Kontaktloses Bezahlen gehackt

Sicherheitslücke in Visas NFC-Zahlungsabwicklung

31. August 2020, 11:11 Uhr | Lars Bube
© gpointstudio - Fotolia.com

Sicherheitsforscher haben einen Weg gefunden, die ab 50 Euro notwendige Identifikationsprüfung beim kontaktlosen Bezahlen mit Visa-Karten auszuhebeln. Mit der Methode lassen sich sowohl von gestohlenen als auch ungeschützt im Geldbeutel transportierten Karten größere Beträge abheben.

Das bereits seit einigen Jahren mögliche kontaktlose Bezahlen per NFC geht schnell, ist für die Kunden besonders komfortabel und wird wegen der wegfallenden Berührungspunkte insbesondere seit Beginn der Corona-Krise immer beliebter – einige Läden fordern ihre Kunden sogar explizit dazu auf, möglichst drahtlos zu bezahlen. Grundlage dafür ist der in den 90er-Jahren unter Federführung von Europay, Mastercard und Visa entwickelte und nach ihnen benannte EMV-Standard, den weltweit mehr als 9 Milliarden Karten nutzen. Jetzt haben Forscher der ETH Zürich allerdings eine gravierende Sicherheitslücke bei der Umsetzung dieses Verfahrens bei einigen Anbietern aufgedeckt. Sie betrifft ausgerechnet die bei größeren Beträgen, meist ab 50 Euro, notwendige zusätzliche Identifikationsprüfung. Diese wird eingesetzt um zu verhindern, dass Diebe mit gestohlenen Karten allzu großen Schaden anrichten können. Beim klassischen Bezahlen mit der Karte wird dazu normalerweise die Unterschrift des Kartenbesitzers gefordert.

Beim kontaktlosen Bezahlen jedoch nutzen einige Kreditkartenanbieter stattdessen als zweiten Identifikationsfaktor zusätzlich zum NFC-Code entweder die Eingabe der Karten-PIN oder eine sichere Identifikation über das Smartphone, beispielsweise per Face-ID. So sollen der Komfort- und Geschwindigkeitsvorteil dieser Bezahlvariante auch im Überprüfungsfall erhalten bleiben. Genau an diesem Punkt fanden die Forscher bei einer eingehenden Sicherheitsanalyse mehrerer Kartensysteme nun jedoch die kleine aber gefährliche Schwachstelle. Diese betrifft nach ihren nach ihren Ausführungen zumindest Visa und in Teilen auch Mastercard, lässt sich aber nach den bisherigen Erkenntnissen nur bei Visa auch tatsächlich ausnutzen.

Die Experten der ETH nutzen dafür einen klassischen Man-in-the-Middle-Angriff (MITM), bei dem ein speziell präpariertes Smartphone als Mittelsmann zwischen Karte und Terminal zum Einsatz kommt. Dieses gaukelt dem Terminal über zwei einfache selbst geschriebene Apps eine erfolgreiche Identifikationsprüfung vor und lässt somit auch direkt teurere Abbuchungen ohne weitere echte Überprüfungen zu. Nach Angaben der Forscher müssen nur 2 Bit im Datenstrom verändert werden, damit das funktioniert. Während andere Systeme hier Alarm schlagen, fällt die Manipulation dem Visa-System wegen einer fehlenden kryptografischen Absicherung nicht auf.

Anbieter zum Thema

zu Matchmaker+

  1. Sicherheitslücke in Visas NFC-Zahlungsabwicklung
  2. Kontaktloser Diebstahl

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu VISAM GmbH

Weitere Artikel zu Betriebs-Sicherheit

Matchmaker+