Abo
  • Services:
Anzeige
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen.
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen. (Bild: Screenshot Golem.de)

Security: Wie Betrüger Apple Pay missbrauchen können

Apple Pay ist praktisch und gilt als sicher. Doch das System lässt sich von Kriminellen missbrauchen, um digitale Kreditkartenkopien zu erstellen.

Betrüger können illegal kopierte Kreditkartendaten nutzen, indem sie die Daten bei Apple Pay eingeben und autorisieren. Das funktioniert bei den Karten vieler Anbieter erstaunlich gut, wie auf der RSA-Conference in San Francisco gezeigt wurde. Problematisch sei dabei vor allem die lasche Authentifizierungspraxis der kartenausgebenden Institute, doch es gebe auch einiges, was Apple verbessern könnte, sagte David Dewey von Pindrop. Nach Berichten über Missbrauch mit dem neuen Zahlungsstandard hat Dewey über mehrere Monate getestet, ob und wie einfach Kreditkarten hinzugefügt werden können - sein Ergebnis ist ernüchternd.

Anzeige

Wird eine neue Karte bei Apple Pay hinzugefügt, muss diese authentifiziert werden. Wie der Prozess technisch funktioniert, ist nicht genau bekannt, es können lediglich Hinweise per Reverse-Engineering gewonnen werden. Die Banken können aus verschiedenen Möglichkeiten wählen, um die Karte bestätigen zu lassen. Alternativen sind zum Beispiel E-Mail, SMS oder ein Gespräch mit dem Kundenservice. Kunden können eine der Möglichkeiten auswählen. Betrüger würden in der Regel das persönliche Gespräch bevorzugen, weil sie darin am meisten Kontrolle über die Situation gewinnen würden, sagte Dewey.

Gespräche lassen sich leicht manipulieren

Im Gespräch müssen dann persönliche Fragen beantwortet werden, etwa nach dem Wohnort, Familienstand oder Verwandten und Bekannten. Die Antworten auf solche Fragen lassen sich jedoch oft ohne Probleme in sozialen Netzwerken oder auf anderen Aggregator-Diensten finden und stellen somit keine große Hürde da.

In vielen Fällen verzichteten die Banken sogar auf diese Form der Authentifizierung - etwa wenn der im iTunes-Konto angegebene Name mit dem Namen auf der Kreditkarte übereinstimme, sagte Dewey. Das ist als Sicherheitspraxis problematisch, weil diese Information komplett unter der Kontrolle des Angreifers ist.

Apple weist allen für Apple Pay verwendeten iTunes-Accounts ein individuelles Risikolevel zu. Auch hier ist nicht ganz klar, wie genau das funktioniert. Denkbar ist, dass Daten vorheriger Transaktionen in die Bewertung einfließen, außerdem Hinweise aus der Apple-Pay-Historie selbst. Wer also ständig verschiedene Kreditkarten mit verschiedenen Namen hinzufügt, könnte unter Umständen eine schlechtere Bewertung bekommen. In der Praxis war es aber laut Dewey ohne Probleme möglich, eine bestimmte Kreditkarte unter einem Apple-Pay-Namen zu registrieren, wieder zu entfernen und später erneut unter einem anderen Namen anzumelden, ohne dass das zu direkten Account-Sperrungen oder ähnlichem geführt hätte.

Es gibt auch technische Schwachstellen 

eye home zur Startseite
EvilSheep 03. Mär 2016

Hm höchstens weil dann zu viele den Support anrufen und sich beschweren das ihre Karte...

EvilSheep 03. Mär 2016

Ich denke hier kann man im Gegensatz zu den meisten Fällen wirklich von hacken sprechen...

Bill Carson 03. Mär 2016

Zu wenig Verbreitung, immernoch zu schlechtes Image.



Anzeige

Stellenmarkt
  1. MT AG, Ratingen
  2. LEGIAL AG, München
  3. dSPACE GmbH, Paderborn
  4. TILS GmbH, Bornheim


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. bei Alternate

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Android Wear 2.0

    Neue Tag-Heuer-Smartwatch soll im Mai 2017 erscheinen

  2. FTC

    Qualcomm soll Apple zu Exklusivvertrag gezwungen haben

  3. Wechsel zu VP9

    Youtube spielt keine 4K-Videos in Safari ab

  4. Steadicam Volt

    Steadicam-Halterung für die Hosentasche

  5. Eingefrorene Macs

    Apple aktualisiert Sicherheitsupdate

  6. Android Wear 2.0

    Erste neue Smartwatches kommen von LG

  7. Open Data

    Thüringen stellt Geodaten kostenfrei zur Verfügung

  8. Whistleblowerin

    Obama begnadigt Chelsea Manning

  9. Stadtnetz

    Straßenbeleuchtung als Wifi-Standort problematisch

  10. Netzsperren

    UK-Regierung könnte Pornozensur willkürlich beschließen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Verschont uns mit Digitalisierungs-Blabla 4.0!
Bundestagswahl 2017
Verschont uns mit Digitalisierungs-Blabla 4.0!
  1. Verfassungsbeschwerde Journalisten klagen gegen Datenhehlerei-Paragrafen
  2. Bundestagswahlkampf 2017 Die große Angst vor dem Internet
  3. Digitale Agenda Verkehrsminister Dobrindt fordert Digitalministerium

Macbook Pro 13 mit Touch Bar im Test: Schöne Enttäuschung!
Macbook Pro 13 mit Touch Bar im Test
Schöne Enttäuschung!
  1. Schwankende Laufzeiten Warentester ändern Akku-Bewertung des Macbook Pro
  2. Consumer Reports Safari-Bug verursachte schwankende Macbook-Pro-Laufzeiten
  3. Notebook Apple will Akkuprobleme beim Macbook Pro nochmal untersuchen

Lauri Love: Love gegen die Vereinigten Staaten von Amerika
Lauri Love
Love gegen die Vereinigten Staaten von Amerika

  1. Re: Verräter!

    Benjamin_L | 10:49

  2. Re: Der Typ ist größenwahnsinnig

    Sebbi | 10:49

  3. Derzeit unbenutzbar?

    kernpanik | 10:48

  4. Re: Werkschliessung im Moment eher ungewöhnlich

    Phreeze | 10:48

  5. Re: Die Obama-Enttäuschung

    Benjamin_L | 10:47


  1. 10:56

  2. 10:41

  3. 08:59

  4. 08:44

  5. 08:21

  6. 08:18

  7. 06:01

  8. 22:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel