Bezahlen ohne PIN und Unterschrift: Forscher hacken Visas 50-Euro-Limit

Kontaktloses Bezahlen erfreut sich hierzulande immer größerer Beliebtheit: In den meisten Supermärkten, aber auch in Tankstellen und Restaurants gibt es Terminals, an denen Kunden kleinere Geldbeträge durch simples Vorhalten von Girocards oder Kreditkarten zahlen können. Die Datenübertragung zwischen Karte und Terminal erfolgt via NFC (Near Field Communication); die Eingabe einer PIN oder gar eine Unterschrift erübrigt sich.

Neben Komfort bringt kontaktloses Bezahlen auch Sicherheitsrisiken mit sich: Wer nicht gut auf seine Karte aufpasst, riskiert, dass Kriminelle (schlimmstenfalls einfach im Vorbeigehen) kleinere Geldbeträge abheben. Auch steigert es den ohnehin schon vorhandenen Zeitdruck beim Sperren gestohlener Karten.

Nun haben zwei britische Forscher überdies einen Weg gefunden, den Maximalbetrag für kontaktlose Transaktionen mit VISA-Kreditkarten zu sprengen. In Großbritannien liegt dieses Maximum für VISA-Kunden bei 30 Pfund; in Deutschland sind es 50 Euro.

Sicherheitschecks ausgehebelt

Laut eines Berichts von Positive Technologies, dem Arbeitgeber der Forscher, funktioniert der Hack auch außerhalb Großbritanniens und ohne dass der Angreifer die Karte stehlen muss. Er erfordert die Nutzung eines speziellen, im Bericht nicht näher beschriebenen Geräts, das sich als "Man-in-the-Middle" in die offenbar schlecht gesicherte NFC-Kommunikation zwischen der Kreditkarte und einem Bezahlterminal einklinkt.

Das Gerät manipuliert zwei Datenfelder, die mit Sicherheitschecks verknüpft sind. Das erste prüft die Einhaltung des Maximalbetrags und setzt den Karteninhaber im Normalfall mittels eines entsprechenden Hinweises ("I can’t do that") darüber in Kenntnis, dass die Überschreitung ohne zusätzliche Verifizierung nicht möglich ist. Das zweite veranlasst angesichts der geplanten Überschreitung einen länderspezifischen zusätzlichen Verifizierungsschritt (z.B. PIN-Eingabe oder Fingerabdruck via Smartphone).

Laut Positive Technologies gaukelt die Manipulation der VISA-Karte vor, dass die zusätzliche Verifizierung trotz Überschreitung nicht nötig sei – und dem Bezahlterminal, dass sie bereits erfolgt sei. Dies funktioniere auch mit Mobile-Payment-Systemen wie Google Pay, sofern die betreffende Kreditkarte mit ihnen verknüpft sei.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Externen Inhalt jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

VISA will offenbar nicht nachbessern

Forbes forderte die Forscher zum Proof-of-Concept auf. Laut eines dort erschienen Artikels gelang es ihnen, den Angriff mit drei "fremden" VISA-Kreditkarten zu demonstrieren, indem sie den Maximalbetrag (vermutlich aus Rücksichtnahme auf die Kartenbesitzer) um jeweils nur ein Britisches Pfund überzogen. Von ihren eigenen Karten, so schreibt Forbes, hätten sie während eines Bezahlvorgangs bis zu 101 Pfund abgehoben. Es sei allerdings möglich, auch höhere Beträge abzugreifen. Ob es nach Manipulation der Datenfelder überhaupt noch einen Maximalbetrag gibt und wie hoch dieser ist, geht aus den Veröffentlichungen nicht hervor.

Laut Forbes hat VISA derzeit nicht die Absicht, die dem Hack zugrundeliegenden Schwachstellen zu beseitigen. Auf Anfrage soll ein VISA-Sprecher erklärt haben, dass das von den Forschern beschriebene Szenario aufgrund des vergleichsweise hohen Aufwands wenig realistisch sei: "Das ist keine skalierbare Betrugsmethode, die man typischerweise bei Kriminellen in der Praxis beobachten kann." Der Sprecher argumentierte zudem mit der (laut der Forscher falschen) Annahme, dass das Ausnutzen der Schwachstellen den Diebstahl der Karte erfordere.

Mehr zum Thema "Kontaktloses Bezahlen":

• Weg vom Bargeld: Immer mehr Kunden zahlen kontaktlos
• So leicht lässt sich Geld beim kontaktlosen Bezahlen abfischen

(ovw)