Kriminelle schaffen es, Konten zu plündern, während die Karte sicher in Ihrer Brieftasche liegt.
Ein einziger unachtsamer Einkauf oder Bargeldabhebung genügt bereits.
Seit mehreren Jahren nimmt die Welle der Angriffe auf Zahlungskarten dramatisch zu – sowohl an Geldautomaten als auch in Webshops. Die Methoden werden zunehmend ausgefeilter und bleiben für normale Nutzer oft völlig unsichtbar. Das Ergebnis ist immer gleich: Tausende Euro verschwinden vom Konto, und der Karteninhaber bemerkt es erst im Nachhinein.
Von primitiven Aufsätzen zu unsichtbaren Geräten
Die ersten Methoden zum Diebstahl von Kartendaten betrafen hauptsächlich Geldautomaten und Self-Service-Terminals, beispielsweise an Tankstellen. Kriminelle montierten spezielle Überzüge, die Originalkomponenten der Geräte täuschend echt nachbildeten. Der Aufsatz las Daten vom Magnetstreifen, während eine winzige Kamera oberhalb der Tastatur die eingegebene PIN aufzeichnete.
Bei moderneren Varianten senden diese Vorrichtungen abgefangene Informationen über Bluetooth oder andere drahtlose Verbindungen. Der Dieb muss nicht einmal zurückkehren, um die Ausrüstung abzuholen – die Daten fließen kontinuierlich direkt auf sein Smartphone oder Notebook.
Dünn wie Papier: neue Generation von Chip-Angriffen
Karten mit Chip haben das simple Kopieren des Magnetstreifens erheblich erschwert. Der Chip generiert für jede Transaktion einen einzigartigen Code, sodass einfaches Klonen gespeicherter Informationen selten ausreicht. Verbrecher entwickelten daher eine Übergangslösung – hauchdünne Module, die in das Kartenlesegerät eingeführt werden und von außen absolut unsichtbar bleiben.
Diese Module belauschen die Kommunikation zwischen Karte und Terminal im Moment der Zahlung. Die gewonnenen Informationen dienen zur Herstellung gefälschter Karten mit Magnetstreifen, die in Ländern oder an Geldautomaten verwendet werden, welche noch Transaktionen im Notfallmodus ohne vollständige Chip-Verifizierung erlauben.
In Europa führt die Polizei regelmäßig Razzien gegen organisierte Gruppen durch, die auf diese Art von Diebstahl spezialisiert sind. Das Schema ähnelt sich: infizierte Geldautomaten oder Terminals an Tankstellen, wobei Bargeldabhebungen oder Einkäufe in einem anderen Land erfolgen – nicht selten auf einem anderen Kontinent.
Der größte Vorteil der Kriminellen besteht heute darin, dass ihre Ausrüstung für Nutzer von Geldautomaten und Terminals praktisch unsichtbar ist.
Neue Front: Kartendatendiebstahl in Onlineshops
Ein markanter Trend der letzten Jahre ist die Verlagerung von Betrug von physischen Geldautomaten in die Online-Welt. Internetgeschäfte wurden zum idealen Ziel, weil eine einzige erfolgreiche Infektion ermöglicht, Kartendaten von Tausenden Kunden auf einmal abzufangen.
Der Mechanismus ist überraschend simpel. Cyberkriminelle schleusen ein schädliches Skript auf die Zahlungsseite ein. Es kann sich buchstäblich um wenige Zeilen JavaScript-Code handeln, die auf den ersten Blick nicht sichtbar sind. Wenn der Kunde Kartendaten eingibt – Nummer, Ablaufdatum, dreistelligen Sicherheitscode – sendet das Skript diese heimlich an einen von Angreifern kontrollierten Server.
Angriff über externe Dienstleister
Viele Onlineshops nutzen fertige E-Commerce-Plattformen, Analyse- und Werbe-Erweiterungen. Für Kriminelle ist das eine riesige Gelegenheit. Anstatt einen Shop nach dem anderen anzugreifen, versuchen sie, die Kontrolle über einen Anbieter solcher Erweiterungen zu übernehmen.
Gelingt es, ein von Tausenden Websites genutztes Tool zu infizieren, gelangt der schädliche Code sofort in ein ganzes Netzwerk von Geschäften. In den vergangenen Jahren wurden Angriffe beschrieben, bei denen auf diese Weise Hunderte Millionen Kartennummern gestohlen wurden, einschließlich solcher aus europäischen Shops.
Skripte versteckt in Bildern und auf Fehlerseiten
Um die Entdeckung zu erschweren, erfinden Angreifer immer kreativere Methoden zur Verschleierung des Codes. Manchmal sind schädliche Fragmente in kleinen Website-Icons (Favicons) versteckt oder geben sich als populäre Analysetools aus.
Es wurden auch Kampagnen beschrieben, bei denen unauffällig die Fehlerseite „404 – Seite nicht gefunden“ manipuliert wurde. Eine solche Unterseite erweckt normalerweise keinen Verdacht bei Administratoren und Sicherheitssysteme überwachen sie nur schwach. Der Kunde sah beim Bezahlen ein scheinbar normales Formular, doch nach Eingabe der Daten war die Karte bereits kopiert. Schließlich erschien eine Meldung über einen „Sitzungsfehler“, die die Notwendigkeit erklärte, die Transaktion zu wiederholen.
Der Nutzer sieht nur einen ärgerlichen Zahlungsfehler. In Wirklichkeit ist seine Karte gerade möglicherweise in einer Datenbank gelandet, die auf kriminellen Foren verkauft wird.
Wie Sie mit niedrigerem Risiko am Geldautomaten und Terminal bezahlen
Auch wenn diese Bedrohung ernst klingt, senken einige einfache Gewohnheiten die Chance erheblich, dass jemand Ihre Kartendaten in der Offline-Welt abfängt.
- Nutzen Sie kontaktloses Bezahlen – wenn die Karte nicht in das Lesegerät eingeführt werden muss, verlieren die meisten physischen Aufsätze ihren Sinn.
- Verdecken Sie die Tastatur mit der Hand bei der PIN-Eingabe, sowohl am Geldautomaten als auch an der Kasse.
- Wählen Sie Geldautomaten in Banken oder Einkaufszentren, nicht einzeln stehende Geräte auf der Straße, besonders nachts.
- Prüfen Sie, ob Gehäuseteile nicht locker sind – bewegliche Verkleidungen, hervorstehende Kabel oder Klebespuren sollten sofort Verdacht erregen.
- An Tankstellen bevorzugen Sie Säulen nahe dem Gebäude, da sie besser vom Kamerasystem überwacht werden.
Falls irgendetwas „seltsam“ wirkt – der Kartenschlitz sieht anders aus als gewöhnlich, das Display flackert oder Sie sehen frisch verklebte Elemente um die Tastatur – verzichten Sie lieber auf die Transaktion und nutzen ein anderes Gerät.
Sicheres Online-Shopping: einfache Grundsätze für jeden Tag
Internetgeschäfte sind heute ein ebenso wichtiges Schlachtfeld gegen Betrüger wie Geldautomaten. Ein großer Teil der Verantwortung liegt bei den Shop-Betreibern selbst, aber auch Kunden können auf ihrer Seite viel tun.
Separate Karte für Online-Zahlungen
Eine sehr wirksame Lösung ist eine getrennte Karte, die ausschließlich für Internet-Einkäufe bestimmt ist. Legen Sie darauf ein niedriges Tages- und Monatslimit fest. Selbst wenn die Daten in die Hände von Kriminellen gelangen, können sie nicht Ihr gesamtes Konto „leerräumen“.
Viele Banken bieten auch sogenannte virtuelle Karten – temporäre Nummern für einmalige Verwendung. Nach Abschluss des Kaufs funktioniert diese Nummer nicht mehr. Angreifer können sie höchstens als wertlosen Zahlensatz verkaufen.
Benachrichtigungen aus der Banking-App
Aktivieren Sie Push-Benachrichtigungen oder SMS über jede Kartentransaktion. Eine schnelle Information auf dem Smartphone ermöglicht es Ihnen, sofort eine Belastung zu bemerken, die Sie nicht erkennen. Reagieren Sie rasch, hat die Bank eine größere Chance, weitere Zahlungsversuche zu blockieren und bei der Rückerstattung zu helfen.
Achten Sie auf Browser-Warnungen vor gefährlichen Seiten. Während der Zahlung sollten keine merkwürdigen Fenster aufpoppen, Aufforderungen zur erneuten Dateneingabe oder Anmeldungen bei der Bank in separaten Pop-up-Fenstern erscheinen.
Jede unerwartete Änderung während der Zahlung – zusätzliches Fenster, „seltsames“ Formular, ungewöhnliche Nachricht – ist ein Signal, die Transaktion abzubrechen und den Shop zu überprüfen.
Was Sie bei Online-Zahlungen vermeiden sollten
- Speichern Sie die Kartennummer nicht im Browser oder in der Shop-App, besonders auf Smartphones, die in öffentlichen WLAN-Netzen verwendet werden.
- Greifen Sie nicht auf Zahlungsseiten über Links aus verdächtigen SMS-Nachrichten oder E-Mails zu – geben Sie die Shop-Adresse lieber manuell ein.
- Überprüfen Sie, ob die Adresse mit „https“ beginnt und ob der Domainname keine Tippfehler oder merkwürdige Endungen enthält.
- Seien Sie besonders vorsichtig bei „Ausverkäufen Ihres Lebens“ von unbekannten Shops – das ist eine häufige Methode zum Erschleichen von Kartendaten.
Was Onlineshops tun müssen und warum es Kunden interessiert
E-Shop-Betreiber haben zunehmend detailliertere Pflichten im Bereich Kartendatenschutz. Aktuelle Sicherheitsstandards verlangen, dass der Shop-Inhaber genau weiß, welcher Code auf der Zahlungsseite ausgeführt wird und aus welchen externen Quellen er stammt.
Bewährte Praktiken umfassen unter anderem regelmäßiges Scannen von Dateien auf der Suche nach verdächtigen Skripten, Begrenzung der Anzahl externer Add-ons und automatische Alarme für den Fall, dass eine Datei auf der Seite ohne Autorisierung geändert wurde.
Dadurch hat der Shop die Chance, eine Anomalie schnell zu erkennen und weitere Datenlecks selbst im Falle eines Eindringens zu stoppen. Aus Kundensicht lohnt es sich, Marken zu wählen, die offen über verwendete Sicherheitsvorkehrungen und Systemaktualisierungen sprechen.
Warum „unsichtbarer“ Kartendiebstahl für Kriminelle so lukrativ ist
Zahlungskartendaten sind eine Ware, mit der massenhaft auf kriminellen Foren gehandelt wird. Je nach Land, Limit und Kartentyp kann ein vollständiger Datensatz von einigen bis zu mehreren Dutzend Dollar kosten. Käufer nutzen sie zum Bestellen von Waren, Bargeldabhebungen in Ländern mit schwächeren Sicherheitsvorkehrungen oder zum Erschwindeln von Mitteln in Online-Spielen und digitalen Diensten.
Kriminelle greifen selten gezielt einzelne Personen an. Es geht um Umfang: Ein Skript auf einem populären Onlineshop kann innerhalb weniger Wochen Hunderttausende Kartennummern sammeln. Aus einer solchen Datenbank wird nur ein Teil genutzt, aber die Gewinne sind dennoch enorm.
Für normale Nutzer ist es daher entscheidend, zwei Dinge zu verbinden: vernünftiger Umgang mit der Karte und regelmäßige Kontoüberwachung. Selbst wenn die Bank gestohlene Beträge erstattet, können Stress und die Notwendigkeit von Erklärungen sich über Wochen hinziehen.
Eine gute Gewohnheit ist es, die Transaktionshistorie alle paar Tage kurz durchzugehen, am besten in der Banking-App. Viele Menschen bemerken die erste verdächtige Belastung erst dann, wenn sie zufällig auf den Kontoauszug stoßen. Dabei „testen“ Betrüger die Karte oft mit kleinen Beträgen, bevor sie mit einem größeren Einkauf zuschlagen. Eine schnelle Reaktion auf ein solches Signal kann den gesamten Kontostand retten.
