Investor's wiki

PIN-Einlösung

PIN-Einlösung

Was ist PIN-Cashing?

PIN-Einlösung ist eine Betrugsart, bei der die Verwendung gestohlener Debit- oder Kreditkarteninformationen es einem Dieb ermöglicht, sich Zugang zum Bank- oder Kreditkonto des Karteninhabers zu verschaffen. Typischerweise beinhaltet die PIN-Einlösung die Verwendung eines Geldautomaten (ATM), um Geld abzuheben, sobald die persönliche Identifikationsnummer (PIN) der Karte bekannt ist. Diese Version der Cyberkriminalität ist das Ergebnis einer Datenschutzverletzung während der Kartenverarbeitung.

PIN-Cashing verstehen

Die PIN-Einlösung nutzt eines der grundlegendsten Sicherheitsmerkmale von Debitkarten, die Verwendung einer mehrstelligen PIN-Nummer. Der Karteninhaber erstellt die PIN. Wenn der Karteninhaber die Debitkarte an einem Geldautomaten einführt oder durchzieht oder in einem Geschäft einen Kauf tätigt, gibt er die PIN für eine Transaktionsverarbeitung in das Terminal ein. In den USA erfordern Kreditkarten zur Bearbeitung keine Eingabe einer PIN-Nummer, es sei denn, der Besitzer möchte Bargeld an einem Geldautomaten abheben. Allerdings erfordert in Europa auch die Nutzung einer Kreditkarte bei einem Ladenkauf die Eingabe einer PIN.

Hacker können sich Zugriff auf das Computersystem einer Bank, eines Einzelhandelsgeschäfts oder anderer Unternehmen verschaffen, die Transaktionen elektronisch verarbeiten. Institutionen geraten oft ins Visier, wenn sie über schwache Sicherheitssysteme verfügen. Diebe nutzen diesen unbefugten Zugriff, um vertrauliche Kontoinformationen zu stehlen.

In einigen Fällen können Hacker Auszahlungslimits entfernen, indem sie die Einstellungen des Sicherheitssystems manipulieren.

The Home Depot Breach

Der Verstoß gegen die Self-Checkout-Terminals von Home Depot im Jahr 2014 wurde zu einem der bemerkenswertesten Fälle von Kartendatendiebstahl. Dieses Ereignis gefährdete die Sicherheit von rund 50 Millionen Kredit- und Debitkarten. Das Unternehmen sah keine Beweise für die Preisgabe von PIN-Nummern, aber Sicherheitsexperten zeigten, wie Diebe mit mehreren Schlüsseldatenpunkten über einen Kunden leicht persönliche Identifizierungsinformationen (PII) über den Karteninhaber aus illegalem Data Mining erhalten können. Informationen, die ausreichen würden, um PIN-Nummern auf Banken-Websites zurückzusetzen.

Die Diebe von Home Depot könnten beispielsweise Kreditkartennummern und Namen von Karteninhabern abgleichen und Postleitzahlen speichern. Da viele Kunden in der gleichen Postleitzahl leben wie ihr örtliches Home Depot, enthüllte dies effektiv die Postleitzahl des Karteninhabers. Mit diesen Informationen bewaffnet, könnten Diebe Sozialversicherungsnummern, Geburtsdaten und andere persönliche Daten ausspionieren, die es ihnen ermöglichen würden, PINs zu ändern.

In der Zwischenzeit können ausgeklügelte Diebstahlringe gestohlene Karteninformationen auf neue Dummy-Karten drucken. Die gefälschte Karte, ausgestattet mit einer Reset-PIN, ermöglicht es, Bargeld von Geldautomaten abzuheben.

Home Depot ist nicht das einzige Unternehmen, das Benutzerinformationen durch Sicherheitsverletzungen kompromittiert. Andere betroffene Unternehmen sind Panera Bread, MyFitnessPal, Sonic Drive-In und sogar der Kreditauskunftsgigant Equifax.

Neue Technologie hilft Kriminellen beim Einlösen von PINs

Banken, Geschäfte und Kreditkartenunternehmen haben sich gegen die PIN-Einlösung gewehrt. Die neueren elektronischen Chips in Kreditkarten (EMV) für Europay, Mastercard und Visa sind viel schwerer zu fälschen als die älteren Magnetstreifenkarten. EMV-Karten verwenden die sogenannte Rolling-Code-Technologie, die bei jedem Einkauf einen neuen Zahlungscode generiert. Dennoch sagen Experten, dass die Verteidigung gegen PIN-Einlösung und andere Formen des Kartendatendiebstahls ständige Wachsamkeit erfordern wird.

Ein Kredit- und Debitkartendieb kann in jedem Geschäft, jeder Bar oder jedem Restaurant passieren, in dem Sie Ihre Karte während der Bearbeitung nicht sehen können. Diebe haben tragbare Skimmer, die in eine Tasche passen, und Benutzer können Ihre Karte ohne Ihr Wissen illegal scannen. Beispielsweise wurde 2018 eine Kellnerin im Twin Peaks Restaurant in Oklahoma City von den Überwachungskameras mit einem eiswürfelgroßen Skimmer erfasst, der in ihrer Hosentasche versteckt war.

Kriminelle können auch gültige Kartenlesegeräte an Tankstellen und anderen Point-of-Sale (POS)-Standorten gegen ein modifiziertes austauschen. Das modifizierte Lesegerät überträgt die Daten über eine Bluetooth-Verbindung. Tastaturen können ein 3D-gedrucktes Overlay haben, das Ihre PIN-Eingabe aufnimmt und überträgt. Es ist sogar bekannt, dass sie kleine Pin-Kameras in den zum Verkauf stehenden Waren in der Nähe von Geldautomaten platzieren, um die PIN-Einträge von Skimmed-Karten aufzuzeichnen.

FICO-Daten berichten, dass im Laufe des Jahres 2017 die Anzahl der kompromittierten Geldautomaten und Point-of-Sale-Geräte um 8 % gestiegen ist und dass die Anzahl der kompromittierten Debitkarten in derselben Studie um 10 % gestiegen ist .