Vorsicht, wo man die Bankomatkarte reinsteckt!

Es ist schon faszinierend, wie kreativ sich Betrugstechniken entwickeln. Schon länger ist bekannt, dass das Bankomatkartensystem eine sehr dumme Schwäche hat: die Karte hat keine Ahnung, ob sie nun in einem "guten" oder in einem "bösen" Gerät steckt. Nur das Lesegerät checkt die hineingesteckte Karte, umgekehrt wird nichts überprüft.

Diese Schwachstelle nutzen Betrüger geschickt aus, indem sie die Bankomaten manipulieren. Sie benötigen eine Kopie des Magnetstreifens der Bankomatkarte und die Nummer, die der Kunde als Geheimzahl oder PIN (hoffentlich nur) im Kopf hat. Diese Angriffsmethode wird in Fachkreisen als Skimming bezeichnet.

An den Magnetstreifen kommt man, indem man einen kleinen Kartenleser vor den originalen anbringt. Man schiebt daher seine Karte durch den aufgesetzten Leser durch zum Originalleser. Dies kann man sehr geschickt tarnen, indem man dem Original zum Verwechseln ähnlich sehende Hüllen drüberstülpt.

Für die Erlangung des *PIN*s gibt es sehr viele Möglichkeiten. Man betreibt im einfachsten Fall Shouldersurfing, wo man der Person vor sich am Bankomat einfach geschickt zusieht, wie sie den PIN eingibt. Oder man versucht sich im (meist einfachen und erfolgreichen) Social Engineering: durch eine Manipulation geht zum Beispiel die Bankomatkarte schwer in den Leseschlitz hinein. Ein sehr netter Passant (der böse Angreifer) ist dann dem hilflosen Kunden behilflich beim Einführen der Karte und erspäht oder erfragt dabei den PIN.

Weiters kann man am Bankomaten ein zusätzliches Teil anbringen, wo eine Webcam die Eingaben mitfilmt. Diese zusätzlich angebrachten Teile können sich als Feuermelder, Broschürenhalter(!) oder sonstwie harmlos tarnen.

In letzter Zeit ist es häufig zu Fällen gekommen, wo der Bankomat eine (teilweise sogar aus Originalersatzteilen) Platte aufgeklebt bekommt, wo eine zweite Tastatur über der Originalen den PIN mitschreibt und die Tastendrücke mechanisch auf die unterliegende weitergibt. Diese Aufsätze sind teilweise so geschickt gemacht, dass selbst sensible Kunden die Manipulation nur sehr schwer entdecken können.

Es gibt auch Berichte, wonach Betrüger einen ganzen Bankomaten gestohlen haben, um ihn dann (manipuliert) in einem belebten Einkaufszentrum wieder aufzustellen. Wegen der fehlenden Anbindung ans Bankennetz konnten sie aber nur Fehlermeldungen ausgeben lassen. Aber die Kunden haben zuvor natürlich ihre Karte auslesen lassen und ihren PIN eingegeben. Ganz paranoide Naturen können diese Methode austricksen, indem sie prinzipiell zuerst einen falschen PIN eingeben und erst beim zweiten Mal die korrekte Nummer "verraten" sofern eine "komische" Meldung nicht vorher die Fälschung enttarnt.

http://www.bognerpage.at/Technik/ISDN/Filialkasse90.jpg"

Ganz neu hingegen sind die Meldungen von manipulierten Bankomatkassen in Geschäften. Betrüger bringen in Geschäften geschickt und schnell eine Manipulation an und sammeln sie wieder nach einiger Zeit ein.

Mein Vater hat mir zwei interessante Bilder (]]hier und [[http://Karl-Voit.at/temp/suderei/2009-03-31_Bankomat_2.JPG][hier) einer manipulierten Bankomatkasse geschickt, die in Wien aufgetaucht ist. Ich habe lange die Bilde angeschaut aber ich konnte beim besten Willen nicht erkennen, wie ich in einem Geschäft diese Manipulation entdecken soll. Eine Maske wurde da der Bankomatkarte aufgesetzt, die die gesamte sichtbare Oberfläche überdeckt. Einzig und alleine die Tatsache, dass die Bankomatkarte tiefer in das Gerät eintaucht, kann einem stutzig machen. Die Polizeit meint dazu, dass man unterhalb eine verräterische Kante ertasten kann aber das finde ich schon sehr bedenklich, dass man eine Bankomatkasse dermaßen genau untersuchen muß.

Ein Fall von Bankomatkassenbetrug war besonders drastisch, denn es handelte sich hierbei um im Lesegerät integrierte Handys, die über das Handynetz Informationen nach China schickten. Es ist soweit ich weiß nicht bekannt geworden, ob hier nicht schon eine Manipulation vor der Auslieferung stattfand oder nicht. In diesem Fall kann sich der Kunde leider überhaupt nicht vor dem Betrug schützen.

An sich ist aus Sicht der Banken jeder Kunde selber Schuld, wenn er Geld verliert, denn er hat dann vermutlich die Sorgfaltspflicht der Geheimhaltung seines PIN verletzt. In der Tat ist es auch so, dass sehr viele Verluste aufgrund von im Geldbörsel oder gar auf der Bankomatkarte selber(!) vermerkte PINs entstehen. Diesen Leuten ist leider nicht wirklich zu helfen.

Die Beweislast trägt hier leider der Kunde. Deshalb wird von vorn herein der wahrscheinlichste Fall angenommen: Kunde hat PIN aufgeschrieben oder weitergegeben.

Liegt wirklich ein organisierter Betrugsfall vor, so ist man auf der sicheren Seite, wenn der Fall in den Medien die Runde gemacht hat. Die Aufdeckung ist somit schon geschehen und die Banken wissen sehr wohl, wann wer bei welchem Bankomaten oder bei welcher Bankomatkasse Geld behoben hat.

Dumm ist nur, wenn man bei der Kontrolle seiner Auszüge draufkommt, dass Geld fehlt und es liegt noch kein Bericht über einen Skimming-Vorfall vor. Oft werden nur kleine bis mittlere Summen gut getarnt abgehoben, um ein Auffliegen hinauszuzögern. Hier wird es als Kunde schwierig, die Schuld von sich zu weisen.

Es gibt eine Reihe von Webseiten, die das Thema ausgiebig behandeln und auch interessante Fotos von realen Betrugsfällen vorrätig haben.

Vermutlich schützt man sich ganz gut durch Informieren und einer gesunden Portion Skepsis im Alltag. Die häufige Kontrolle der Bankauszüge ist leider immer wichtiger denn jeh.

Note: this blog entry was originally authored using Serendipity and converted to Org-mode format for publicvoit via a dumb script. This may result in bad format or even lost content. Please write a comment if you want to get in touch with me so that I can try to fix things.