Vergrößern Der Skimmer (rechts) wird einfach über das Terminal (links) gestülpt. © krebsonsecurity.com

Ein Sicherheitsforscher zeigt, wie einfach Betrüger Bankkarten-Daten an Bezahl-Terminals im Supermarkt abgreifen können.

Der Sicherheitsforscher Brian Krebs widmet sich in seinem aktuellen Blog-Beitrag dem Thema Skimming an Bezahl-Terminals. Untersucht hat er Terminals der Firma Ingenico, die vor allem an Supermarkt-Kassen in den USA verbreitet sind.

Ähnlich wie bei Bankautomaten arbeiten Betrüger hier mit so genannten Overlay-Skimmern. Die Plastik-Teile sind der echten Eingabeoberfläche des Terminals nachempfunden - komplett mit Tastenfeld und Kartenschlitz. Die Plastikschale wird einfach über das eigentliche Terminal gestülpt. Durch eine transparente Plastik-Scheibe ist noch der darunterliegende Bildschirm zu sehen.

Will der Kunde an der Kasse bezahlen, zieht er seine Bankkarte durch den Kartenschlitz des Skimmers und gibt anschließend seine PIN über das falsche PIN-Pad ein. Die Betrüger erbeuten so alle wichtigen Daten, die sie benötigen, um das Konto ihres Opfers zu plündern. PIN und Kartendaten werden nach dem Einlesen im Skimmer per Bluetooth-Modul an ein Smartphone übermittelt. Der Empfänger muss sich dafür in mindestens 30 Metern Entfernung zum Terminal aufhalten.

Die Skimmer, die Brian Krebs zugespielt wurden, setzen sich aus Teilen alter Samsung-Smartphones zusammen. Sie verfügen über keine Speichermöglichkeit. Die gestohlenen Kartendaten werden sofort übertragen. Vertrieben werden sie auf dem Schwarzmarkt.

Betrüger nutzen die Geräte vor allem an so genannten Self-Service-Terminals – unbemannten Supermarkt-Kassen, an denen Kunden ihren Einkauf selbst auschecken können. Zu erkennen sind die Skimmer laut Krebs vor allem an den Tasten des PIN-Pads. Diese sind im Vergleich zu einem echten Terminal häufig sehr schwer zu drücken. Zusammen mit dem Skimmer wirkt das Terminal zudem klobiger. Gesichtet wurden die Skimmer aktuell vor allem in den USA. Es dürfte jedoch nur eine Frage der Zeit sein, bis die betrügerischen Geräte auch in Deutschland zum Einsatz kommen.

Skimming: So schützen Sie sich vor Betrug am Geldautomaten