NFC-Lücke Kreditkarten ermöglichen Klauen von hohen Beträgen beim kontaktlosen Bezahlen
News folgenForscher haben eine gravierende Sicherheitslücke in Visa-Karten entdeckt, die es Kriminellen erlaubt, hohe Geldbeträge einfach im Vorbeigehen abzubuchen. Möglich macht das der NFC-Chip in den Karten, dessen Sperre sich austricksen lässt. Auf Flughäfen und Bahnhöfen könnten digitale Taschendiebe somit leichtes Spiel haben und müssten ihren Opfern nicht einmal mehr in die Tasche greifen.
Der NFC-Chip in den Karten wird üblicherweise genutzt, um an entsprechenden Lesegeräten kontaktlos zu zahlen. Ein Halten der Kreditkarte oder des gesamten Portemonnaies an das Gerät reicht, die Eingabe eines PINs ist bei kleinen Beträgen von bis zu 25 Euro nicht erforderlich. Das Lesegerät liest die Daten von der Karte aus und bestätigt den Zahlungsvorgang durch ein akustisches und ein optisches Signal.
Wie Forscher der Newcastle Universität in Großbritannien berichten, steckt der Fehler in den Sicherheitsvorkehrungen, die dafür sorgen, dass das Bezahlen ohne Pin auf den Maximalbetrag beschränkt wird. Sowohl Visa und Mastercard , als auch die EC-Karte Girogo der Sparkassen, Volks- und Raiffeisenbanken sollen von dem Fehler betroffen sein.
Limit lässt sich aushebeln
Mit dem Fehler sei es möglich, das in England geltende Limit von 20 Pfund auszuhebeln und die Karte mit einer Fremdwährung in Beträgen von bis zu 999.999,99 Euro oder einer anderen Währung zu belasten.
Nach Angaben des Forscherteams genüge es, im Vorbeigehen mit dem Smartphone kurz die Tasche des Opfers anzustoßen, in der sich die Geldbörse mit der Kreditkarte befindet, um die Transaktion abzuschließen. Die Forscher haben in Tests mit einer Visa-Karte festgestellt, dass die Transaktionen in weniger als einer Sekunde bestätigt werden. Das Smartphone diente dabei als Terminal.
Durch die Umgehung des 20-Pfund-Limits sei die Ausnützung dieser Lücke für Kriminelle sehr interessant. Damit die Buchungen in einer Fremdwährung nicht sofort von den Betrugsabteilungen der Kreditkarteninstitute entdeckt werden, könnten die Kriminelle diese Methode in Flughäfen und Bahnstationen einsetzen. Dort komme es laut den Forschern häufig vor, dass in Fremdwährungen bezahlt wird.
Hersteller ist informiert, Visa hat sich geäußert
Der Hersteller der NFC-Karte sei über die Lücke informiert. Einen sogenannten Exploit, also eine im Internet frei verfügbare Anleitung zum Ausnutzen der Lücke, gäbe es bisher nicht. Wenn es allerdings den Forschern der Uni gelänge, die Lücke zu finden, dann können auch Kriminelle sie erkennen und ausnutzen, teilten die Wissenschaftler mit.
"Momentan ist beim Kartenbetrug noch der Magnetstreifen die einfachste Methode. Da er aber zunehmend an Bedeutung verliert, wird die Funktion des kontaktlosen Bezahlens das nächste Ziel der Kriminellen werden", sagte Professor Aad van Moorsel, einer der Forscher. Das Ziel ihrer Untersuchungen sei, die Löcher zu finden und zu stopfen, bevor sie ausgenutzt werden können.
In einer Stellungnahme wies Visa daraufhin, dass zahlreiche Sicherheitsmechanismen eingesetzt würden, die solche Transaktionen verhindern sollen. Die Zahlungen würden fortlaufend durch Sicherheitschecks geprüft und mit Daten von Geschäften, Karten und Banken verglichen, um verdächtige Transaktionen sofort stoppen zu können.
Viele Bankkunden haben schon NFC – ohne es zu wissen
In Deutschland geben viele Banken neue EC-Karten sowie Kreditkarten automatisch mit NFC-Chip aus. Besitzer erkennen die NFC-Funktion an den entsprechenden Logos auf ihrer Bank- oder Kreditkarte:
- Die Sparkassen, Volks- und Raiffeisenbanken nutzen "girogo" auf vielen Bank- oder Girokarten (früher EC-Karten). Der Besitzer muss die Karte mit Guthaben aufgeladen haben, 200 Euro sind der Höchstbetrag. An der Kasse kann er bis maximal 20 Euro kontaktlos bezahlen, für höhere Beträge muss die Karte in das Lesegerät gesteckt und die Transaktion mit einer Pin oder der Unterschrift bestätigt werden. Das System ist nur in Deutschland nutzbar.
- Kreditkarten nutzen entweder "payWave" (Visa) oder "payPass" (Mastercard). Für Beträge bis zu 25 Euro (in der Schweiz 40 Franken) ist kontaktloses Bezahlen ohne Pin und Unterschrift möglich. Die Zahlungen werden direkt dem angeschlossenen Giro- oder Kreditkartenkonto belastet, es erfolgt also keine vorherige Aufladung des Chips. Karteninhaber haben keine Möglichkeit, die Funktion zu deaktivieren. Beide Systeme sind weltweit im Einsatz.
- Debitkarten werden auch mit Maestro paypass ausgegeben, diese müssen dann ähnlich dem "girogo"-System vorher aufgeladen werden.
Kontaktloses Bezahlen via NFC-Chip ist nicht an eine Karte gebunden, sondern kann auch per RFID-Sticker, den man auf ein Smartphone kleben kann, genutzt werden. Auch einige Smartphones sind bereits mit NFC-Chips ausgestattet, so dass Besitzer damit kontaktlos bezahlen können. Hier hängt es vom Anbieter ab, ob die Zahlung über ein zuvor aufgeladenes Guthaben oder direkt vom Konto abgerechnet wird.
Update der Redaktion:
Die Attacke, die die Forscher aufgezeigt haben, wurde nur in Visa-Karten mit NFC beobachtet. Allerdings haben die Tests ergeben, dass die Lücke auch in Kreditkarten von Mastercard existiert. Zusätzliche Sicherheitsmaßnahmen von Mastercard haben aber offenbar verhindert, dass die Lücke bei den Tests ausgenutzt werden konnte.
Weitere spannende Digital-Themen finden Sie hier.
