Dein Geld kann in nur sechs Sekunden bereits einem Fremden gehören. Zahlungskarten von Anbietern wie Visa, Mastercard und American Expressen kann man hacken. Das Beunruhigende an diesem Szenario ist, dass du dich kaum dagegen schützen kannst. Bei diesen Methoden kommt es nämlich keineswegs darauf an, in welchen Shops und mit welchen Sicherheitsvorkehrungen du deine Karte tatsächlich verwendest.

Über 4 Millionen entdeckte Zahlungskarten im Internet

Im Darknet tauchen immer wieder Kartennummern zum Kauf auf. Man verkauft sie dort millionenfach für einen Gegenwert von rund 10 USD pro Karte. Der Schwarzmarkt rund um all diese Kartennummern boomt also. Aber wie ist es möglich, dass sich so viele Zahlungskartendaten im Darknet finden lassen?

Dahinter vermutet man sogenannte Brute-Force-Angriffe. Vereinfacht ausgedrückt handelt es sich bei Brute-Force-Angriffen um Angriffsmanöver, bei denen Kriminelle so viele Passwörter oder Passphrasen austesten, bis sie irgendwann die richtige Kombination finden. Diese werden nicht von Menschenhand durchgeführt, sondern von Computern, die Tausende von Vermutungen pro Sekunde anstellen können. NordVPN hat dazu eine Studie veröffentlicht, wie Brut-Forcing zu Zahlungskarten-Nummern führt.

Die ersten 6–8 Zahlen einer Kreditkarte sind ID-Nummern der Kartenaussteller. Das bedeutet, dass in der Realität nur 7–9 Zahlen von den Hackern tatsächlich erraten werden müssen. Die 16. Ziffer ist nämlich eine Prüfnummer, die man hauptsächlich verwendet, um festzustellen, ob sich ein Fehler in der Eingabe der Kartennummer eingeschlichen hat. Dadurch ist die Menge an Zahlen, die ein Computer bei einem solchen Angriff erraten muss, überschaubar.

Um neun Ziffern für eine volle Zahlungskartennummer herauszufinden, muss ein Computer rund 1 Milliarde Kombination austesten. Das dauert für einen typischen Computer nur wenige Minuten, da dieser bis zu 25 Milliarden Kombinationen in einer Stunde durchspielen kann. Je nach Aussteller der Karte muss ein Krimineller jedoch gar nicht neun Ziffern erhalten. Da sie in vielen Fällen nur um die sieben Ziffern erraten müssen, reduziert das die benötigte Zeit für eine richtige Kombination drastisch. Laut Marijus Briedis, CTO bei Nord VPN, kann damit innerhalb von 6 Sekunden eine Zahlungskarte gehackt werden.

Dein Geld kann in 6 Sekunden einem Fremden gehören: Schutzmaßnahmen der Kartenhersteller

Es ist eine beunruhigende Vorstellung, dass dein Geld in nur sechs Sekunden einem Fremden gehören kann. Um zu verhindern, dass sämtliche Kartennummern ihrer Kunden in die Hände von Kriminellen fallen, haben Kartenhersteller ihre eigenen Sicherheitsmaßnahmen getroffen. Die meisten von ihnen haben darum die Anzahl der Rate-Versuche, die in einem bestimmten Zeitintervall unternommen werden können, reduziert. So lässt Mastercard, das auf ein zentrales Authentifizierungssystem setzt, etwa nur um die zehn Versuche zu, bevor das System darauf reagiert. Der Kartenanbieter Visa hingegen setzt auf ein dezentralisiertes System. Hier könnten laut Aussagen der Experten rund 30 bis 40 Versuche nötig sein, bevor das System darauf reagiert. Zu Zeiten, in denen besonders viele Anfragen aufkommen, könnten es sogar noch mehr sein.

Gestützt wird diese Vermutung durch die entdeckten Zahlungskartennummern im Netz. Von den über 4 Millionen gefundenen Kartennummern stammten mehr als die Hälfte (rund 2,5 Millionen) von Visa-Karten. Etwa 1,6 Millionen der Kartennummern gehörten zu Mastercard-Karten. Deutlich weniger Kartennummern konnten vom Anbieter American Express gefunden werden. Hier waren nur etwas über 200.000 Kartennummern zu finden.

Das größte Problem an der Lage ist, dass sich Nutzer gegen diese Form von Angriff nicht direkt selbst schützen können. Wichtig ist es darum, die Abrechnungen der eigenen Zahlungskarten immer auf Unstimmigkeiten zu kontrollieren. Ebenso sollte man auf Sicherheitsmitteilungen der Bank zügig reagieren. Ansonsten sind dir als Benutzer leider die Hände gebunden, denn du kannst nicht verhindern, dass Computer irgendwo Brute-Force-Angriffe durchführen. Wer sich selbst schützen möchte, kann nur versuchen, auf den Einsatz solcher Zahlungskarten zu verzichten. Wenn du nicht verzichten willst oder kannst, sind sogenannte Prepaid-Kreditkarten oder ein separates Bankkonto zur Zahlungskarte eine Alternative.