Sicherheit: Lesegeräte senden Kreditkarten-Daten nach Pakistan

In den Kartenlesern britischer Supermärkte ist ein Chip verbaut, der Kontodaten nach Pakistan funkt. Britische Behörden beziffern den Schaden auf mindestens 37 Millionen Euro. Nur durch Zufall wurde die Betrugsmasche entdeckt, auch in weiteren EU-Ländern sind manipulierte Geräte aufgetaucht.

Informationen des Wall Street Journals zufolge wurden in Kartenlesern an den Kassen von britischen Walmart- und Tesco-Filialen kleine Zusatzplatinen verbaut. Diese sendeten einmal am Tag die gesammelten Karteninformationen per Mobilfunk an Server in Pakistan. Möglich war das durch eine Zusatzplatine, die offenbar bereits während der Herstellung im Gerät montiert worden war.

Die noch unbekannten Täter nutzen die Karten laut Wall Street Journal nachweislich für Transaktionen und Ticketkäufe. Britische Behörden nennen eine Schadenssumme zwischen 35 und 75 Millionen Euro, Tendenz steigend. Mittlerweile seien auch Funde in Irland, Dänemark, Holland und Belgien bekannt, US-Ermittler sprechen von hunderten manipulierter Kartenleser.

Störgeräusche als heiße Spur

Von außen ist solch ein Gerät nicht zu erkennen, lediglich das etwa einhundert Gramm höhere Gewicht dient als Indiz. Die erste Entdeckung der Betrugsmasche war ein Zufall: Ein Wachmann vernahm in der Nähe eines Kartenlesers Störgeräusche in seinem Funkgerät und alarmierte daraufhin die Polizei. Die entdeckte eine zusätzliche Platine hinter dem Mainboard des Kartenlesers, welche für die Funkverbindungen verantwortlich ist.

Die Chip-Steuerung ist dabei laut britischen Behördenberichten raffiniert: So sei es möglich, etwa nur die Daten von Visa-Platin-Karten zu speichern oder nur jede dritte Bezahlung. Insgesamt seien pro Tag und Gerät etwa fünf bis zehn Nummern von Kreditkarten nach Pakistan gefunkt worden, heißt es. Wer die zusätzlichen Platinen in die in China produzierten Lesegeräte verbaut hat und welche Ausmaße dieser Betrugsversuch angenommen hat, ist noch nicht bekannt.

Unklar ist weiterhin, ob lediglich die Lesegeräte für klassische Kreditkarten manipuliert wurden oder auch die in deutschen Supermärkten verbreiteten Bezahlsysteme für EC-Karten betroffen sind.