SECURITY22. September 2016

Kaspersky: Schon heute sind künftige biometrische GAA-Authentifizierungsmethoden angreifbar

Julia Tim/bigstock.com
Julia Tim/bigstock.com

Banken sehen biometrische Lösungen als eine der künftig vielversprechendsten Authen­ti­fi­zierungs­methoden für Bankautomaten – allerdings würde die Biometrie auch Kriminellen neue Wege liefern, um sensible Informationen zu stehlen: Dies sei das Ergebnis einer aktuellen Untersuchung von Kaspersky Lab über künftige Angriffsszenarien gegen Authentifizierungsmethoden für Geldautomaten.

Kriminelle lieben Geldautomaten. Anfangs waren es einfache Skimmer, die außen am Automaten angebracht wurden, um mithilfe eines gefälschten Eingabefeldes oder einer Kamera Informationen von den Magnetstreifen der Bankkarte sowie den PIN-Code zu stehlen. Mit der Zeit hat sich das Design solcher Geräte weiterentwickelt, um sie noch unauffälliger
zu machen.

NCR
NCR

Mit der Einführung der schwerer zu kopierenden Chip-und-Pin-Bankkarten kamen die sogenannten ‚Shimmer‘-Geräte auf: sie ähneln weitestgehend den bisherigen Skimmer-Geräten, können aber Informationen aus dem Kartenchip auslesen, um einen ‚Online-Relay-Angriff‘ durchzuführen. So können beispielsweise auch kontaktlose Authentifizierungsverfahren – zum Beispiel über NFC (Near Field Communication) – ausgehebelt werden. Auch dagegen gibt es (vergleichsweise simple) Lösungen. Doch der Kampf geht natürlich weiter.

TOR-Netzwerk: Geräte zum Diebstahl biometrischer Daten im Angebot

Kaspersky Lab
Kaspersky Lab

Laut Kaspersky lassen sich im TOR-Netz (wird gerne als “Darknet” bezeichnet) derzeit mindestens zwölf Anbieter von Skimmer-Geräten identifizieren, die in der Lage sind, Fingerabdrücke zu stehlen. Daneben gäbe es mindestens drei Anbieter von Geräten, die illegal Daten von Handvenen- und Iriserkennungssystemen sammeln können.

Kaspersky Lab beobachtete die ersten Vorverkaufstests biometrischer Skimmer schon vor mehr als einem Jahr (September 2015). Dabei zeigen sich einige Schwachstellen. Das größte Problem: die biometrischen Daten sollten über GSM-Module verschickt werden, allerdings war die Verbindung für die Größe des Datentransfers zu langsam. Neue Skimmer-Versionen setzen daher bereits auf andere und schnellere Datentransfermethoden.

Bilder aus Soziale Medien als Vorlagen für biometrisch gültige Gesichtsmasken

Zudem wird im Untergrund die Entwicklung mobiler Applikationen diskutiert, mit denen Masken über menschliche Gesichter gelegt werden können. Mit einer solchen App könnten Angreifer beispielsweise über in Sozialen Medien gepostete Fotos die Gesichtserkennungssoftware überlisten.

Kaspersky Lab
Kaspersky Lab

Bei biometrischen Verfahren ist es unmöglich, den eigenen Fingerabdruck oder das Irismuster zu ändern – anders als bei Passwörtern und PIN-Codes, die im Falle einer Bedrohung geändert werden können.“

Olga Kochetova, Sicherheitsexpertin bei Kaspersky Lab

„Sind die eigenen biometrischen Daten einmal gestohlen, sind diese für Authentifizierungsprozesse unbrauchbar. Daher ist es extrem wichtig, solche Daten zu schützen und sie auf einem sicheren Weg zu übertragen. Biometrische Daten sind auch in modernen Reisepässen, Ausweisen oder Visa hinterlegt. Wenn also ein solches Dokument in die Hände von Kriminellen gelangt, sind beispielsweise nicht nur der Ausweis, sondern auch die darin enthalten biometrischen Daten zur Identität des Besitzers gestohlen worden.“

Die Experten von Kaspersky Lab sehen allerdings den Gebrauch von Tools, die biometrische Daten stehlen können, nicht als einzige potenzielle Cyberbedrohung für Geldautomaten. Hacker werden weiterhin Malware-basierte sowie Blackbox- und Netzwerke-Angriffe durchführen, um Daten und Geld von Banken und deren Kunden zu stehlen.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert