Wenn Sie Ihre PIN an einem Geldautomaten eintippen, wie halten Sie eigentlich Ihre zweite Hand? Hoffentlich so über dem Eingabefeld, dass eine eventuelle Kamera die Eingabe nicht aufnehmen kann. Falls ja, dann gehören Sie zu den wenigen Leuten, die diesen einfachen Ratschlag beherzigen. Meint zumindest der Sicherheitsexperte Brian Krebs.

Aber von vorne: Krebs hat nach eigenen Angaben Videoaufnahmen ausgewertet, die von Skimmern gedreht wurden. Darauf ist das Pinpad eines Geldautomaten zu sehen. Die Aufnahmen gehören zu einem zweiten Gerät, das in den Kartenschlitz gesteckt wird. Dieses Gerät kopiert anschließend die Daten vom Magnetstreifen der Karte, während die Kamera die Eingabe der PIN aufzeichnet. Durch den Abgleich des Zeitcodes zwischen Video und Kartenkopie können die Kriminellen anschließend den PIN zu den Kartendaten zuordnen. Der letzte Schritt – die Kopie der eigentlichen Karte mittels Blankokarten und Drucker – ist dann ein Leichtes und dem unerlaubten Einkauf steht wenig entgegen.

Laut Krebs könnte zumindest das Abfangen der Zugangsnummer verhindert werden, indem die Bankkunden ihre zweite Hand über das PIN-Feld legen und die Dateneingabe so vor neugierigen Augen schützen. Laut einem zweiten Video, das Krebs in seinem Blog verlinkt hat, scheinen Europäer beim Abheben etwas vorsichtiger zu sein.

Die Videos geben eine gute Übersicht darüber, wie die Kriminellen an die Zugangsdaten zu Konten gelangen. Krebs warnt aber davor, dass dies bei weitem nicht die einzige Methode ist, um an die PIN zu gelangen. Teilweise ersetzen die Kriminellen die Tastatur komplett oder erweitern diese um eine Komponente, mit der die Eingabe abgefangen werden kann. 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.