c’t-Magazin: Tankkarten-Betrug aufgedeckt Mautzahlungen mit fremden Karten
Hannover, 4. Oktober 2024 – Europas führendes IT- und Technikmagazin c’t hat in seiner Ausgabe 22/2024 eine Betrugsmasche mit Flotten-Tankkarten aufgedeckt: Kriminelle haben dabei sicherheitsrelevante Informationen und fehlende Schutzmechanismen des Online-Buchungssystems eines deutschen Mautbetreibers ausgenutzt, um Mautgebühren über andere Unternehmen abzurechnen. Betroffen sind vor allem Speditionen und Busunternehmen, die keine Zwei-Faktor-Autorisierung verwenden und denen deshalb droht, auf ihren Kosten sitzen zu bleiben.
Ein c't-Leser berichtete der Redaktion von unautorisierten Mautzahlungen auf der Monatsabrechnung seiner Tankkarte in Höhe von über 250 Euro für drei bulgarische Lkw-Kennzeichen. „Die darauffolgenden Recherchen offenbarten Sicherheitsmängel im Buchungssystem des deutschen Mautbetreibers AGES“, erklärt c't-Redakteur Mirko Dölle.
AGES, aber auch Toll Collect akzeptieren neben Kreditkarten auch Tankkarten, für die man die vollständige Kartennummer und das Ablaufdatum eingeben muss. „Betrüger können diese Daten leicht herausfinden, da Teile der Kartennummer öffentlich bekannt sind“, erklärt Dölle. Achtlos weggeworfenen Tankquittungen enthalten weitere Anhaltspunkte. Das Buchungssystem der AGES lieferte den Tätern bei fehlgeschlagenen Bestellungen aufschlussreiche Fehlercodes zurück: „Betrüger konnten damit relativ einfach gültige Tankkartennummern und Ablaufdaten erraten und diese dann für Mautzahlungen bei der AGES oder auch bei Toll Collect missbrauchen.“
Die c't-Redaktion informierte die zuständigen Stellen über die Sicherheitslücken. AGES hat daraufhin die problematischen Fehlermeldungen von seiner Website entfernt. „Das erschwert den Betrug, behebt aber nicht alle Schwachstellen“, betont Dölle. „Unternehmen sollten weiterhin wachsam sein und ihre Abrechnungen genau prüfen.“
Besonders brisant: Flotten-Tankkarten sind im Gegensatz zu privaten Kreditkarten oft weniger gut geschützt, da sie keine zusätzlichen Sicherheitsmerkmale wie den CVV-Code haben. „Die PIN steht häufig auf der Karte oder im Bordbuch, und manchmal gibt es für alle Karten dieselbe oder gar keine PIN.“ Der CVV-Code erhöht das Schutzniveau nur unzureichend, da er nicht von allen Buchungssystemen verlangt wird. Betroffenen Spediteuren droht, den Schaden selbst zu tragen, da manche Tankkartenanbieter von ihren Kunden einen pauschalen Verzicht auf Einwände bei Kartenmissbrauch verlangen. Das stellt für Unternehmen ein unkalkulierbares Risiko dar.
Als Schutzmaßnahme empfiehlt c't eine Zwei-Karten-Lösung: eine Karte nur zum Tanken, eine separate für die Mautzahlung. „Damit lässt sich das Missbrauchsrisiko deutlich reduzieren, da die Nummer der Mautkarte nicht mehr an Tankstellen ausgespäht werden kann“, sagt Dölle. Langfristig sei aber die flächendeckende Einführung der Zwei-Faktor-Authentifizierung notwendig.
Für die Redaktionen: Auf Wunsch schicken wir Ihnen gerne den vollständigen Artikel zur Rezension.
