Anzeige
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen.
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen. (Bild: Screenshot Golem.de)

Security: Wie Betrüger Apple Pay missbrauchen können

Apple Pay lässt sich für Kreditkartenmissbrauch nutzen.
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen. (Bild: Screenshot Golem.de)

Apple Pay ist praktisch und gilt als sicher. Doch das System lässt sich von Kriminellen missbrauchen, um digitale Kreditkartenkopien zu erstellen.

Betrüger können illegal kopierte Kreditkartendaten nutzen, indem sie die Daten bei Apple Pay eingeben und autorisieren. Das funktioniert bei den Karten vieler Anbieter erstaunlich gut, wie auf der RSA-Conference in San Francisco gezeigt wurde. Problematisch sei dabei vor allem die lasche Authentifizierungspraxis der kartenausgebenden Institute, doch es gebe auch einiges, was Apple verbessern könnte, sagte David Dewey von Pindrop. Nach Berichten über Missbrauch mit dem neuen Zahlungsstandard hat Dewey über mehrere Monate getestet, ob und wie einfach Kreditkarten hinzugefügt werden können - sein Ergebnis ist ernüchternd.

Anzeige

Wird eine neue Karte bei Apple Pay hinzugefügt, muss diese authentifiziert werden. Wie der Prozess technisch funktioniert, ist nicht genau bekannt, es können lediglich Hinweise per Reverse-Engineering gewonnen werden. Die Banken können aus verschiedenen Möglichkeiten wählen, um die Karte bestätigen zu lassen. Alternativen sind zum Beispiel E-Mail, SMS oder ein Gespräch mit dem Kundenservice. Kunden können eine der Möglichkeiten auswählen. Betrüger würden in der Regel das persönliche Gespräch bevorzugen, weil sie darin am meisten Kontrolle über die Situation gewinnen würden, sagte Dewey.

Gespräche lassen sich leicht manipulieren

Im Gespräch müssen dann persönliche Fragen beantwortet werden, etwa nach dem Wohnort, Familienstand oder Verwandten und Bekannten. Die Antworten auf solche Fragen lassen sich jedoch oft ohne Probleme in sozialen Netzwerken oder auf anderen Aggregator-Diensten finden und stellen somit keine große Hürde da.

In vielen Fällen verzichteten die Banken sogar auf diese Form der Authentifizierung - etwa wenn der im iTunes-Konto angegebene Name mit dem Namen auf der Kreditkarte übereinstimme, sagte Dewey. Das ist als Sicherheitspraxis problematisch, weil diese Information komplett unter der Kontrolle des Angreifers ist.

Apple weist allen für Apple Pay verwendeten iTunes-Accounts ein individuelles Risikolevel zu. Auch hier ist nicht ganz klar, wie genau das funktioniert. Denkbar ist, dass Daten vorheriger Transaktionen in die Bewertung einfließen, außerdem Hinweise aus der Apple-Pay-Historie selbst. Wer also ständig verschiedene Kreditkarten mit verschiedenen Namen hinzufügt, könnte unter Umständen eine schlechtere Bewertung bekommen. In der Praxis war es aber laut Dewey ohne Probleme möglich, eine bestimmte Kreditkarte unter einem Apple-Pay-Namen zu registrieren, wieder zu entfernen und später erneut unter einem anderen Namen anzumelden, ohne dass das zu direkten Account-Sperrungen oder ähnlichem geführt hätte.

Es gibt auch technische Schwachstellen 

eye home zur Startseite
EvilSheep 03. Mär 2016

Hm höchstens weil dann zu viele den Support anrufen und sich beschweren das ihre Karte...

EvilSheep 03. Mär 2016

Ich denke hier kann man im Gegensatz zu den meisten Fällen wirklich von hacken sprechen...

Bill Carson 03. Mär 2016

Zu wenig Verbreitung, immernoch zu schlechtes Image.

Kommentieren



Anzeige

  1. Entwicklungsingenieur / Domain Product Owner / Planning & Realization / Software-Koordination GUI (m/w)
    Daimler AG, Sindelfingen
  2. Graduate Research Assistant / Research Associate (m/w) at the Chair of Complex and Intelligent Systems
    Universität Passau, Passau
  3. (Senior-) Berater (m/w) Business Intelligence / Data Warehouse
    Capgemini Deutschland GmbH, verschiedene Standorte
  4. Requirements Engineer Integrationsprojekte Insurance (m/w)
    Daimler AG, Stuttgart

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme

  2. FTTH/FTTB

    Oberirdische Glasfaser spart 85 Prozent der Kosten

  3. Botnet

    Necurs kommt zurück und bringt Locky millionenfach mit

  4. Google

    Livestreaming direkt aus der Youtube-App

  5. Autonome Autos

    Fahrer wollen vor allem ihr eigenes Leben schützen

  6. Boston Dynamics

    Spot Mini, die Roboraffe

  7. Datenrate

    Tele Columbus versorgt fast 840.000 Haushalte mit 400 MBit/s

  8. Supercomputer

    China und Japan setzen auf ARM-Kerne für kommende Systeme

  9. Patent

    Die springenden Icons von Apple

  10. Counter-Strike

    Klage gegen Wetten mit Waffen-Skins



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Mirror's Edge Catalyst im Test Rennen für die Freiheit
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. MCreator für Arduino Mit Klötzchen LEDs steuern
  2. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften
  3. Minecraft Befehlsblöcke und Mods für die Pocket Edition

Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

  1. Re: Einfach nicht Star Trek nennen

    Moe479 | 05:15

  2. Re: Ist doch korrekt

    M.Kessel | 02:45

  3. Re: Okay, morgen gehts los, 2019 sind wir fertig...

    jacki | 02:44

  4. Re: nein Danke

    M.Kessel | 02:32

  5. Re: Whitelisting ist nicht verboten

    M.Kessel | 02:25


  1. 17:47

  2. 17:01

  3. 16:46

  4. 15:51

  5. 15:48

  6. 15:40

  7. 14:58

  8. 14:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel