Wie Betrüger mit Apple Pay und Google Pay Beute machen

Cyberkriminelle nutzen Lücken in Freischaltprozessen für Apple- und Google-Wallets. Banken sollten bei Prozessen und Kommunikation daher deutlich nachschärfen.

Artikel verschenken

16

(Bild: KI, Collage c’t)

30.08.2024, 12:00 Uhr

Lesezeit: 15 Min.

c't Magazin

Von

Markus Montz
Tobias Weidemann

Wie Betrüger mit Apple Pay und Google Pay Beute machen
In die Falle
Verantwortungsfragen
Prozess- und Kommunikationsmängel
Ausblick

Artikel in c't 20/2024 lesen

Apple Pay und Google Pay sind praktisch: Man bezahlt an der Kasse einfach, indem man sich per Fingerabdruck oder FaceID authentifiziert und sein Smartphone oder seine Smartwatch an das Terminal hält. Da die Karte mit einer Platzhalternummer (Token) statt der echten Kartennummer im Wallet liegt und die Daten nur verschlüsselt fließen, ist das Verfahren sogar sicherer als das Bezahlen mit einer Plastikkarte.

Doch während der Zahlungsprozess selbst gut geschützt ist, solange das Smartphone nicht samt PIN in falsche Hände gerät, klaffen beim Freischaltprozess für Kredit- und Debitkarten immer noch Lücken. Die nutzen Cyberkriminelle aus und gehen anschließend mit der digitalisierten Karte des ahnungslosen Opfers auf Beutezug. Die Angriffe verlaufen stets ähnlich, aber auch die negativen Erfahrungen der Kunden mit ihren Banken und Sparkassen gleichen sich – sowohl bei der Schadensregulierung als auch bei der Kommunikation.

Einige Banken lassen es noch immer zu, dass Betrüger bei Apple Pay und Google Pay Karten Dritter mithilfe von Phishing und Spoofing aktivieren.
Den Schaden wälzen die Banken in den meisten Fällen auf das Opfer ab, indem sie ihm mangelnde Sorgfalt unterstellen.
Zugleich ließen sich die Freigabeprozesse vieler Banken mit überschaubarem Aufwand verbessern, sodass Schäden gar nicht erst entstehen.

Gefährdet sind alle Inhaber von Bezahlkarten, die man mit Apple Pay und Google Pay verknüpfen kann. Dazu zählen Mastercard, Visa, American Express sowie bei Kunden der Sparkassen und der Essener National-Bank auch die Girocard. Der Angriff beginnt in aller Regel mit Phishing oder Spoofing. So kontaktieren die Täter ihre Opfer über eine Phishing-Mail oder sie senden eine Textnachricht über SMS beziehungsweise einen Dienst wie WhatsApp. Angeblicher Absender ist die Bank, bei der die Betroffenen Kunde sind, oder eine Behörde wie die Polizei oder Europol.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

BASPi: Backup und Sync ohne Cloud mit einem Raspi einrichten

Unser BASPi synchronisiert Ihre Dateien auf all Ihren Geräten und kümmert sich auch noch um sichere Backups. Dafür taugt jeder alte Raspi oder Rechner.

Raspi einrichten

Fotos-App: Die besten Tipps für iOS 18

iOS 18 und iPadOS 18 strukturieren die Fotos-App um. Während die Bearbeitung wie gehabt abläuft, muss sich der Nutzer an die neue Medienverwaltung gewöhnen.

Falt-Phones im Test: Pixel 9 Pro Fold, Honor Magic V3 und Samsung Galaxy Fold6

Wasserdicht, stifttauglich, flach und schnell: Im Test zeigen Google Pixel 9 Pro Fold, Honor Magic V3 und Samsung Galaxy Fold6, wer am meisten drauf hat.

iOS 18 im Praxiseinsatz: 14 Tipps und Tricks zu den Neuerungen

Umfassende Personalisierung, flexibles Kontrollzentrum, mehr Datenschutz, Live-Voicemail, weniger Übelkeit: So holen Sie mehr aus iPhone und iPad heraus.

Jetzt bitte leise: AirPods 4 mit ANC im Test

Erstmals gibt es günstigere AirPods mit aktiver Geräuschunterdrückung. Doch wie gut funktioniert das mit bei den wenig abdichtenden Einsteigermodellen?

Smarte Überwachung: Füllstand von Wassertanks messen und digital abfragen

Um den Füllstand von Tanks & Teichen zu kontrollieren, nutzt man Drucksensoren. Den Stand ruft man im Browser ab oder bindet ihn mit MQTT in Home Assistant ein.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}