Biometrische Verfahren sind angreifbar
Zahlreiche Finanzorganisationen sehen biometrische Lösungsansätze als eine der künftig vielversprechendsten Authentifizierungsmethoden für Bankautomaten. Allerdings bietet die Biometrie auch Cyberkriminellen neue Wege, um sensible Informationen zu stehlen.
Geldautomaten sind seit Jahren im Visier von Kriminellen. Anfangs wurden einfache Skimmer-Geräte an Automaten angebracht, die in der Lage waren, mithilfe eines gefälschten Eingabefeldes oder einer Kamera Informationen von den Magnetstreifen der Bankkarte sowie den PIN-Code zu stehlen. Mit der Einführung der schwerer zu kopierenden Chip-und-Pin-Bankkarten kamen die sogenannten Shimmer-Geräte auf: Sie ähneln weitestgehend den bisherigen Skimmer-Geräten, können aber Informationen aus dem Kartenchip auslesen, um einen Online-Relay-Angriff durchzuführen. So können beispielsweise auch kontaktlose Authentifizierungsverfahren – zum Beispiel über NFC (Near Field Communication) – ausgehebelt werden.
Um solche Angriffe abwehren zu können, arbeitet die Bankindustrie mit neuen Authentifizierungslösungen, von denen einige auf Biometrie beruhen.
Darknet: Geräte zum Diebstahl biometrischer Daten
Laut den Experten von Kaspersky Lab lassen sich im Cyberuntergrund derzeit mindestens zwölf Anbieter von Skimmer-Geräten identifizieren, die in der Lage sind, Fingerabdrücke zu stehlen. Daneben gibt es mindestens drei Anbieter von Geräten, die illegal Daten von Handvenen- und Iriserkennungssystemen sammeln können.
Die Experten von Kaspersky beobachteten die ersten Vorverkaufstests biometrischer Skimmer bereits im September 2015. Hierbei offenbarten sich einige Schwachstellen. Das grösste Problem: Die biometrischen Daten sollten über GSM-Module verschickt werden, allerdings war die Verbindung für die Grösse des Datentransfers zu langsam. Neue Skimmer-Versionen setzen daher bereits auf andere und schnellere Datentransfermethoden.
Zudem wird im Untergrund die Entwicklung mobiler Applikationen diskutiert, mit denen Masken über menschliche Gesichter gelegt werden können. Mit einer solchen App könnten Angreifer beispielsweise über in Sozialen Medien gepostete Fotos die Gesichtserkennungssoftware überlisten.
„Bei biometrischen Verfahren ist es unmöglich, den eigenen Fingerabdruck oder das Irismuster zu ändern – anders als bei Passwörtern und PIN-Codes, die im Falle einer Bedrohung geändert werden können“, so Olga Kochetova, Sicherheitsexpertin bei Kaspersky. „Sind die eigenen biometrischen Daten einmal gestohlen, sind diese für Authentifizierungsprozesse unbrauchbar. Daher ist es extrem wichtig, solche Daten zu schützen und sie auf einem sicheren Weg zu übertragen. Biometrische Daten sind auch in modernen Reisepässen und Ausweisen hinterlegt. Wenn also ein solches Dokument in die Hände von Kriminellen gelangt, ist beispielsweise nicht nur der Ausweis, sondern auch die darin enthalten biometrischen Daten zur Identität des Besitzers gestohlen worden.“
Der vollständige Kaspersky-Report über zukünftige Cyberbedrohungen für Bankautomaten und Möglichkeiten, wie sich Banken schützen können, kann hier eingesehen werden.
