NFC-Hack: Forscher zeigen, wie leicht Visas PIN-Abfrage umgangen wird

Aldi Süd, Kontaktloses Bezahlen, Bezahlterminal Bildquelle: Aldi Süd
Höhere Beträge kontaktlos Zahlen mit der Visa-Karte wird durch einen Hack auch ohne PIN möglich. Das haben Sicherheitsforscher aus Zürich gezeigt. Sie fordern dabei ein Umdenken in der Haftung bei Miss­brauchs­fällen. Aufdeckt hatte eine Forschergruppe der ETH Zürich den Hack. Dabei handelt es sich um einen sogenannten "Man in the Middle"-Angriff. Die Kriminellen schalten sich dabei zwischen das Bezahlterminal und die Visa-Karte ein. Dabei wird der NFC-Chip ausgetrickst, indem manipulierte Daten von zwei Smartphones abgeschickt und abgefangen werden. Die Sicherheitsforscher haben dann eine selbst entwickelte App genutzt, mit der die Abbuchungshöhe und Kontoziel ausgesucht werden kann und die als Emulator dient. Infografik: Anteile der Zahlungen im EinzelhandelAnteile der Zahlungen im Einzelhandel

Mastercard macht es allem Anschein nach besser

Wie das Online-Magazin Heise berichtet, wird bei der Manipulation so getan, als ob keine PIN-Eingabe erforderlich sei, sodass die Zahlung ohne Online-PIN-Prüfung autorisiert wird. Der Versuch, den Angriff auch mit Mastercard NFC-Zahlungen durchzuführen, missglückte allerdings, da Mastercard einen besseren Schutz vor solchen Manipulationen einsetzt.

In der Dokumentation zu dem Hack schreiben die Forscher: "Unser Angriff zeigt, dass die PIN bei Visas kontaktlosen Bezahlverfahren nutzlos ist. Deshalb ist unserer Ansicht nach das Abschieben der Haftung von Banken hin zu Kunden und Händlern bei solchen Transaktionen ungerechtfertigt. Für solche missbräuchlichen Transaktionen sollten die Banken, EMVCo, Visa [..] haften und nicht Kunden oder Händler." Weiteres dazu erläutern sie in dem Paper "The EMV Standard: Break, Fix, Verify" (PDF).

Schon vor rund einem Jahr war ein Fall bekannt geworden, bei dem Sicherheitsforscher das 50-Euro-Limit der VISA-NFC-Bezahlungen außer Kraft setzten und so auch höhere Zahlungen unbemerkt freigeben konnten. Visa hatte damals reagiert und den Fall runtergespielt. Es hieß damals, man wolle nichts an der Zahlmethode ändern und die gezeigten Manipulationen seien nichts, was von Betrügern in der Realität genutzt werde.

Siehe auch: Bezahlen: Deutsche bewegen sich doch noch weg vom Bargeld Aldi Süd, Kontaktloses Bezahlen, Bezahlterminal Aldi Süd, Kontaktloses Bezahlen, Bezahlterminal Aldi Süd
Diese Nachricht empfehlen
Kommentieren15
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:05 Uhr GameSir Gaming Tastatur und Maus für Xbox One, PS4, Nintendo Switch, Switch Lite, PC, VX2 AimSwitch 2.4 GHz Drahtlose Spieletastatur mit RGB Beleuchtung, Controller-Adapter für Computer & KonsolenGameSir Gaming Tastatur und Maus für Xbox One, PS4, Nintendo Switch, Switch Lite, PC, VX2 AimSwitch 2.4 GHz Drahtlose Spieletastatur mit RGB Beleuchtung, Controller-Adapter für Computer & Konsolen
Original Amazon-Preis
139,99
Im Preisvergleich ab
?
Blitzangebot-Preis
118,99
Ersparnis zu Amazon 15% oder 21

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden