Britische Forscher der University of Cambridge haben einen sogenannten „Man-in-the-Middle“-Angriff konstruiert, mit dem sich das EMV-Verfahren bei ec- und Kreditkarten aushebeln lässt, sodass Karten scheinbar beliebige PINs akzeptieren. Mit einem Kartenadapter lässt sich laut den Forschern die Datenübertragung zwischen einer EMV-Chipkarte und dem Terminal über einen PC mit einer speziellen Schnittstelle umleiten. Wenn das Terminal ein Verify-PIN-Kommando an die Karte schickt, fängt der PC diesen Befehl ab und antwortet mit einem bestimmten Code, der dem Terminal signalisiert, dass die PIN gültig ist. Dieser Code ist immer gleich. Welche PIN dann in das Terminal eigegeben wird, ist grundsätzlich gleichgültig, da diese nicht die Karte erreicht. Laut einem Bericht der BBC, die das Angriffsszenario auf ihrer Website in einem Film demonstriert, funktioniert der Betrug sowohl im Online- als auch im Offline-Verfahren. Bei der Untersuchung des Angriffsszenarios stellte der ZKA fest, dass dieser mit girocard-Karten an Geldautomaten und an POS-Terminals des girocard-Systems in Deutschland nicht möglich ist. Die in Deutschland verwendeten EMV-Spezifikationen böten bereits Mechanismen zur Abwehr des beschriebenen Angriffs. Diese Mechanismen seien im girocard-System bereits von vornherein implementiert worden. Das Vorspiegeln einer erfolgreichen PIN-Prüfung sei somit nicht möglich. BBC Demofilm www.zka.de