NFC-Hack: Forscher zeigen, wie leicht Visas PIN-Abfrage umgangen wird
Höhere Beträge kontaktlos Zahlen mit der Visa-Karte wird durch einen Hack auch ohne PIN möglich. Das haben Sicherheitsforscher aus Zürich gezeigt. Sie fordern dabei ein Umdenken in der Haftung bei Missbrauchsfällen.
Aufdeckt hatte eine Forschergruppe der ETH Zürich den Hack. Dabei handelt es sich um einen sogenannten "Man in the Middle"-Angriff. Die Kriminellen schalten sich dabei zwischen das Bezahlterminal und die Visa-Karte ein. Dabei wird der NFC-Chip ausgetrickst, indem manipulierte Daten von zwei Smartphones abgeschickt und abgefangen werden. Die Sicherheitsforscher haben dann eine selbst entwickelte App genutzt, mit der die Abbuchungshöhe und Kontoziel ausgesucht werden kann und die als Emulator dient.
Infografik: Anteile der Zahlungen im Einzelhandel
In der Dokumentation zu dem Hack schreiben die Forscher: "Unser Angriff zeigt, dass die PIN bei Visas kontaktlosen Bezahlverfahren nutzlos ist. Deshalb ist unserer Ansicht nach das Abschieben der Haftung von Banken hin zu Kunden und Händlern bei solchen Transaktionen ungerechtfertigt. Für solche missbräuchlichen Transaktionen sollten die Banken, EMVCo, Visa [..] haften und nicht Kunden oder Händler." Weiteres dazu erläutern sie in dem Paper "The EMV Standard: Break, Fix, Verify" (PDF).
Schon vor rund einem Jahr war ein Fall bekannt geworden, bei dem Sicherheitsforscher das 50-Euro-Limit der VISA-NFC-Bezahlungen außer Kraft setzten und so auch höhere Zahlungen unbemerkt freigeben konnten. Visa hatte damals reagiert und den Fall runtergespielt. Es hieß damals, man wolle nichts an der Zahlmethode ändern und die gezeigten Manipulationen seien nichts, was von Betrügern in der Realität genutzt werde.
Siehe auch: Bezahlen: Deutsche bewegen sich doch noch weg vom Bargeld
Mastercard macht es allem Anschein nach besser
Wie das Online-Magazin Heise berichtet, wird bei der Manipulation so getan, als ob keine PIN-Eingabe erforderlich sei, sodass die Zahlung ohne Online-PIN-Prüfung autorisiert wird. Der Versuch, den Angriff auch mit Mastercard NFC-Zahlungen durchzuführen, missglückte allerdings, da Mastercard einen besseren Schutz vor solchen Manipulationen einsetzt.In der Dokumentation zu dem Hack schreiben die Forscher: "Unser Angriff zeigt, dass die PIN bei Visas kontaktlosen Bezahlverfahren nutzlos ist. Deshalb ist unserer Ansicht nach das Abschieben der Haftung von Banken hin zu Kunden und Händlern bei solchen Transaktionen ungerechtfertigt. Für solche missbräuchlichen Transaktionen sollten die Banken, EMVCo, Visa [..] haften und nicht Kunden oder Händler." Weiteres dazu erläutern sie in dem Paper "The EMV Standard: Break, Fix, Verify" (PDF).
Schon vor rund einem Jahr war ein Fall bekannt geworden, bei dem Sicherheitsforscher das 50-Euro-Limit der VISA-NFC-Bezahlungen außer Kraft setzten und so auch höhere Zahlungen unbemerkt freigeben konnten. Visa hatte damals reagiert und den Fall runtergespielt. Es hieß damals, man wolle nichts an der Zahlmethode ändern und die gezeigten Manipulationen seien nichts, was von Betrügern in der Realität genutzt werde.
Siehe auch: Bezahlen: Deutsche bewegen sich doch noch weg vom Bargeld
Thema:
Beliebte Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen