Was versteht man unter Skimming in der Cybersicherheit?

Skimming ist im Bereich der Cybersicherheit eine schnelle und interaktive Methode, um Zahlungskartendaten und persönliche Informationen von Geldautomaten und Kassenscannern zu erlangen. Überwachungsgeräte, unerwünschte E-Mails und bösartiger JavaScript-Code, der beim Cyberdiebstahl eingesetzt wird, erfassen und übertragen heimlich und in Echtzeit Karteninhaberdaten, ohne dass das Opfer davon Kenntnis hat. Die Lösung für das Problem der verspäteten Erkennung und Untersuchung liegt jedoch in der Nutzung innovativer Lösungen wie RiskRecon von Mastercard. 

Es gibt zwei Hauptarten von Skimming-Angriffen: 

• Beim physischen Skimming werden Kreditkartenskimmer an Zahlungsterminals, Geldautomaten, Zapfsäulen usw. angebracht. Sie zielen auf physische Karten und persönliche Transaktionen ab.

• Beim digitalen Skimming werden URLs in Spam-/Phishing-E-Mails maskiert oder E-Commerce-Websites und -Apps aus der Ferne mit Malware infiziert, die während des Bezahlvorgangs heimlich Zahlungsdaten online stiehlt (Magecart-Angriff).

Skimming hat seinen Namen – elektronisches Kartenskimming (E-Skimming) – von der Verwendung von Software zum Diebstahl von Zugangsdaten, die im Online-Shop eines Einzelhändlers installiert wird. Wenn ahnungslose Kunden den Warenkorb nutzen, um eine Zahlungstransaktion auf der Website einzuleiten, kopieren Hacker unbemerkt die in die Zahlungsfelder eingegebenen Debit- oder Kreditkarteninformationen.  

Ein Skimming-Angriff kann zu einer Datenschutzverletzung führen, die die finanzielle Sicherheit gefährdet und die Identität des Kontoinhabers offenlegt. Die gestohlenen Kartendaten werden dann verwendet, um Konten durch unautorisierte, betrügerische Transaktionen zu plündern. Doch damit nicht genug – die Täter können auch problemlos E-Mail-Adressen, Sozialversicherungsnummern und andere Informationen auf dubiosen Schwarzmarktseiten imitieren oder verkaufen. Die Cybersicherheit im Bankwesen ist zu einem großen Problem geworden, da Betrüger Skimming-Geräte in großem Umfang einsetzen, um Kreditkarteninformationen zu stehlen. Das FBI schätzt, dass E-Skimming-Betrug Karteninhaber und Banken jährlich über 1 Milliarde Dollar kostet. Kein Wunder, dass es sich zu einer bevorzugten Angriffsmethode für Cyberkriminelle entwickelt hat. 

Neben dem Risiko von Überziehungsgebühren, ausgeschöpften Kreditkarten und geklonten Konten kann sich Cyber-Skimming auf folgende Weise negativ auf die beteiligten Parteien auswirken:

• Gesperrte Konten

• Malware-Installation

• Geänderte oder gelöschte Daten

• Störungen und Ausfallzeiten

• Unzählige Stunden mit dem Anfechten von Gebühren und dem Ausfüllen von Formularen

• Psychische Belastung durch Übergriffe

• Verlust des Kundenvertrauens aufgrund von Reputationsschäden

E-Skimmer oder Online-Skimmer suchen hauptsächlich nach Zahlungsinformationen für betrügerische Käufe und Diebstahl. Konkret zielt ein Bedrohungsakteur auf Folgendes ab:

• Kreditkartendaten – Kartennummer, Ablaufdatum, CVV-Code

• Persönliche Einblicke – Name, E-Mail-Adresse, Anschrift, Telefonnummer, Sozialversicherungsnummer und andere Identitätsinformationen

Ein Geldautomatenskimmer ist wohl das häufigste Beispiel für ein Skimming-Gerät. Darüber hinaus tauschen unehrliche Händler authentische mobile Kassenterminals (POS-Terminals) gegen manipulierte Geräte aus, die Kreditkarteninformationen lesen und speichern. Weitere raffinierte Methoden, mit denen sich Skimmer tarnen, um mit ihrer Umgebung zu verschmelzen, sind: 

• Gefälschte PIN-Overlays, die PINs abfangen 
• Monitore, die Daten von kontaktlosen Zahlungen wie QR-Code-Scannern und Apple Pay abfangen und weiterleiten.

Kreditkartenskimmer erlangen Informationen durch ausgeklügelte Täuschungsmanöver und raffinierte, diskrete Taktiken, bei denen manipulierte Zahlungsautomaten zum Einsatz kommen. Sobald das Gerät installiert und bereit ist, Informationen weiterzuleiten, liest es den Magnetstreifen oder Chip nach optionalen Daten und einem Kryptogramm, das Transaktionen validiert. So funktionieren sie: 

• Installation und Datenerfassung: Externe Skimming-Geräte werden unsichtbar an Geldautomaten in der Nähe des Kartenschlitzes oder des Magnetstreifenlesers angebracht, während austauschbare Pad-Overlays oder Lochkameras die PIN des Kunden aufzeichnen. Intern verbergen sich in Zapfsäulen und Kassensystemen manipulierte Kartenlesegeräte, die Zahlungsdaten auslesen. 

• Übertragung: Manchmal erfolgt der sofortige Abruf von Debit- oder Kreditkartennummern durch drahtlose Übertragung via Bluetooth an ein Speicher- oder Sicherungsgerät an einem anderen Ort.  

Ja, Kartenskimmer stellen eine ernsthafte Bedrohung für Bankkonten und Gelder dar. Ein einziger Fall von Kreditkartenklonierung genügt, um ein gesamtes Girokonto zu leeren. Hart verdientes Geld kann in Sekundenschnelle verschwinden, wenn ein autorisierter Nutzer mit einer gefälschten Karte auf Einkaufstour geht. Während POS-Transaktionen und Geldabhebungen an Geldautomaten in der Regel sofort erfolgen, können nach dem Skimming ungenaue medizinische Aufzeichnungen und andere Dokumente leicht gefälscht werden. Der Erwerb medizinischer Leistungen und verschreibungspflichtiger Medikamente durch Betrug hat für die Ausgebeuteten einen höheren Preis in Form von medizinischen Schulden.

Um der wachsenden Bedrohung durch E-Skimming entgegenzuwirken, sollten Sie folgende Vorsichtsmaßnahmen gegen Skimming-Geräte ergreifen: 

• Nutzen Sie die maschinelle Lerntechnologie von RiskRecon zur Risikobewertung in komplexen Geschäftsökosystemen. 

• Software, Plugins und Betriebssysteme sollten regelmäßig auf die neuesten sicheren Versionen aktualisiert werden. 

• Beschränken Sie die Nutzung von Kartenlesegeräten in Ihrem Unternehmen. 

• Schützen Sie sich vor Skimming, indem Sie nur die für die Transaktion erforderlichen Mindestkundendaten erfassen. 

• Verwenden Sie HTTPS- und SSL/TLS-Zertifikate, um die gesamte Datenübertragung während des Bezahlvorgangs und der Kontoanmeldung zu verschlüsseln. 

• Halten Sie sich an die PCI-DSS-Standards (Payment Card Industry Data Security Standards) zum Schutz von Zahlungsinformationen. 

• Prüfen Sie alle Drittanbieter-Skripte und -Tools gründlich, bevor Sie sie in den Website-Code integrieren. 

• Überwachen Sie aktiv den Website-Traffic, den Quellcode und die Server auf unautorisierte Änderungen.  

• Sichern Sie den Quellcode und die Datenbanken der Website, falls eine Wiederherstellung von einem früheren Fehlerzustand erforderlich sein sollte.  

Da Online-Shopping immer beliebter wird, ist ein proaktiver Ansatz in Bezug auf Sicherheit und Prävention von Hackerangriffen von entscheidender Bedeutung. Daher sollten Online-Händler neben der Durchführung von Penetrationstests ihre Webshop-Besucher dazu anhalten, Folgendes zu tun, um das Risiko eines E-Skimmer-Angriffs zu minimieren: 

• Verwenden Sie nur eine Karte für Online-Einkäufe. 

• Transaktionsbenachrichtigungen aktivieren 

• Sichere, einzigartige Passwörter festlegen 

• Verbinden Sie sich mit öffentlichen WLAN-Netzwerken über ein vertrauenswürdiges VPN. 

• Erwägen Sie virtuelle Karten 

• Überprüfen Sie regelmäßig Ihre Kontoauszüge auf ungewöhnliche Abbuchungen. 

Wachsamkeit und Vorsicht sind die wichtigsten Faktoren, um einen Kreditkarten-Skimming-Versuch zu verhindern, der schwer zu erkennen sein kann. Am besten erkennt man einen Angriff, indem man auf Anzeichen von Manipulation, beschädigten Teilen oder unbefugtem Eindringen achtet. Wackelige Lesegeräte und falsch ausgerichtete Schlitze sind Warnsignale – Betrüger versuchen oft, ihre Spuren mit Klebstoff oder Klebeband zu verwischen. Fahren Sie daher mit dem Finger über das Kartenlesegerät, um sicherzustellen, dass sich keine klebrigen Rückstände darauf befinden. Weitere Tipps zur Verwendung von Debit- oder Kreditkarten :

• Prüfen Sie, ob die Tastaturabdeckung oder die Tasten schwergängig sind.

• Stellen Sie sich auf eine ungewöhnlich lange Wartezeit ein, während Ihre Karte „verarbeitet“ wird.

• Stellen Sie sicher, dass der Kassierer Ihre Kreditkarte nicht außer Sichtweite zieht.

Trends im Bereich der Cybersicherheit zeigen, dass der Druck auf den Schutz privater Daten zunimmt. RiskRecon hat einen proprietären Algorithmus entwickelt, der automatisch Systemschwachstellen identifiziert und das Risiko präzise einschätzt. Bevor Sie das Tool einsetzen, sollten Sie die folgenden Anzeichen für Bedrohungen auf Zahlungsabwicklungs-Webseiten berücksichtigen:

• Plötzliches Einloggen auf einer Website, die Sie zuvor noch nie besucht haben

• Beunruhigende Browser-Popups und Werbeanzeigen

• Browserwarnungen zu unsicheren Websites

• Rechtschreib- und Grammatikfehler auf gefälschten Händlerseiten

RiskRecon bietet die kontinuierliche Überwachung und Transparenz, die für ein effizientes Management von Cyberrisiken Dritter in großem Umfang erforderlich sind. Durch die direkte Analyse der Schwachstellen der internetbasierten Webanwendungen oder Programme von Anbietern generieren wir präzise, risikopriorisierte Ergebnisse, um die Behebung der Schwachstellen voranzutreiben. Unser datengetriebener Ansatz ermöglicht es Kunden, Bedrohungen zu quantifizieren, Sanierungszyklen zu verkürzen und vertrauenswürdige Geschäftsökosysteme aufzubauen. Melden Sie sich für eine kostenlose 30-Tage-Testversion an, um bis zu 50 Anbieter zu bewerten und Ihren eigenen RiskRecon-Bericht zu erhalten.