bestohlene Bankkunden den Brief mit der PIN noch ungeöffnet bei sich zu Hause haben. Niemand konnte also die PIN verraten oder ausgespäht haben, weil in diesen Fällen nicht einmal der Karteninhaber selbst seine PIN kenne.

Ein IT-Sicherheitsberater bestätigt das es für Spezialisten unter Umständen möglich sei, die PIN zu errechnen. Alles was man zur Entschlüsselung der PIN benötige, sei - neben der gestohlenen Karte - ein handelsübliches Kartenlesegerät und ein ungestörter Zugriff auf einen Geldautomaten - irgendwo auf der Welt.

Mit Hilfe des Automaten und den ausgelesenen Kartendaten lasse sich die PIN für Spezialisten in kurzer Zeit ermitteln, so der IT-Experte.

Angesichts der dokumentierten Missbrauchsfälle führt die Verbraucherzentrale NRW jetzt in insgesamt 74 Fällen Musterverfahren gegen diverse Banken. Im Kern geht es dabei immer um dieselbe Frage: Wer ist schuld daran, dass Unberechtigte Geld vom Konto abheben konnten? Von der Antwort hängt ab, wer den finanziellen Schaden zu tragen hat: die Bank oder der Kunde selbst?

Bin gespannt was dabei raus kommt.

Wie sich der Experte den "ungestörten Zugriff" auf einen Geldautomaten vorstellt, würde mich schon interessieren, dazu ist nämlich zumindest der Zugriff auf die "Innereien" des GA notwendig, zusätzlich braucht man den Verschlüsselungsalgorithmus des Sicherheitsmoduls, und das alles, um eine PIN zu ermitteln. Da it es warsceinlich eifacher, das Geld direkt aus dem Trsor mitzunehmen,
Siggi

[dieter]

...hier zum nachlesen...

http://www.wdr.de/tv/markt/20070903/b_1.phtml

[45meilen]

Habe da zwar nur eine sehr begrenzte Kenntnis der Materie, kann mir aber vorstellen dass in der Welt der Bits und Bytes alles möglich ist

[brmpfl]

Zitat:

Zitat von marsvin

Wie sich der Experte den "ungestörten Zugriff" auf einen Geldautomaten vorstellt, würde mich schon interessieren, dazu ist nämlich zumindest der Zugriff auf die "Innereien" des GA notwendig, zusätzlich braucht man den Verschlüsselungsalgorithmus des Sicherheitsmoduls, und das alles, um eine PIN zu ermitteln. Da it es warsceinlich eifacher, das Geld direkt aus dem Trsor mitzunehmen,
Siggi

Ich könnte mir ganz blauäugig vorstellen, dass sowohl der Verschlüsselungsalgorithmus als auch die Funktion eines Geldautomaten standardisiert und nachlesbar sind
Immerhin funktionieren die meisten EC-Karten an allen Geldautomaten...

Aber das ist natürlich geheim und nur für die guten zugänglich

Achso...Geldautomaten wurden auch schon diverse Male geklaut...


Hajo

[marsvin]

O.K., man redet also nicht vom errechnen der PIN, sondern von "ermitteln". Das geht natürlich schon mit einem Kartenlesegerät und irgendeinem GA: Karte in den GA, drei Versuche, eine PIN einzugeben, dann wird die Karte gesperrt. Wenn man genau weiss, wo was auf der Karte steht, kann man sie mir dem Kartenleser wieder "entsperren", dann hat man weitere drei Versuche, u.s.w.
Irgendwann, nach Stunden, erwischt man dann natürlich die richtige PIN, allerdings protokolliert der GA die ganzen Fehlversuche mit und die Kamera fotografiert die ganze Zeit den fleissigen Benutzer, ich glaube, den Tresor mitzunehmen ist doch einfacher,
Siggi
P.S.: Ich schiesse nicht nur so ins Blaue, ich habe die Dinger 15 Jahre lang repariert

[45meilen]

Zitat:

Zitat von marsvin

O.K., man redet also nicht vom errechnen der PIN, sondern von "ermitteln". Das geht natürlich schon mit einem Kartenlesegerät und irgendeinem GA: Karte in den GA, drei Versuche, eine PIN einzugeben, dann wird die Karte gesperrt. Wenn man genau weiss, wo was auf der Karte steht, kann man sie mir dem Kartenleser wieder "entsperren", dann hat man weitere drei Versuche, u.s.w.
Irgendwann, nach Stunden, erwischt man dann natürlich die richtige PIN, allerdings protokolliert der GA die ganzen Fehlversuche mit und die Kamera fotografiert die ganze Zeit den fleissigen Benutzer, ich glaube, den Tresor mitzunehmen ist doch einfacher,
Siggi
P.S.: Ich schiesse nicht nur so ins Blaue, ich habe die Dinger 15 Jahre lang repariert

Bei meinem Glück hau ich wahrscheinlich mit dem Auszugsdrucker ab

Das das allerdings Stunden dauern soll kann ich mir bei moderner Software nicht vorstellen

[hakl]

An einen GA zu kommen ist ganz einfach.
Der Weg in manche Länder ist lang, da fällt schon einer mal runter
Die Dienstleistung den Code zu knacken wird im Netz angeboten.
Sonst noch Fragen ????

War auch schon einfach an "verbotene" Dinge zu kommen, alles Frage der Rentabilität.

[marsvin]

Zitat:

Zitat von 45meilen

Bei meinem Glück hau ich wahrscheinlich mit dem Auszugsdrucker ab

Da wärst du jedenfalls nicht der Erste

Zitat:

Zitat von 45meilen

Das das allerdings Stunden dauern soll kann ich mir bei moderner Software nicht vorstellen

Naja, Karte rein, drei Versuche PIN-Eingabe, Karte raus, Karte in den Kartenleser, entsperren, dann wieder in den Automaten u.s.w., da ist mit Software nicht viel zu machen,
Siggi

[Emotion]

Es gibt Länder da bekommst du sogar Polizeischutz um sowas zu machen, kostet dann halt ne Kleinigkeit )

[marsvin]

Zitat:

Zitat von hakl

An einen GA zu kommen ist ganz einfach.
Der Weg in manche Länder ist lang, da fällt schon einer mal runter
Die Dienstleistung den Code zu knacken wird im Netz angeboten.
Sonst noch Fragen ????

War auch schon einfach an "verbotene" Dinge zu kommen, alles Frage der
Rentabilität.

Ein Neuer GA nützt aber noch nichts, weil da noch keine Schlüssel eingegeben sind,
Siggi

[hmigor]

Ihr denkt viel zu kompliziert. Die Daten incl. der PIN sind auf der Karte hinterlegt. Wenn ich Zugriff auf die Daten habe, weiss ich nach dem ersten Versuch, wo (welcher Datenblock) die PIN steht und kann diese entschlüsseln. Mögen mich die Profis jetzt steinigen, aber das sollte vereinfacht dargestellt, das Prinzip sein.

[marsvin]

Zitat:

Zitat von hmigor

Ihr denkt viel zu kompliziert. Die Daten incl. der PIN sind auf der Karte hinterlegt. Wenn ich Zugriff auf die Daten habe, weiss ich nach dem ersten Versuch, wo (welcher Datenblock) die PIN steht und kann diese entschlüsseln. Mögen mich die Profis jetzt steinigen, aber das sollte vereinfacht dargestellt, das Prinzip sein.

Das ist, auch stark vereinfacht, nicht das Prinzip. Die PIN steht nicht auf der Karte (Ich habe genügend Karten ausgelesen), sie wird vom Sicherheitsmodul des Automaten aus bestimmten Daten (welchen, weiss ich auch nicht) errechnet. Wenn du den Algoritmus nicht hast, kannst du die PIN auch nicht errechnen,
Siggi

[hmigor]

...irgendwo auf dem Magnetstreifen muss die Info zur PIN sein, sonst würde es keinen Sinn machen, sie einzugeben...

[marsvin]

Die PIN wird aus Daten errechnet, die auf der Karte vorhanden sind, soweit ist das richtig. Du musst jetzt nur noch wisssen, welche Daten nach welcher Formel miteinander verknüpft werden, um eine vierstellige Zahl zu ergeben,
Siggi

[Eckaat]

Du meine Güte, ist das kompliziert-wie gut ich das da habe.

Schiebt der Dieb meine Karte irgendwo in einen Automaten, dann kann er mit der PIN überhaupt nichts anfangen.

Nach dem ersten Versuch Geld abzuheben wird er folgenden Bildschirm sehen:















AUSZAHLUNG NICHT MÖGLICH - GAME OVER!



Gruß Ecki

[Volker Sch]

Hallo allerseits,

Als die Karten in den neunziger Jahren rauskamen, behaupteten die Banken steif und fest, dass die Pin nicht auf der Karte verzeichnet sei.
Das hat ihnen schon damals keiner geglaubt.
Nun wird behauptet, die pin ist zwar auf der Karte, aber so verschlüsselt, dass kein Unbefugter an sie herankommt.
Auch das sollte man den Banken nicht glauben, denn alles was verschlüsselt ist, kann auch entschlüsselt werden. Das ist so seit es Verschlüsselungen und Codes gibt.

Viele Grüße

Volker

[Bubi]

Zitat:

Zitat von Volker Sch

Hallo allerseits,

Als die Karten in den neunziger Jahren rauskamen, behaupteten die Banken steif und fest, dass die Pin nicht auf der Karte verzeichnet sei.
Das hat ihnen schon damals keiner geglaubt.
Nun wird behauptet, die pin ist zwar auf der Karte, aber so verschlüsselt, dass kein Unbefugter an sie herankommt.
Auch das sollte man den Banken nicht glauben, denn alles was verschlüsselt ist, kann auch entschlüsselt werden. Das ist so seit es Verschlüsselungen und Codes gibt.

Viele Grüße

Volker

über solchen starrsinn(geht nicht) ist schon das 1000jährige reich gestolpert
mit der behauptung, dass die enigma nicht zu entschlüsseln sei
hr dönitz hat desswegen mehrere u-boote samt besatzung verloren

[Thomas Hamburg]

Nein, Siggi hat schon recht. Überlegt doch einmal: Wenn Du eine neue Karte bekommst, ändert sich der PIN? Nein. Was beleibt konstant? BLZ und Kto. Nr. Vielleicht noch Prüfziffern. Da die ganze Schoose auch offline gehen muß, kann eigentlich nur die PIN aus den konstanten Daten ermittelt werden. Die auf der Karte sind.
Schwachstellen sind m.E. nicht ein "heruntergefallener" GA, sondern die Kartengeräte in Tankstellen, Kaufhäuser etc. Protokollier doch einmal 5000 Kartenbewegungen mit. Und schon hast Du genug Material um einen PC rückwärts rechnen zu lassen

Meine Ausrede, wenn mir mißbräuchlich geld abgehoben wird: Ich habe mir in der Vergangenheit mindestens 3 mal die PIN wieder ausrechnen lassen (kostenpflichtig), weil ich eigentlich mir nur die Fingerbewegung auf der Tastatur gemerkt hatte. Und nach vier Wochen Urlaub war ich dann unsicher. Ergo kann ich mir die Nummer nicht gaufegschrieben haben oder ?

[elbeschlauchbootfahrer]

Bei der HVB konnte ich meine PIN direkt am Geldautomaten ändern. Wo wird die also "aufgeschrieben" sein

[BadWolfi]

Liebe Freunde!

Ich beschäftige mich beruflich mit Parkhaussystemen wo mit EC-Karte abgerechnet wird. Ich kann euch mit 100% Sicherheit sagen, daß auf einer EC Karte kein PIN hinterlegt ist.
Die Kartennummer ist in Klartext auslesbar.
Bei einer Transaktion wird über das Bankennetzwerk die Kartennummer und der PIN an eine zentrale Stelle geschickt. (natürlich verschlüsselt) Dort wird überprüft ob Die 2 Nummern zusammenpassen und erst danach wird die Freigabe zurückgesendet.

Der Nachteil für uns Errichter liegt darin, daß wirklich jedes EC System online mit dem Bankennetzwerk verbunden sein muß.

Es gibt sogenannte Offlinesysteme. Da wird die Kare mit einer sogenannten Blacklist verglichen. (Da sind mehrere 100000 gestohlene Karten enthalten) Bei diesen Systemen ist es natürlich möglich mit einer gestohlenen Karte zu zahlen. Die Blacklisten werden aus praktischen Gründen nicht immer top. aktuell gehalten. Bei Offlinesystemen werden meistens nur kleine Beträge (zB Parkhaus) akzeptiert. Gestohlen gemeldete Karten mit denen bei so einem System bezahlt wird gegen immer zu Lasten des Anlagenbetreibers.

Die einzig bekannte Methode um an PIN und Kartennummer zu kommen funktioniert über manipulierte Zahlterminals. Da wird Kartennummer und PIN bei der Eingabe abgefangen und gesondert gespeichert.

Aber nochmals: Die Kartennummer und der PIN können mit Sicherheit nicht errechnet werden da sie in keinem mathematischen Zusammenhang stehen. Der PIN ist auf der Karte einfach nicht abgespeichert.

Herzliche Grüße
BadWolfi

[boneman]

Zitat:

Zitat von elbeschlauchbootfahrer

Bei der HVB konnte ich meine PIN direkt am Geldautomaten ändern. Wo wird die also "aufgeschrieben" sein

Jepp, ging bei Dresdners auch. Fand ich sehr gut, nicht immer die ganzen Mist Nummern merken.

Aber dazu muß nicht die PIN auf der Karte gespreichert sein, dass wäre auch zu einfach und hätte bereits das Ende der Bankkarten bedeutet. Um die Nummer zu ändern mußt Du ja nur einen Teil eines wie auch immer gearteten Algorythmus auf der Karte speichern. Das hilft dem Dieb wenig.
Die Panzerknacker müssen schon die Formel kennen, was ich aber für sehr wahrscehinlich halte. Die Banken werde so lange leugnen, bis es jemand live im Gerichtssaal an einer neuen Karte vormacht.

Gruß

A.

[Volker Sch]

Zitat:

Zitat von BadWolfi

Liebe Freunde!

Ich beschäftige mich beruflich mit Parkhaussystemen wo mit EC-Karte abgerechnet wird. Ich kann euch mit 100% Sicherheit sagen, daß auf einer EC Karte kein PIN hinterlegt ist.

Das behaupten selbst die Banken nicht mehr.

[Thomas Hamburg]

Zitat:

Zitat von BadWolfi

Liebe Freunde!

Ich beschäftige mich beruflich mit Parkhaussystemen wo mit EC-Karte abgerechnet wird. Ich kann euch mit 100% Sicherheit sagen, daß auf einer EC Karte kein PIN hinterlegt ist.
Die Kartennummer ist in Klartext auslesbar.
Bei einer Transaktion wird über das Bankennetzwerk die Kartennummer und der PIN an eine zentrale Stelle geschickt. (natürlich verschlüsselt) Dort wird überprüft ob Die 2 Nummern zusammenpassen und erst danach wird die Freigabe zurückgesendet.

Der Nachteil für uns Errichter liegt darin, daß wirklich jedes EC System online mit dem Bankennetzwerk verbunden sein muß.

Es gibt sogenannte Offlinesysteme. Da wird die Kare mit einer sogenannten Blacklist verglichen. (Da sind mehrere 100000 gestohlene Karten enthalten) Bei diesen Systemen ist es natürlich möglich mit einer gestohlenen Karte zu zahlen. Die Blacklisten werden aus praktischen Gründen nicht immer top. aktuell gehalten. Bei Offlinesystemen werden meistens nur kleine Beträge (zB Parkhaus) akzeptiert. Gestohlen gemeldete Karten mit denen bei so einem System bezahlt wird gegen immer zu Lasten des Anlagenbetreibers.

Die einzig bekannte Methode um an PIN und Kartennummer zu kommen funktioniert über manipulierte Zahlterminals. Da wird Kartennummer und PIN bei der Eingabe abgefangen und gesondert gespeichert.

Aber nochmals: Die Kartennummer und der PIN können mit Sicherheit nicht errechnet werden da sie in keinem mathematischen Zusammenhang stehen. Der PIN ist auf der Karte einfach nicht abgespeichert.

Herzliche Grüße
BadWolfi

Wie sieht es dann im Ausland aus? In frankreich sind defenitiv die Banken mit deutschen nicht direkt vernetzt. Eine Karte, die ein GA hier in Hbg verhunzt hatte, (Geld ließ sich an keinem deutschen GA mehr abheben) wurde an franz. Automaten einwandfrei gelesen und auch Geld ausgezahlt.
Und die Bankwirtschaft hatte bisher immer von einen Rechenalgorithmus gesprochen.

[hmigor]

...wie wäre es denn, wenn die Karten so manipuliert werden, dass lediglich eine "neue" PIN installiert wird....bzw. dem GA vorgegaukelt wird, die eingegebene "Phantasie"-PIN ist Korrekt...