Kontaktloses Bezahlen ohne Pin: 50-Euro-Limit von Visa wurde geknackt

Die Sorgen vieler kritischer Nutzer rund um das kontaktlose Bezahlen scheinen sich zu bewahrheiten. Zwei britischen Forschern ist es gelungen, bei VISA-Kreditkarten das Limit für Zahlungen ohne PIN oder Unterschrift zu knacken. Der Maximalbetrag von 50 Euro konnte dabei deutlich überschritten werden.

Kontaktloses Bezahlen mit VISA besteht nicht gegen "Man-in-the-Middle"

Wie die britischen Sicherheitsexperten von Positive Technologies beschreiben, ist es zwei Experten des Unternehmens gelungen, die Zahlungslimits für kontaktlose Visa-Karten zu umgehen. Die Forscher wollen ihre Methode mit fünf Karten der größten britischen Banken getestet haben. "Dabei konnten wir erfolgreich das im vereinigten Königreich gültige kontaktlose Zahlungslimit von 30 Pfund auf allen überprüften Visa-Karten überschreiten", so die Forscher - in Deutschland beträgt dieses Limit 50 Euro. Wie die Forscher weiter beschreiben, sei die Attacke auch bei Karten und Terminals außerhalb von UK möglich und funktioniert ebenfalls, wenn die Visa-Karte einer mobilen Wallet hinzugefügt wurde. Infografik: Anteile der Zahlungen im Einzelhandel Wie die Forscher weiter ausführen, basiert die Attacke auf der Manipulation zweier Datenfelder, die zwischen Terminal und Karte während des Bezahlvorgangs ausgetauscht werden. Üblicherweise fragen Terminals bei Überschreitung des Zahlungsmittels nach einer zusätzlichen Verifizierung wie Pin oder Fingerabdruck. Genau hier wollen die Forscher mit einem nicht näher spezifizierten Gerät die Kommunikation zwischen Terminal und Karte abfangen und den Verifizierungsprozess als "Man-in-the-Middle" aushebeln können - das gilt sowohl für die Überprüfung der Einhaltung des Maximalbetrags als auch für die Auforderung zur Verifizierung.

Beweise geliefert, Visa sieht keinen Handlungsbedarf

Forbes hatte die beiden Sicherheitsforscher in einem Folgebericht dazu aufgefordert, ihre Entdeckung mit einem Proof-of-Concept zu untermauern. Wie das Magazin schreibt, sei dies mit drei den Forschern "nicht bekannten" Karten erfolgt. Genaue Angaben, welcher Maximalbetrag abgehoben werden kann, oder ob dieser im Rahmen der Attacke ganz entfällt, liefert keiner der Berichte. "Diese Entdeckungen haben große Bedeutung, weil die Limits für kontaktloses Bezahlen als Sicherheit gegen betrügerische Verluste fungieren, die in den letzten Jahren stark zugenommen haben", so das Unternehmen.

Visa selbst wiegelt auf Anfrage von Forbes ab: "Es handelt sich hierbei um keine skalierbare Betrugsmethode, die typischerweise von Kriminellen in der realen Welt angewendet wird", so ein Unternehmenssprecher. Außerdem müsse die Karte schon vom Besitzer entwendet werden, um die Attacke möglich zu machen. Dieser Ansicht widersprechen die Forscher von Positive Technologies. Ihre Tests hätten aufgezeigt, dass der Betrüger nur für kurze Zeit nah genug an die Karte des Opfers herankommen muss, um eine Zahlung durchzuführen. Ab September könnte hier auch eine EU-Regelung helfen. Die bestimmt, dass Banken sicherstellen müssen, dass bei Zahlungen über 150 Euro und bei fünf kontaktlosen Bezahlungen pro Tag immer eine Pin-Abfrage erfolgt. Aldi Süd, Kontaktloses Bezahlen, Bezahlterminal Aldi Süd