Mit 29-Euro-Zahlterminal: So leicht kann man Kontaktlos-Karten abfischen
Bei kontaktlosen Kredit- und Bankkarten muss man bei Zahlungen bis 25 Euro keine PIN eingeben. c't ist mit einem 29-Euro-Terminal auf Diebestour gegangen.
- Jan-Keno Janssen
Dass man bei kontaktlosen Zahlungen mit aktuellen Bank- und Kreditkarten erst ab 25 Euro eine PIN eingeben muss, beschleunigt den Einkauf immens – aber eröffnet auch neue Möglichkeiten für Taschendiebe. Für nur 29 Euro bekommt ein drahtloses Zahlterminal, das so klein ist, dass es in der Hand kaum auffällt. Im Gedrängel – zum Beispiel in der vollbesetzten U-Bahn – können Diebe das Gerät einfach an die (Hosen-)Taschen der Fahrgäste halten, um so bis zu 25 Euro von Kontaktlos-Karten abzufischen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Das Ganze klappte in einem c't-Experiment mit einem Terminal der Firma Sumup ganz ohne Berührung, und zwar nicht nur durch dünne Sommerhosen, sondern auch durch Jeansstoff oder Leder-Portemonnaies. Ein solches Terminal kann jeder im Netz bestellen, ein Gewerbeschein wird nicht benötigt.
Erkennbar ist die Kontaktlos-Funktion auf Bank- oder Kreditkarte an einem aufgedruckten Wellensymbol (siehe Bild). Wer eine Karte ohne NFC-Antenne haben will, schaut bei den meisten Banken in die Röhre: So gut wie alle zurzeit ausgegebenen Karten kommen standardmäßig mit Nahfunk. Allerdings kann man einigen Banken die NFC-Funktion deaktivieren: Bei Revolut klappt das bequem in der Banking-App, bei Volks- und Genossenschaftsbanken am Geldautomaten, bei Sparkassen muss man an den Schalter.
Andere Banken bieten ihren Kunden lediglich ein kostenloses Abschirm-Etui an, das vor unerwünschtem Abfischen schützt. Außerdem gibt im Handel sogenannte "Anti-RFID"-Portemonnaies, die mehrere Karten aufnehmen. Im c't-Test schützten alle so beworbenenen Schutzhüllen und Geldbörsen zuverlässig. Hartgesottene nutzen die Brachial-Methode mit Bohrer oder Lötkolben.
Schon eine zweite Nahfunk-Karte schützt
Bei unseren Experimenten reichte es allerdings auch schon, eine zweite Nahfunk-Karte ins Portemonnaie zu stecken, beispielsweise den neuen Personalausweis. Dann kommt es zum sogenannten "card clash", das Lesegerät erkennt unterschiedliche Kartendaten und verweigert die Funktion.
Mit Smartphones oder Smartwatches, auf denen eine NFC-Payment-App wie Google Pay läuft, klappt das unbemerkte Abfischen übrigens nicht: Hier muss man mindestens das Display aktivieren (Android) oder den Fingerabdruck scannen (iPhone), damit die Zahlfunktion freigeschaltet wird.
In der kriminellen Praxis dürfte das Kontaktlos-Fischen ohnehin eher problematisch sein: Vor der Nutzung des Zahlterminals muss man ein Girokonto angeben, schließlich muss das Geld irgendwo hin. Und zur Kontoeröffnung benötigt man einen Identitätsnachweis.
Auch die Idee, ein Terminal zu manipulieren und beispielsweise die Feldstärke zu erhöhen, dürfte für Kriminelle schwer umsetzbar sein: Ein Terminal bekommt erst Verbindung zu den Bezahlnetzen der Kartenunternehmen, wenn vorher ein Akzeptanzvertrag geschlossen wurde. Jede heimlich durchgeführte Abzock-Transaktion würde über die Terminal-ID direkt zum Betrüger führen.
Mehr über die Themen Mobile Payment und Kontaktlos-Zahlungen inklusive Sicherheit und Datenschutz finden Sie in c't 16/18:
- Warum man jetzt überall mit Handy zahlen kann
- 12 Mobile-Payment-Apps im c't-Test
- Mobile Payment: Sicherheit und Datenschutz
[Update] Das Sumup-Kartenterminal wird zurzeit für 29 Euro statt für, wie ursprünglich berichtet, 39 Euro angeboten.
[Update 2] NFC-Deaktivierungsmöglichkeiten bei Sparkassen, Volks- und Raiffeisenbanken detaillierter ausgeführt.
[Update 3] Weitere Details über NFC-Deaktivierung.
[Update 4] Sumup, der Hersteller des von c't genutzten Bezahlterminals, hat sich zu Wort gemeldet:
Bezugnehmend auf Ihren Artikel vom 20. Juli 2018 mit der Überschrift: "Mit 29-Euro-Zahlterminal: So leicht kann man Kontaktlos-Karten abfischen" äußern wir uns wie folgt:
[...]
Wie Sie richtigerweise erwähnen, führt das im Artikel konstruierte Szenario in der Realität nicht zum Erfolg. Für die erfolgreiche Durchführung sowie anschließende Auszahlung von Transaktionen eines Händlers benötigt SumUp Angaben zur Person sowie die Angabe eines Bankkontos, auf das Transaktionen ausgezahlt werden. Erst wenn diese Angaben verifiziert wurden, kann eine Auszahlung von Transaktionen erfolgen.
Sobald unsere Systeme auffällige Abläufe feststellen, die auf eine mögliche kriminelle Handlung zurückschließen lassen, wird das entsprechende Nutzerkonto automatisch gesperrt. Es erfolgt keine Auszahlung der Transaktionen. Erst im Anschluss an eine sorgfältige Prüfung der Transaktionen, sowie des Händlers und der Kunden, kann das Nutzerkonto erneut freigegeben werden durch SumUp.
Für SumUp hat die Sicherheit der Händler, die unser Kartenterminal einsetzen, sowie die Sicherheit der Konsumenten, höchste Priorität. Unser Kartenterminal hat alle notwendigen Zertifizierungen für die sichere Annahme von Kartenzahlungen. Zudem erfüllt es die aktuellsten und damit im Markt höchstmöglichen Sicherheitsstandards. Schließlich hat SumUp auch proprietäre Sicherheitsmechanismen in das Terminal eingebaut, mit Hilfe derer Betrüger einfacher identifiziert und juristisch verfolgt werden können.
Knapp eine Million aktive Kunden nutzen SumUp derzeit in 31 Märkten weltweit. Uns ist in mehr als sechs Jahren Geschäftstätigkeit kein Fall bekannt, in dem das geschilderte Szenario zum Erfolg geführt hat.
(jkj)
