Schutz vor Skimming

Diese Tricks nutzen Betrüger an Geldautomaten

G DATA Ratgeber

Nicht nur beim Online-Banking versuchen Kriminelle, an Ihre Kontodaten zu kommen. Die Gefahr lauert auch an Geldautomaten und anderen Lesegeräten – überall dort, wo der Magnetstreifen oder Chip Ihrer Karte ausgelesen wird. Diese Art des Angriffs nennen Fachleute "Skimming" (dt. „abschöpfen“, „absahnen“). Die Täter erstellen mit den erbeuteten Daten eine Kopie Ihrer Karte. Wir erklären Ihnen die verschiedenen Skimming-Methoden und geben Ihnen einfache Tipps, wie Sie sich schützen können.

Was machen die Täter mit den gestohlenen Daten?

Nachdem die Täter die Daten vom Magnetstreifen ausgelesen und die PIN erspäht haben, erstellen sie Karten-Duplikate und benutzen diese, um Geld abzuheben – vor allem in anderen Ländern. In Deutschland werden Karten auf für den Nutzer unsichtbare Merkmale überprüft, welche die Täter auf den Blanko-Karten nicht nachahmen können oder was für sie zu zeit- und kostenintensiv ist. Ausländische Bankautomaten haben diese Prüfung in der Regel nicht eingebaut.

Eine weitere Missbrauchsmöglichkeit ist der Verkauf der Daten in Untergrundforen und -märkten oder aber auch der unberechtigte Kauf von Waren im Internet.

Ein zusätzliches Lesegerät vor dem eigentlichen Kartenschlitz

Ein zusätzliches Lesegerät vor dem eigentlichen Kartenschlitz

Beim Eingeben in den Kartenschlitz wandert die Karte zunächst durch das Gerät der Betrüger und dann durch den Geldautomaten selbst. Die Daten der Karte werden gespeichert oder direkt in die nähere Umgebung weiterversendet (zum Beispiel per Bluetooth), wo die Täter mit einem Empfangsgerät warten. Das falsche Lesegerät kann dabei so tief in den Kartenschlitz geschoben worden sein, dass die Manipulation von außen nicht mehr sichtbar ist.

Falsche Tastenfelder

Falsche Tastenfelder

Zusätzlich installieren die Angreifer nachgebaute Tastenfelder, um die Druckpunkte auf dem Pad mitzulesen und dadurch PIN und Co. abzugreifen.

Kameras spähen Daten aus

Kameras spähen Daten aus

Gleichzeitig oder anstelle des falschen PIN-Pads bringen sie eine kleine Kamera an, nicht größer als ein Stecknadelkopf, um Ihre Eingabe zu beobachten.

Die Täter bringen die Kamera an verschiedenen Stellen des Automaten an, zum Beispiel: in scheinbar regulären Haltern für Prospekte am Automaten-Rahmen
direkt über dem PIN-Pad, in extra dafür angefertigten Rahmen oder in angeblichen Rauchmeldern
innerhalb der falschen Kartenlesegeräte, mit Blick in Richtung PIN-Pad
Die Geräte nutzen Angreifer oft an touristischen Hotspots. Dort tummeln sich viele Menschen, die ihre Karten für die Benutzung im Ausland freigeschaltet haben.

Vorsicht auch an anderen Lesegeräten

In vielen Fällen lassen sich die Türen zu Bank-Filialen nur mithilfe der Karte öffnen. Die Informationen auf den Magnetstreifen können auch hier ausgelesen werden – mithilfe eines manipulierten Türöffners. Auch möglich: ein Kartenlesegerät, das die Türöffnungsfunktion vorspielt, wo sie nicht nötig ist.

Nicht nur Banken sind betroffen. Auch Bezahlautomaten in Bussen und Bahnen, an der Supermarktkasse und an Tankstellen können Skimming-Lesegeräte sein.

Skimming an der Kasse

Angreifer manipulieren die Kartenlesegerät direkt am Verkaufsort. Das ist technisch ausgefeilter als das Skimming an Geldautomaten: Die Täter stehlen die Geräte, manipulieren sie und bringen sie an einen Einsatzort. Oder sie bauen die Terminals gleich komplett nach. Auch hier versuchen die Täter an die Daten auf dem Magnetstreifen der Karte zu kommen oder die Tastatureingaben mitzulesen. Das geschieht zum Beispiel durch eine spezielle Folie zwischen den Tasten und dem Gerät, die Druck aufzeichnet.

Manipulierte Zapfsäulen

Gerade in den USA gab es eine Häufung von Fällen, in denen Täter die Kartenlesegerät an Selbstbedienungs-Tankstellen manipuliert haben. Mit illegal aufgesetzten Skimming-Geräten und in den Zapfsäulen platzierten Sendern konnten Daten von sehr vielen Kunden abgegriffen werden.

Was es den Dieben leicht machte: Die Mehrzahl aller Zapfsäulen konnte mit einem Universalschlüssel geöffnet und geschlossen werden. Dadurch kamen die Täter in das Innere der Zapfsäulen, ohne Spuren zu hinterlassen. Seither rüsten Tankstellenbesitzer mit individuellen und schwer zu knackenden Schlössern nach.

Kontaktloses Bezahlen als Skimming-Falle

Viele Kreditkarten und Debitkarten sind inzwischen mit RFID-Chips ausgestattet, die das kontaktlose Bezahlen von Kleinbeträgen erlauben. Auch Handys besitzen RFID-Komponenten, die sich für kontaktlose Zahlungen eignen. Diese Funktion nutzen Kriminelle, um den Opfern sprichwörtlich die Daten 'aus der Tasche zu ziehen': Mit Ihrem Lesegerät, zum Beispiel einem Handy mit einer speziellen App, müssen sie nur nah genug an das Opfer herankommen.

Wer haftet im Schadensfall?

Für nicht autorisierte Zahlungsvorgänge wie im Fall von Skimming haftet in der Regel die Bank. Das gestohlene Geld wird dem Opfer meist erstattet. Ausnahme: Die Bank kann nachweisen, dass das Geld mit der Originalkarte und der passenden Geheimzahl abgehoben wurde. Dann geht die Bank von der Fahrlässigkeit des Kunden selbst aus. Wer bei Skimming haftet, hängt also immer von der Art des Vorfalls ab.

Skimming am PC

Auf was Sie beim Geldabheben und Bezahlen achten sollten

Überprüfen Sie den Geldautomaten oberflächlich

Sehen oder spüren Sie auf Anhieb lose Teile? Sieht etwas angeklebt aus? Stehen Teile über? Hat die Verkleidung unterschiedliche Farbtöne? Sind angebrachte Siegel intakt oder weisen sie Beschädigungen auf? Es gibt in der Verarbeitung der illegal aufgesetzten Bauteile enorme Unterschiede.

Verdecken Sie immer die Eingabe der PIN

Decken Sie die eingebende Hand mit der anderen Hand, einer Geldbörse oder ähnlichem ab, damit niemand und auch keine Kamera Sicht auf das PIN-Pad hat.

Lassen Sie sich beim Geldabheben nicht ablenken

Betrüger versuchen in einigen Fällen, Menschen beim Geldabheben abzulenken. Achten Sie darauf, dass Personen nicht zu nahe an Sie herantreten und bestehen Sie auf Ihre Privatsphäre. Lassen Sie sich außerdem nicht bei etwaigen Problemen helfen – das bedeutet auch, dass Sie ihre Karte nicht aus der Hand geben sollten.

Vereinbaren Sie mit Ihrer Bank ein Limit für Abhebungen

Banken bieten in der Regel für alle offline und auch online getätigten Transaktionen eine Limit-Funktion an. Damit legen Sie fest, welcher Betrag innerhalb eines festgelegten Zeitraums maximal transferiert oder abgehoben werden darf. Der Schaden kann durch ein solches Limit im Fall der Fälle reduziert werden.

Kontrollieren Sie ihre Kontoauszüge regelmäßig

Spätestens beim Blick auf die Kontoübersicht sollten ungewöhnliche Transaktionen auffallen. Die erste Anlaufstelle zur Klärung des Sachverhalts ist dann die Hausbank. Die AGB der jeweiligen Finanzdienstleister informieren darüber, welche Maßnahmen in welchem Zeitraum getroffen werden müssen, um Ansprüche geltend zu machen. Besondere Fristen gelten hier im Zusammenhang mit Rechnungsabschlüssen, die sich rechtlich von Kontoauszügen unterscheiden und mindestens einmal pro Jahr getätigt werden müssen. Wichtig ist auch die Anzeige bei der Polizei.

Schaffen Sie sich für Zahlungen an Terminals jeglicher Art eine Prepaid-Karte an

Genauso begrenzt eine Prepaid-Karte mit Guthaben die Höhe des Schadens und erhöht so die Sicherheit.

Notieren Sie sich die Notruf-Nummern zum Sperren Ihrer Karte

Wenn Sie den Verdacht haben, dass Sie Opfer einer Skimming-Attacke geworden sind, melden Sie sich umgehend bei Ihrem Finanzdienstleister und lassen Sie die Karte sperren.

Kaufen Sie sich eine Geldbörse mit RFID-Blocker

Um sich gegen das kontaktlose Auslesen der Kartendaten zu wehren, können Sie Geldbörsen, Taschen und Co. mit eingebautem RFID-Blocker kaufen.

Sperren oder limitieren Sie Auslandsbuchungen

Da die Täter in aller Regel die Abbuchungen aus dem Ausland vornehmen, hilft das Sperren beziehungsweise Regulieren der Kartennutzung im Ausland. Für geplante Reisen können Sie die Karte von Ihrer Bank für die ausgewählten Länder und Zeiträume freischalten lassen. Oder Sie schaffen sich extra Kreditkarten an, die Sie nur auf Reisen nutzen.

Bezahlen Sie Einkäufe und Services möglichst mit Bargeld

Um nicht in die potentielle Gefahrensituation des Skimming zu kommen, können Sie natürlich auch bar bezahlen. Das Geld sollten Sie in diesem Fall direkt am Bankschalter abholen und nicht am Automaten. Der Sicherheit vor Skimming steht entgegen, dass eine hohe Summe Bargeld auch ohne technische Hilfsmittel abhandenkommen kann – durch Verlust oder Raub.

Bei Verdacht auf Manipulation: Benutzen Sie das Gerät nicht

Wenn Sie etwas Ungewöhnliches entdecken, stecken Sie die Karte nicht in das Gerät oder nehmen Sie die Karte aus dem Gerät heraus. Geben Sie keine sensiblen Daten in das PIN-Pad ein.

Suchen Sie nicht nach möglichen Tätern – das kann unter Umständen in unschönen Szenen enden, wenn sich diese ertappt fühlen. Sie halten sich nicht selten in der Nähe auf und beobachten.

Verständigen Sie die Polizei. Entfernen Sie sich dafür von dem Gerät, um keine unnötige Aufmerksamkeit auf sich zu lenken.

Ines Maria Eckermann
Online Editor

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein