So können Kunden sich schützen

Vorsicht am Geldautomaten: Programm kann die PIN auslesen

Ein neues Programm macht es Betrügern noch leichter, Bankkunden abzuzocken. Selbst wer seine PIN bei der Eingabe mit der anderen Hand abdeckt, ist nicht sicher.

Dortmund – Im Portemonnaie herrscht gähnende Leere? Spätestens wenn sich nur noch ein paar Cent in der Geldbörse finden lassen, führt der Weg für viele direkt zum Geldautomaten. Karte rein, einmal umschauen, ob keiner zuguckt, dann die PIN eingeben – am besten versteckt unter der anderen Hand, sodass ihn keiner sieht. Doch selbst das könnte in Zukunft nicht davor schützen, dass die PIN von Betrügern ausspioniert werden kann.

SkimmingIllegales Ausspähen von Daten auf Kredit- oder Bankkarten zum Kreditkartenbetrug ausspäht.
ZweckKreditkartenbetrug
SchutzManipulierte Geldautomaten nur schwer, am ehesten durch Löcher oder Kameras in der Ummantelung erkannt werden

Betrug am Geldautomaten: Programm erkennt PIN

Das Problem mit dem Datenklau am Geldautomaten ist nicht neu. Auch, dass Bankkunden mit einem Trick direkt das ausgespuckte Bargeld abgenommen wird, ist eine mögliche Gefahr beim Geldabheben.

So kann es passieren, dass beim sogenannten Cash Trapping mit einer zusätzlichen Blende am Geldauswurf das ausgegebene Bargeld abgefangen wird. Für Kunden sieht es laut einer Kundeninformation der Sparkasse dann so aus, als sei der Geldautomat kaputt oder leer.

Beim Datenklau, dem sogenannten Skimming versuchen Betrüger hingegen direkt die volle Macht über die Konten ihrer Opfer zu erlangen. Bisher wurden dazu aber vor allem die Daten auf der Kredit- oder Girokarte illegal abgelesen, um anschließend Kartendubletten herzustellen. Doch erst zusammen mit einer mühsam ausgespähten PIN konnten Betrüger überhaupt etwas mit einer solchen Kartenkopie anfangen.

Geld vom Bankautomaten: Betrüger können KI nutzen um PIN zu erraten

Doch nun eröffnet ein neu entwickeltes Programm Betrügern weitere Möglichkeiten. Ausgerechnet Sicherheitsforscher entwickelten das Programm, welches die PIN von Bankkunden mit sehr hoher Wahrscheinlichkeit erraten kann – ohne dabei einen direkten Blick auf das Zahlenfeld zu benötigen (mehr Service-News aus dem Bereich digitales auf RUHR24).

Wie bleepingcomputer.com berichtet, wollten die Forscher beweisen, dass es möglich ist, eine KI (Künstliche Intelligenz) so zu trainieren, dass sie eine vier- oder fünfstellige PIN erraten kann. Selbst, wenn das Opfer die Zahlen bei der Eingabe abdeckt. Tatsächlich ist das den Forschern gelungen: In 41 Prozent aller Fälle konnte das von ihnen entwickelte Programm die PIN richtig erraten.

Trainig vor Betrugs-Angriff: Programm errät richtige PIN

Für ihr Experiment hatten die Forscher ihr Programm mit 5.800 Videos von PIN-Eingaben von 58 unterschiedlichen Menschen gespeist. Zudem muss das Programm vor dem eigentlichen Betrugs-Angriff an einer Replik des Geldautomaten trainiert werden, damit es die genauen Abmessungen und Tastenabstände am Zahlenfeld kennt. Dann aber kann das Programm, basierend auf versteckt gefilmten (abgedeckten) Handbewegung ableiten, welche Tasten auf dem Zahlenfeld gedrückt werden.

Anschließend macht sich das Programm die Toleranz bei der PIN-Eingabe zunutze, um mögliche richtige Kombinationen zu erraten – den in der Regel haben Bankkunden drei Versuche, um ihre PIN richtig einzugeben.

Um das Programm nutzen zu können, braucht es ein Intel Xeon E5-2670 Pozessor mit 128 GB RAM und drei Tesla K20m mit jeweils 5 GB RAM. Eckdaten, die jedem Laien wenig sagen dürften. Laut chip.de sei das System auch mitnichten ein durchschnittliches und somit günstig zu habendes, bei der möglichen Ausbeute könnte sich die Investition für die Betrüger jedoch trotzdem lohnen.

Gegenmaßnahmen: Dem Betrug am Geldautomaten vorbeugen

Dennoch bleibt es fraglich, ob sich die Masche bei Betrügern durchsetzt, um an Geld zu kommen. Denn zusätzlich zu der Investition müssten sie sich auch mit KIs auskennen und imstande sein, diese mit den entsprechenden Aufnahmen zu füttern. Da nun aber bewiesen ist, dass es nicht reicht, die Hand bei der PIN-Eingabe abzudecken, empfiehlt bleepingcomputer.de weitere Gegenmaßnahmen zu ergreifen:

  • Wer die Wahl hat, sollte immer eine 5-Stellige PIN für sein Konto nutzen. In Deutschland ist das allerdings unüblich. Nur beim Online-Banking werden bereits jetzt 5-Stellige PINs vergeben.
  • Wer seine Hand bei der Eingabe abdecken will, sollte möglichst die ganze Hand bedecken. Je weniger die von den Betrügern installierte Kamera von der gesamten Handbewegung aufzeichnen kann, desto kleiner ist die Wahrscheinlichkeit, dass die PIN richtig erraten wird.
  • Banken könnten darauf setzen, virtuelle Tastaturen zu nutzen, bei denen die Ziffern immer an zufällig gewählten, unterschiedlichen Positionen zu finden sind. Wer sich seine PIN allerdings als Eingabe-Muster merkt, könnte dann selbst Schwierigkeiten bekommen, sich die eigene richtige PIN zu merken.

Übrigens untersuchten die Forscher auch, wie häufig Menschen anhand der erstellten Videos die PIN richtig erraten konnten: Mit nur 7,92 Prozent errieten die Probanden im Gegensatz zu der KI deutlich seltener die richtige PIN.

Rubriklistenbild: © Socrates Baltagiannis/dpa

Mehr zum Thema