Kreditkarten-Brute-Force


Letzte Woche, ich war gerade beruflich unterwegs, bekam ich plötzlich komische Mails von Amazon, dass Zahlungen zurückgewiesen wurden, obwohl mit den Kreditkarteneinstellungen alles stimmte. Am Freitag kam zuhause dann ein Brief an, in dem meine Bank mir mitteilte, dass meine Karte vorübergehend gesperrt sei, da seltsame Aktivitäten festgestellt wurden. Ich sah sofort auf dem Konto nach und tatsächlich gab es ein paar Tage zuvor eine Abbuchung über knapp 50€, die ich nicht zuordnen konnte und die kurz darauf wieder gutgeschrieben wurde.

Ich meldete mich bei der im Brief genannten Telefonnummer an, wenig später wusste ich, dass es genau um diesen Umsatz ging und dass der Händler aus den USA die Abbuchung 33 mal probiert hat, bevor sie beim 34. Mal tatsächlich erfolgreich war. Der Händler hatte da wohl selbst erfasst, dass da etwas nicht stimmen kann und die Gutschrift selbst veranlasst. Später, als bereits alle Zahlungen abgewiesen wurden, wurde auch noch versucht, ein Netflix-Konto zu eröffnen.

Soweit war das alles ja kein Problem, die Bank hat den Betrug noch vor mir entdeckt und initiativ gehandelt, so wie es ja sein soll. Ich bekomme eine neue Karte und die Sache ist erledigt.

Heute morgen jedoch fiel mir auf dem Weg zum Bäcker etwas auf: Wieso wurde die Zahlung 33 mal abgelehnt und beim 34. Mal hat plötzlich alles geklappt? Das kam mir reichlich unlogisch vor, bis mir auffiel, dass meine Kartenprüfnummer (CVV2) die 033 war. Wenn man nun beim Bezahlen alle Kombinationen, beginnend mit 000 durchgeht, benötigt man genau 34 Versuche, um den Treffer zu landen. Natürlich ist das reine Vermutung, aber es scheint mir, als würden Kreditkartendatendiebe, die nur die Kreditkartennummer, nicht jedoch die Prüfziffer kennen, tatsächlich per Brute-Force-Attacke die Prüfziffer zu erraten versuchen. Vielleicht sollten die Banken (manche tun das offenbar) nicht nur auf seltsame Vorgänge achten, sondern die Karte bei mehrmals falsch eingegebener CVV2 direkt sperren. Prinzipiell ist ja auch hier alles gut gegangen, aber immerhin konnte der Betrüger tatsächlich eine Zahlung mit der Karte ausführen, ohne dass die vielen Falscheingaben auffielen…


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert