Kreditkartenbetrug mit Apple Pay: Kritik an fehlenden SchutzmaĂźnahmen
Apple und Banken unternehmen nicht genug, um das Hinzufügen von geklauten Karten zu unterbinden, moniert ein Sicherheitsforscher. Im Unterschied zu Android Pay sei bei Apple Pay das ungehinderte Durchprobieren der Kartenprüfnummer möglich.
Anderthalb Jahre nach der Einführung von Apple Pay in den USA sind die Sicherheitsmaßnahmen von Apple sowie der teilnehmenden Banken nach Angabe eines Sicherheitsforschers immer noch unzureichend. Das Hinzufügen der Kreditkarten von Arbeitskollegen zum eigenen Apple-Pay-Account sei problemlos möglich gewesen, erklärte der für die Sicherheitsfirma Pindrop tätige David Dewey, wie Forbes berichtet.
Er hat vier Karten unterschiedlicher Banken ausprobiert: In einem Fall habe er nur die Kreditkartennummer, das Gültigkeitsdatum und die Kartenprüfnummer gebraucht, um die fremde Karte ungehindert seinem Account zuweisen zu können. Bei einer anderen Karte habe ausgereicht, den Namen für den Apple-Pay-Account an den auf der Kreditkarte verzeichneten Namen anzupassen.
Auch der Kontrollanruf einer weiteren Bank habe sich leicht überwinden lassen, so Dewey, alle für die Sicherheitsfragen nötigen Informationen erhielt er durch eine Google-Suche.
Brute-Force-Angriff auf Kartenprüfnummer möglich
Im Unterschied zu Android Pay und Samsung Pay sei es bei Apple Pay möglich, fehlende Informationen zu einer Kreditkarte einfach ungehindert durchzuprobieren. Dieses Versäumnis sieht Dewey bei Apple. Ein Tool des Sicherheitsforschers erlaubt, Kartenprüfnummern solange einzugeben, bis die zu der jeweiligen Karte passende gefunden ist.
Der "Card Validation Code" fehlt bei geklauten Kreditkarten häufig – da er häufig nur dreistellig ist, lässt sich die richtige Kombination aber in kurzer Zeit ermitteln. Google und Samsung würden derartigen Brute-Force-Angriffe bereits in ihren jeweiligen Apps unterbinden.
Betrüger nutzen den iPhone-Bezahldienst offenbar seit längerem, um mit geklauten Kreditkartendaten recht leicht auf Einkaufstour zu gehen. In den USA lassen sich mit Apple Pay auch größere Transaktionen durchführen, unter Umständen ist höchstens eine Unterschrift erforderlich. Apple und US-Banken betonten vor knapp einem Jahr, derartige Betrugsfälle seien ein seltenes Phänomen.
Verschiedene Verifizierungsmethoden fĂĽr Banken
Banken können zur Verifizierung der Karte für Apple Pay verschiedene Methoden einsetzen und dem Nutzer beispielsweise einen Code an seine E-Mail-Adresse oder Telefonnummer senden, die dann in der iOS-App Wallett hinterlegt werden muss – diese verwaltet alle für Apple Pay eingetragenen Kreditkarten.
Beim Hinzufügen einer Kreditkarte übermittelt Apple Pay nach Angabe des iPhone-Herstellers verschiedene Nutzerdaten an die Bank, darunter die Mobiltelefonnummer, den Gerätetyp, die Informationen über die Account-Aktivität bei iTunes und im App Store sowie den Aufenthaltsort, wenn der Nutzer die Ortungsdienste generell aktiviert hat.
Apple Pay ist derzeit neben den USA nur in wenigen Ländern verfügbar. Im laufenden Jahr soll mit Spanien ein erstes kontinentaleuropäisches Land folgen, auch der Start in Frankreich wird Berichten zufolge vorbereitet. (lbe)