https://media.ccc.de/v/32c3-7368-shopshifting
Insgesamt bedenklich, allerdings überzeugt mich der Vortrag nicht in allen Details.
Die Übernahme des Netzwerkes, Hacken der Schlüssel und die Simulation der Anzeige über ZKA beim gezeigten Terminal kann ich nicht beurteilen. Diesen Ansatz gab es ja meines Wissens auch schon mal. Die Analyse der Antwortzeit im Tausendstel ms-Bereich dürfte aufwändig sein, aber scheint mir plausibel durchführbar, wenn ich volle Kontrolle über das Netz bekomme. Damit könnte man dann Kartendoubletten anlegen, wenn die Manipulation niemand bemerkt. Wenn das Kassenpersonal den Beleg kontrolliert - was es machen muss um zu erkennen, ob nicht der Karten-Kunde den Zahl-Vorgang abgebrochen hat, fliegt der Betrug schnell auf.
Vom gezeigten Hypercom artema-Terminal gibt es ja einige Varianten. Ich hoffe mal, dass die billigen ebay-artemas die ausgemusterten Geräte sind, die seit Mitte des Jahres gar nicht mehr in Betrieb genommen werden dürfen...
Prepaidaufladungen: Wenn ein Terminal, wie hier im simultierten Wartungsfall, kopiert wird, legt diese Aktion das Originalterminal technisch lahm. Ich glaube nicht, dass dies bei einem benutzten Terminal lange unbemerkt bleibt. Außerdem ließe sich das vom Netzbetreiber unterbinden, indem Inbetriebnahmen nur mit Supportunterstützung vorgenommen werden. Das ist sicherlich bei einigen auch üblich. Die wenigsten der selten benutzten Geräte können Prepaidaufladungen erzeugen, die Funktion dürfte auch Geld kosten. Wieviel Geräte können das? 2 Prozent oder weniger? Da dürfte der Netzbetreiber gefragt sein.
Der Überweisungsansatz (Terminalgutschrift) funktioniert meines Wissens nur, wenn die Bank das auch am Konto akzeptiert. Hier bin ich nicht sicher, ob die Banken dies ohne Auftrag einfach durchwinken. Meine Vermutung wäre: Eher nein oder nur im Einzelfall, wenn der Händler eine Gutschriftsfunktion benötigt. Bei Geschäften, die Mehrwertsteuern gutschreiben, könnte das der Fall sein. In allen anderen Fällen bliebe die Buchung am Konto hängen und sollte Aufmerksamkeit erzeugen.
Der offensichtlich schwache Schutz des HSM bei solchen teuren Geräten ist schon peinlich für den Hersteller. Ob das auf alle neuen Geräte und den Wettbeweber genauso zutrifft: keine Ahnung. Artemas gibt es - afaik - seit 15 Jahren.
Gruß
Raimund
