Schlagwort-Archive: Skimming

Neue Skimming-Zahlen

Man muss das Geld dort abholen, wo es liegt:

»Bei 51 sogenannten Skimming-Angriffen in Frankfurt sei seit Jahresbeginn ein Schaden von 460 000 Euro entstanden, teilte die Polizei am Freitag mit. Es liegen über 400 Anzeigen vor. Im gesamten vergangenen Jahr hatte es 26 Angriffe auf Geldautomaten gegeben.«

(Echo Online:
Immer mehr Attacken auf Bankautomaten)

Zum Vergleich, die Zahlen für ganz Sachsen lagen im vergangenen Jahr in ähnlicher Höhe, während es hier nur um Frankfurt geht.

The Evil Jan Attack

[See only posts in English]

Microsoft’s BitLocker is, for all we know, a proper disk encryption software. It encrypts data at rest against attacks originating outside the running system. If you use BitLocker and your computer is stolen while turned off, there is essentially no way of reading data from the disk without having the proper key(s)—your BitLocker PIN, a key file on a USB stick, or both. If an attacker gets access to the machine while it is running, there may be ways of compromising it through Windows or in other ways, but such attacks are clearly outside the scope of disk encryption.

We know, however, another class of attacks against disk encryption: evil maid attacks. This term describes a general strategy rather than a particular implementation. If you leave your computer unattended, let’s say in a hotel room, an attacker, let’s say an evil maid, might manipulate it such that your data will be compromised as soon as you return and provide it with your encryption keys. There are various ways of doing so, for instance installing a hardware keylogger if your keys are based on passwords, or altering the unencrypted boot code to install a Trojan horse that will leak your keys later. The Evil Jan Attack weiterlesen

Verteiltes Skimming

Um sich vor Skimming zu schützen, genügt es übrigens nicht, den Geldautomaten selbst gründlich zu untersuchen:

»Die Trickbetrüger hatten am vergangenen Wochenende über dem Geldautomaten eine als Rauchmelder getarnte Kamera installiert, die Kunden beim Eintippen ihrer Geheimzahl filmte. Zudem hatten sie ein Kartenlesegerät an der Tür manipuliert, um an die Kundendaten zu kommen.«

(hr: Kontodaten ausgespäht: Betrüger richten fünfstelligen Schaden an; Hervorhebung von mir)

Die Bilanz des Sicherheitsmechanismus „Zugangskontrolle zur SB-Zone“ dürfte sich damit ins Negative verlagern. Die Zugangskontrolle ist dank der weiten Verbreitung von Karten keine mehr; Sparkassenpartys verhindert nicht der elektrische Türöffner, sondern die Polizei. Damit kann man leben, aber wenn der Mechanismus nun nicht mehr nur geringen Nutzen hat, sondern für Angriffe missbraucht wird, sieht die Sache anders aus.

Man kann die Angriffsmethode weiterspinnen. Gefährdet ist alles, was dem Angreifer hinterher mit einer gewissen Wahrscheinlichkeit die korrekte Zuordnung zwischen Kartendaten und ausgespähter PIN erlaubt.