PIN-Verfahren bei Kreditkarten etc. endgültig gebrochen

So jedenfalls ist es im Kaspersky-Blog threatpost zu lesen. Die Universität Cambridge hat ein Verfahren entwickelt, mit dem man PIN-basierte Karten zum bezahlen benutzen kann, ohne die PIN zu wissen – 0000 reicht aus! Auf der Webseite Light Blue Touchpaper wurde dazu ein Beitrag gepostet, der wegen des bisher entstandenen Wirbels um den Angriff einige Dinge klarstellt:

“We can set the record straight on a few things:

  • the attack applies to cards used online (where the merchant POS contacts the bank) as well as offline;
  • the attack works regardless of the amount of money spent (not just for small value amounts that are below floor limit);
  • the attack doesn’t work once a card has been cancelled by the bank — just like stolen cards in the past can only be used for a certain window of time once the cardholder discovers the loss;
  • the attack doesn’t work at ATMs (cash machines);
  • the failure applies to bank card schemes based on EMV – the most widely deployed standard for smartcard payments. Older national smartcard schemes may or may not be vulnerable; we don’t know.”

BBC berichtete gestern Abend ausführlich mit einem Video-Beitrag und einem Artikel. Es handelt sich um den bisher schwersten Angriff auf das PIN-Verfahren. Ich bin schon sehr auf die Berichterstattung in Deutschland gespannt.

Hinterlassen Sie einen Kommetar

Mit dem Absenden Ihres Kommentars willigen Sie ein, dass der angegebene Name, die E-Mail-Adresse und die IP-Adresse, die Ihrem Internetanschluss aktuell zugewiesen ist, von mir im Zusammenhang mit Ihrem Kommentar gespeichert werden. Die E-Mail-Adresse und die IP-Adresse werden natürlich nicht veröffentlicht oder sonst weitergegeben. Mehr hierzu in der Datenschutzerklärung.