Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
arbeitsteiliges Skimming
zurück zum Verweis zur nächsten Überschrift arbeitsteiliges Skimming

 
steuernde Instanz
Proll-Skimming
arbeitsteiliges Skimming
Überwachungstechnik
  Zahlungskarten
  PIN
POS-Skimming
weitere Handlungen der Skimmer
Strafrecht
Tathandlungen im Ausland

Skimming (alter Aufsatz)
  Lesegeräte
    Quellen im Internet
  Ausspähen der PIN
  Tastatur-Skimmer
  Auslandseinsatz
  Sicherheitsvorkehrungen
  Strafrecht

Anmerkungen

einzelne Angriffsmethoden (Grafiken)

 
18.05.2008: Skimming ist das "Abschöpfen" der Daten aus einer Bank- oder Kreditkarte (Zahlungskarte). Dabei wird in aller Regel der Magnetstreifen ausgelesen und kopiert, um die Daten auf einen Rohling oder eine andere Karte mit Magnetstreifen einzulesen, die (meist im Ausland) für Geldabhebungen missbraucht wird.

Der "Skimmer" ist nur die Leseeinheit, mit der die Kartendaten kopiert werden.

Mit den beiden kursiv gesetzten Absätzen beginnt der beliebteste Aufsatz aus dem Cyberfahnder, der jetzt etwas in den Hintergrund gerückt ist ( Skimming) und auf den hier wegen der Einzelheiten verwiesen wird.

Er betrachtet das Skimming vorrangig unter dem Aspekt des Abschöpfens von Daten für den Missbrauch im bargeldlosen Zahlungsverkehr. Dieser am Anfang stehende Prozess ist aber nur ein Teil des Täterplans, wobei sich die Bedeutung dieser kriminellen Erscheinungsform erst erschließt, wenn man sie - wie beim Phishing - als Teil einer Gesamtorganisation versteht.
 

 
Das Ziel des Phishings ist der Missbrauch von Kontozugangsdaten im Zusammenhang mit dem Homebanking. Es mag auch Formen des Identitäts- und Kontendiebstahls geben, die die gleichen Methoden verwenden, aber andere Ziele verfolgen (Absatz von Hehlerware, Aneignung von Wertpapierkonten, betrügerischer Erwerb von Waren und Dienstleistungen). Die Ursprungs- und Hauptform des Phishings richtet sich aber immer noch gegen das Homebanking.

Dagegen ist das Ziel des Skimmings der Missbrauch von Zahlungskarten ( Zahlungskarten). Seine Arbeitsweisen sind meistens gröber als die des Phishings, aber weitaus differenzierter.

Beide Kriminalitätsformen bedienen sich unter Ausnutzung der modernen Technik der Strukturen, wie sie von der Organisierten Kriminalität gewohnt sind. Die für diese Beurteilung Ausschlag gebenden Merkmale sind die grenzüberschreitende Arbeitsteilung, der Einsatz moderner Technik, eine zentrale Einsatzsteuerung und die Einrichtung einheitlicher Absatzwege.

Für das Phishing wurden diese Strukturen bereits skizziert. Wegen des Skimmings werden sie hiermit nachgeholt.
 

zurück zum Verweis zur nächsten Überschrift nach oben steuernde Instanz
 

Großansicht: Arbeitsteilung
beim organisierten Skimming

 
Skimming ist auch in der Form denkbar, dass eine Einzelperson handelt. Der Täter späht Kartendaten aus (oder kauft sie), kopiert sie auf Dubletten, reist ins Ausland, wo die maschinenlesbaren Merkmale nicht abgefragt werden, verwendet die Dubletten und steckt dann das aus den Geldautomaten gezogene Geld ein. Der Einzeltäter ist dabei einem ständigen Wettlauf mit der Zeit ausgesetzt, weil sowohl das Ausspähen wie auch seine Kontoabhebungen im Ausland den betroffenen Rechenzentren der Banken aufgefallen sein und die Kartendaten gesperrt sein könnten.

Das "moderne" Skimming besteht jedoch aus koordinierten und arbeitsteilig organisierten Arbeitsschritten. Eine solche Organisation benötigt eine steuernde Instanz, also Hinterleute, die den Kopf des Unternehmens darstellen und die Arbeitsgruppen aufstellen, instruieren, ausstatten und schließlich aus der Beute bezahlen. Sie weist Ähnlichkeiten zu der beim Phishing auf.

Unterhalb der steuernden Instanz müssen beim Skimming folgende Arbeitsschritte organisiert werden:
 

 
1. Beschaffung der Daten auf den Zahlungskarten zum Missbrauch
2. Übermittlung der Missbrauchsdaten zur Weiterverarbeitung
3. Anfertigung und Vervielfältigung der Dubletten
4. Versand der Dubletten
5. Missbrauch der fremden Zahlungskartendaten
6. Transfer des Gewinns an die verteilende Instanz
7. Verteilung des kriminellen Gewinns

Das ist das Grundschema.

Für die Herstellung der Überwachungstechnik und der Dubletten werden handwerklich versierte Fachleute benötigt und für die anderen Tatteile andere Beteiligte mit einem gewissen Geschick bei der Installation und der nötigen Abgebrühtheit bei ihrem Einsatz in der Öffentlichkeit.
 

zurück zum Verweis zur nächsten Überschrift nach oben Proll-Skimming
 

Beobachten; Ablenken und stehlen

 
Einzelpersonen und Kleingruppen-Skimmer sind klassische Diebe und Trickbetrüger im Vor-Ort-Einsatz. Sie setzen Rückhaltetechniken wie den  Lebanese Loop ein, um die Originalkarte zu bekommen, oder praktizieren den Trickdiebstahl. Bei der Schlingenmethode (Loop) wird die Ausgabe der Zahlungskarte durch eine mechanische Sperre verhindert, die von den Tätern wieder entfernt wird, wenn das Opfer entnervt die Bank verlassen hat. Vorher wird das Opfer bei der PIN-Eingabe beobachtet, wobei sich die Täter die Ziffernfolge merken müssen.

Eine Variante des Loops ist das Ablenken, zum Beispiel durch Ansprache oder fallen lassen eines Geldscheins, und stehlen der Zahlungskarte. Dazu bedarf es mindestens zwei Täter, die arbeitsteilig zusammen arbeiten.

Die erbeutete Zahlungskarte muss dann sehr schnell eingesetzt werden, um aus Geldautomaten Geld zu ziehen. Dabei kommt den Tätern zu Gute, dass sie über das Original mit dem maschinenlesbaren Merkmal verfügen und die Karte auch im Inland missbraucht werden kann - jedenfalls bis zum Limit, das der Geschädigte hat eintragen lassen.
 

 
Der Diebstahl der Zahlungskarte ist in diesen Fällen für sich betrachtet ein "einfacher" Diebstahl gemäß § 242 Abs. 1 StGB und der anschließende Missbrauch der Zahlungskarte ein - in aller Regel gewerbsmäßiger - Computerbetrug im Sinne von § 263a Abs. 1 in Verbindung mit § 263 Abs. 3 Nr. 1 StGB in der Form der unbefugten Verwendung von Daten.

Der Tatplan der Täter zielt auf den Missbrauch der Zahlungskarte, so dass bei der vollständig ausgeführten Tat Tateinheit gemäß § 52 StGB wegen beider Tatbestände besteht.

Solange die Täter noch beim Ausspähen und Stehlen sind, haben sie zum geplanten Computerbetrug noch nicht unmittelbar angesetzt, so dass sie sich noch in der straflosen Vorbereitungshandlung zum Computerbetrug befinden, also noch nicht im Versuchsstadium ( § 22 StGB).
 

 

zurück zum Verweis zur nächsten Überschrift nach oben arbeitsteiliges Skimming
     

Das organisierte, arbeitsteilige Skimming weist wegen seiner Struktur Ähnlichkeiten mit dem Phishing auf, verlangt aber nach mehreren "handwerklichen" Arbeitsschritten ( Großansicht) mit zwei "Produktionsvorgängen" (blau unterlegt) und zwei "Außendiensteinsätzen" (grün unterlegt). Der Kontakt zum Bankkunden macht dabei nur den kleinsten Teil aus (Säule 2.2, rot unterlegt).

Großansicht  
Am Anfang (Säule 1) muss die Überwachungstechnik hergestellt werden. Der zweite Arbeitsschritt besteht in der Installation der Überwachungstechnik (Säule 2.1), dem Ausspähen der Daten aus den Zahlungskarten sowie der PINs (Säule 2.2) und schließlich der Demontage der technischen Einrichtungen (Säule 2.3).
 

Dem schließt sich eine zweite Produktionsphase an, in der die Dubletten gefertigt und einschließlich der ausgespähten PINs an eine oder mehrere Außendienstgruppen übermittelt werden (Säulen 3.1, 3.2). Diese setzen die Dubletten sodann an Geldautomaten im Ausland ein (Säule 4), behalten ihren Anteil ein und übermitteln den Rest der Beute an die steuernde Instanz (Säule 5.1), also an die Hinterleute, die entweder die Beute verteilen oder einbehalten (Säule 5.2), wenn sie an die anderen Beteiligten bereits aus eigenem Vermögen Vorschüsse bezahlt haben.
 

zurück zum Verweis zur nächsten Überschrift nach oben Überwachungstechnik: Zahlungskarten
 
 

 


 

 
Namen gebend für das Skimming ist der Einsatz eines Lesegerätes für die Zahlungskarten, also eines Skimmers.

Zahlungskarten haben mehrere individuelle Identifikationsmerkmale, die bei der Transaktion geprüft oder dokumentiert werden:

1. Unterschrift: Auf der Rückseite der Karte befindet sich in aller Regel eine helle, beschreibbare Fläche, auf der die persönliche Unterschrift geschrieben werden muss. Sie dient zum Vergleich bei einem von einem Menschen vorgenommenen Bezahlvorgang.
 
2. Prägeaufdruck: Das älteste und unsicherste maschinell lesbare Merkmal ist der erhabene Prägedruck (Embossing), der sich bis heute gehalten hat und in entlegenen Ecken der Welt auch noch genutzt wird.
 
3. Magnetstreifen: Der Magnetstreifen ist gegenwärtig das wichtigste und gebräuchlichste Merkmal. Auf die dort gespeicherten Daten sehen es die Skimmer ab.
 
4. moduliertes Merkmal: Das MM ist eine im Kartenkörper eingebrachte, maschinenlesbare Substanz. Sie wird aber nur im Inland geprüft.
 
5. Chip: Die meisten Zahlungskarten sind mit einem Speicherchip nur zu dem Zweck versehen, um das in ihm gespeicherte Guthaben für kleine Transaktionen zu verwalten. In ihnen können (und sind) auch die Kartendaten im Übrigen gespeichert ( EMV).
 

 
Am wichtigsten für die Skimmer ist der Magnetstreifen. Sein Aufbau und die auf ihm gespeicherten Daten ergeben sich aus der internationalen ISO-Norm 7810 für Identitätsdokumente. Er verfügt über drei Spuren. Auf den Spuren 1 und 2 sind immer die Kontonummer und die Bankidentifikation gespeichert (wegen der weiteren Daten siehe ). Im Gegensatz zu ihnen ist die dritte Spur auch für schreibende Zugriffe zugelassen. Sie enthält meistens verschlüsselte Hinweise auf die PIN und hier werden zum Beispiel die täglich unternommenen Transaktionen und die Fehlversuche wegen der PIN eingetragen.

Der Magnetstreifen selber ist jedoch recht störanfällig, so dass nicht immer alle drei Spuren auf ihm ausgelesen werden können. Die Geldautomaten weisen deshalb in aller Regel eine höhere Fehlertolleranz auf, die - jedenfalls im Ausland - den Dubletten beim Missbrauch zu Gute kommt.

Für das Skimming werden die Daten auf dem Magnetstreifen mit einem Aufsatzgerät entweder an der Eingangstür der Bank, die mit der Zahlungskarte geöffnet wird, oder am Geldautomaten selber ausgelesen.

Besonders genau lassen sich die Kartendaten und die (ausgespähte) PIN einander zuordnen, wenn das Auslesen erst am Geldautomaten erfolgt.

Allein schon die Tatsache, dass die Dublette im Ausland als Zahlungskarte akzeptiert wird, belegt, dass es sich um eine Zahlungskarte mit Garantiefunktion gehandelt hat, deren Daten abgegriffen wurden. Das betrifft reine Kreditkarten (z.B. von American Express), aber auch die auf das Guthaben und den zugelassenen Überziehungskredit beschränkten Zahlungskarten, die mit der Maestro-Garantie (MasterCard) ausgestattet sind.
 

zurück zum Verweis zur nächsten Überschrift nach oben Überwachungstechnik: PIN
 

Aufsatz-Tastatur
Quelle: kartyonline.net (mit weiteren Abbildungen)

 

 
Die PIN ( Persönliche Identifikationsnummer) wird nicht mehr auf der Zahlungskarte gespeichert; allenfalls noch als verschlüsselte Quersumme auf der dritten Spur des Magnetstreifens ( Hashwert). Sie wird wenn möglich online über nationale und internationale Verbindungsstellen abgeprüft (Clearing).

Proll-Skimmer versuchen, die Eingabe der PIN zu beobachten oder die Zahlungskarte oder das ausgegebene Geld zu stehlen.

Beim arbeitsteiligen Skimming werden hingegen in aller Regel technische Vorrichtungen verwendet.

Zwei Methoden lassen sich dabei grundsätzlich unterscheiden.

Mit Aufsatztastaturen wird die Eingabe der PIN unmittelbar protokolliert. Der handwerkliche Aufwand für die Herstellung eines solchen Geräts ist erheblich, ihre präzise Funktion jedoch nicht zu überbieten. Auf Dauer lohnt sich ihr Einsatz jedoch für die Kriminellen - ob als Teilabdeckung (siehe links) oder als komplette Fassade ( Front Covering). Die Bauarten der Geldautomaten sind übersichtlich, so dass der vielfache Einsatz von Aufsatzgeräten garantiert ist.

Der Einsatz eines Pulvers, mit denen die Tasten des Automaten präpariert werden sollen, dürfte weiterhin als Legende anzusehen sein.
 

 
In den meisten Fällen wird jedoch eine digitale Überwachungskamera eingesetzt.

Besonders populär sind Miniaturkameras im Propagandaständer am Geldautomaten, in einer aufgesetzten Leiste oberhalb der Tastatur oder neuerdings getarnt als Rauchmelder über dem Geldautomaten an der Wand.

Kameras sind zwar nicht so protokollsicher wie Aufsatzgeräte, aber erheblich unauffälliger. Das mag erklären, warum sie von den Tätern bevorzugt eingesetzt werden.

Wegen der Weiterverarbeitung der ausgespähten Daten bin ich mir noch nicht ganz schlüssig. Zum Einsatz kommen können Speichermedien, die nach der Demontage der Überwachungstechnik gesichert und weiter verarbeitet werden, und Online-Prozesse. Dabei kann die Koppelung mit einem Handy (teuer!) ebenso gut zum Einsatz kommen wie die WLAN- oder Bluetooth-Technik ( Nahfunk).
 

zurück zum Verweis zur nächsten Überschrift nach oben POS-Skimming
 

 
Die höchsten Schäden verursacht inzwischen nach den Angaben des BKA das POS-Skimming. POS-Terminals sind die Geräte für den bargeldlosen Zahlungsverkehr, die in Supermärkten, Restaurants und anderen Läden eingesetzt werden.

Sie sind deshalb besonders attraktiv für Skimmer, weil sie den vollständigen Dump, bestehend aus den Kartendaten und der PIN, online übermitteln. Wenn die Terminals geschickt manipuliert werden, dann schicken sie den Dump an zwei Adressen: An die Clearingstelle, die die Transaktion bestätigt, und an die Täter.

Der Einsatz von POS-Terminals für das Skimming verlangt danach, dass die Eingabegeräte zunächst gestohlen werden müssen. Um an ihr elektronisches Innenleben zu gelangen, gibt es zwei Möglichkeiten. Bei der vorsichtigen Art zerstört sich die Elektronik automatisch. Bei der brachialen Art bleibt das Innenleben funktionstüchtig, ist aber das Gehäuse unwiederbringlich kaputt. Die Täter müssen deshalb doppelt so viele Geräte stehlen wie sie später einsetzen können. Von der einen Hälfte verwenden sie die intakten Hüllen und von der anderen die Elektronik, die sich nicht selbstzerstört hat.
 


Bei einem zweiten Außeneinsatz werden die manipulierten POS-Terminals an den Kassen des Ladens installiert. Die (inzwischen ersetzten) "Altgeräte" werden bei dieser Gelegenheit für die nächste Nachbearbeitung mitgenommen.

Danach werden die Daten aus den Zahlungskarten und die von den Kunden eingegeben PINs abgegriffen.

Bequemer für die Täter geht es nicht!
 

zurück zum Verweis zur nächsten Überschrift nach oben weitere Handlungen der Skimmer

 

 

 
Der erfolgreiche Skimming-Einsatz wird im Fachjargon auch als Point of Compromises - PoC - bezeichnet. Die bevorzugte Zeit für das Skimming (wie bei den Kontomanipulationen beim Phishing) beginnt am Freitag Mittag, nachdem die Banken geschlossen haben und für die Manipulationen ein ganzes Wochenende Zeit bleibt, ohne dass die Kunden mit ihrer Bank einen direkten Kontakt herstellen können.

Fünf wichtige Schritte folgen:

1. Die ausgespähten Daten müssen zur Weiterverarbeitung übermittelt werden.
 
2. Die ausgespähten Daten müssen auf andere Magnetkarten (Dubletten) übertragen werden. Dabei können sie auch auf mehrere Magnetkarten übertragen werden, um verschiedene Außendienst-Gruppen zu versorgen.
 
3. Die Dubletten müssen an die Außendienstgruppen verteilt werden, wobei ihnen auch die ausgespähten PINs mitgeteilt werden.
 

 
4. Die Außendienstgruppen müssen die Dubletten einsetzen und an Geldautomaten im Ausland missbrauchen.
 
5. Die Beute muss den Hinterleuten übermittelt werden.

Schritt 1 dürfte am einfachsten online (per SMS, E-Mail oder FTP-Download) zu machen sein. Schritt 2 erfordert handwerkliches Wissen, das aber weit weniger tief ist als das, das für die Herstellung der Überwachungstechnik nötig ist. Für Schritt 3 werden Post- oder Paketdienste eingesetzt. Das verlangt nach einer gewissen Laufzeit, ist aber absolut sicher.

Im Gegensatz zum Phishing bedarf es beim Skimming keiner Finanzagenten, deren Transaktionen nachverfolgt werden können. Mit der Ausgabe des Bargeldes reißt die Kette für die Nachverfolgung ab. Die Beute kann "am Mann" oder unauffällig auf verschiedene andere Arten an die Hinterleute übermittelt werden.

Wegen der Sicherheitsvorkehrungen wird auf meinen früheren Aufsatz Bezug genommen.
 

zurück zum Verweis zur nächsten Überschrift nach oben Strafrecht  
     

Auslandstaten bleiben bei einer ersten Betrachtung der strafrechtlichen Einschätzung zunächst außen vor.

Die "Handwerker", die die Überwachungstechnik herstellen, machen sich nicht nach § 202c StGB strafbar ( Hackertools). Diese Vorschrift gilt nur für Datensammlungen und Programme, die für das Ausspähen von Daten verwendet werden können, nicht aber für Geräte als solche. Wenn die Geräte über eine besondere Software verfügen, kann das anders zu beurteilen sein.

Großansicht

 
Im Hinblick auf die Kartendaten ist der erfolgreiche Einsatz von Skimmern als das Ausspähen von Daten gemäß § 202a StGB zu qualifizieren. Es handelt sich um einen Tatbestand aus dem Bereich der einfachen Kriminalität, der keine Strafbarkeit des Versuchs kennt. Die Tat ist vollendet, sobald die ersten Kartendaten ausgespäht wurden.

Das Ziel der Täter ist der betrügerische Einsatz von Dubletten. Der notwendige Zwischenschritt ist deren Herstellung.

Nach § 152a StGB sind die Verbreitung, der Erwerb und der Gebrauch von gefälschten Zahlungskarten mit Freiheitsstrafe bis 5 Jahre bedroht. Die Täter beim Skimming handeln meistens als Bande, so dass sie wegen jeder einzelnen Tat gemäß § 152a Abs. 3 StGB mit einer Freiheitsstrafe zwischen 6 Monaten und 10 Jahren bestraft werden müssen.
 


Gaukelt die Dublette eine Garantiefunktion vor (wie etwa bei der Kredit- oder der Maestro-Karte), dann erhöht sich die Strafdrohung nach § 152b StGB auf eine Mindeststrafe von 1 Jahr Freiheitsstrafe ( BGH, Beschluss vom 26.01.2005 - 2 StR 516/04) und bei bandenmäßiger Begehung auf mindestens 2 Jahre Freiheitsstrafe.

Der Einsatz der Dubletten stellt sich nach deutschem Strafrecht auch als Computerbetrug ( § 263a StGB) und als Fälschung beweiserheblicher Daten ( § 269 StGB) dar. Beide Vorschriften treten hinter § 152b StGB zurück.

Die Beutesicherung kann schließlich als Hehlerei ( § 259 StGB)und Geldwäsche ( § 261 StGB)qualifiziert werden. Eine isolierte Strafbarkeit kommt wegen dieser Helfer nur in Betracht, wenn sie an keiner der anderen Arbeitsschritte beteiligt waren.
 

zurück zum Verweis zur nächsten Überschrift nach oben Tathandlungen im Ausland  
     

Der im Ausland begangene Computerbetrug ist nur dann in Deutschland strafbar, wenn hier der kriminelle Erfolg eintritt. Das ist beim Skimming dann der Fall, wenn die Kartendaten ausgespäht wurden, die von hiesigen Banken ausgegeben wurden. Dann tritt hier auch der Schaden ein.

Großansicht

 
Der Straftatbestand, um das sich die Handlungen beim Skimming ranken, sind das Verbreiten, der Erwerb und der Gebrauch von gefälschten Zahlungskarten mit Garantiefunktion ( § 152b StGB) mit der höchsten Strafdrohung aus dem Kreis der einschlägigen Vorschriften. Bei der Verfolgung kommt das Weltrechtsprinzip zu Geltung, weil er von § 6 Nr. 7 StGB unabhängig vom Tatort der Strafbarkeit in Deutschland unterwirft.

Bei einer arbeitsteiligen Bande sind auch die Handlungsanteile der Gehilfen als Teil der Bandentat zuzurechnen. Daraus folgt, dass sich auch die Handwerker und "Außendienstler" (Säulen 1., 2.1, 2.2 und 2.3) als Beihilfetäter zum Verbrechen des § 152b StGB strafbar machen


Fazit

Wenn die Organisation beim Skimming als gewerbs- und bandenmäßige Struktur aufgefasst wird, sind alle Handlungen der Täter in den beteiligten Arbeitsgruppen (mindestens) als Beihilfe zum Gebrauch von gefälschten Zahlungskarten mit Garantiefunktion ( § 152b StGB) zu betrachten und ungeachtet einer grenzüberschreitenden Gruppenbildung nach deutschem Strafrecht strafbar.

Die Strafverfolgung richtet sich deshalb beim arbeitsteiligen Skimming gegen eine Form der besonders schweren und gleichzeitig Organisierten Kriminalität. Es handelt sich dabei um eine Katalogstraftat nach § 100a Abs. 2 Nr. 1 e) StPO, die in aller Regel den Einsatz verdeckter und heimlicher Ermittlungsmethoden rechtfertigt.
 

zurück zum Verweis nach oben Cyberfahnder
 

 

 

 

 

 

 

 

 

 

© Dieter Kochheim, 02.08.2009