Abo
  • Services:
Anzeige
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen.
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen. (Bild: Screenshot Golem.de)

Security: Wie Betrüger Apple Pay missbrauchen können

Apple Pay lässt sich für Kreditkartenmissbrauch nutzen.
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen. (Bild: Screenshot Golem.de)

Apple Pay ist praktisch und gilt als sicher. Doch das System lässt sich von Kriminellen missbrauchen, um digitale Kreditkartenkopien zu erstellen.

Betrüger können illegal kopierte Kreditkartendaten nutzen, indem sie die Daten bei Apple Pay eingeben und autorisieren. Das funktioniert bei den Karten vieler Anbieter erstaunlich gut, wie auf der RSA-Conference in San Francisco gezeigt wurde. Problematisch sei dabei vor allem die lasche Authentifizierungspraxis der kartenausgebenden Institute, doch es gebe auch einiges, was Apple verbessern könnte, sagte David Dewey von Pindrop. Nach Berichten über Missbrauch mit dem neuen Zahlungsstandard hat Dewey über mehrere Monate getestet, ob und wie einfach Kreditkarten hinzugefügt werden können - sein Ergebnis ist ernüchternd.

Anzeige

Wird eine neue Karte bei Apple Pay hinzugefügt, muss diese authentifiziert werden. Wie der Prozess technisch funktioniert, ist nicht genau bekannt, es können lediglich Hinweise per Reverse-Engineering gewonnen werden. Die Banken können aus verschiedenen Möglichkeiten wählen, um die Karte bestätigen zu lassen. Alternativen sind zum Beispiel E-Mail, SMS oder ein Gespräch mit dem Kundenservice. Kunden können eine der Möglichkeiten auswählen. Betrüger würden in der Regel das persönliche Gespräch bevorzugen, weil sie darin am meisten Kontrolle über die Situation gewinnen würden, sagte Dewey.

Gespräche lassen sich leicht manipulieren

Im Gespräch müssen dann persönliche Fragen beantwortet werden, etwa nach dem Wohnort, Familienstand oder Verwandten und Bekannten. Die Antworten auf solche Fragen lassen sich jedoch oft ohne Probleme in sozialen Netzwerken oder auf anderen Aggregator-Diensten finden und stellen somit keine große Hürde da.

In vielen Fällen verzichteten die Banken sogar auf diese Form der Authentifizierung - etwa wenn der im iTunes-Konto angegebene Name mit dem Namen auf der Kreditkarte übereinstimme, sagte Dewey. Das ist als Sicherheitspraxis problematisch, weil diese Information komplett unter der Kontrolle des Angreifers ist.

Apple weist allen für Apple Pay verwendeten iTunes-Accounts ein individuelles Risikolevel zu. Auch hier ist nicht ganz klar, wie genau das funktioniert. Denkbar ist, dass Daten vorheriger Transaktionen in die Bewertung einfließen, außerdem Hinweise aus der Apple-Pay-Historie selbst. Wer also ständig verschiedene Kreditkarten mit verschiedenen Namen hinzufügt, könnte unter Umständen eine schlechtere Bewertung bekommen. In der Praxis war es aber laut Dewey ohne Probleme möglich, eine bestimmte Kreditkarte unter einem Apple-Pay-Namen zu registrieren, wieder zu entfernen und später erneut unter einem anderen Namen anzumelden, ohne dass das zu direkten Account-Sperrungen oder ähnlichem geführt hätte.

Es gibt auch technische Schwachstellen 

eye home zur Startseite
EvilSheep 03. Mär 2016

Hm höchstens weil dann zu viele den Support anrufen und sich beschweren das ihre Karte...

EvilSheep 03. Mär 2016

Ich denke hier kann man im Gegensatz zu den meisten Fällen wirklich von hacken sprechen...

Bill Carson 03. Mär 2016

Zu wenig Verbreitung, immernoch zu schlechtes Image.



Anzeige

Stellenmarkt
  1. Schaeffler, Herzogenaurach
  2. ADAC Nordbayern e.V., Nürnberg
  3. Lahnpaper GmbH, Lahnstein
  4. Carmeq GmbH, Wolfsburg/Berlin


Anzeige
Top-Angebote
  1. 383,14€ - 30€ MSI-Cashback
  2. 44,00€ für 1 Modul oder 88,00€ für 2 Module)
  3. 5,99€

Folgen Sie uns
       


  1. Betrugsverdacht

    Amazon Deutschland sperrt willkürlich Marketplace-Händler

  2. Take 2

    GTA 5 bringt weiter Geld in die Kassen

  3. 50 MBit/s

    Bundesland erreicht kompletten Internetausbau ohne Zuschüsse

  4. Microsoft

    Lautloses Surface Pro hält länger durch und bekommt LTE

  5. Matebook X

    Huawei stellt erstes Notebook vor

  6. Smart Home

    Nest bringt Thermostat Ende 2017 nach Deutschland

  7. Biometrie

    Iris-Scanner des Galaxy S8 kann einfach manipuliert werden

  8. Bundesnetzagentur

    Drillisch bekommt eigene Vorwahl zugeteilt

  9. Neuland erforschen

    Deutsches Internet-Institut entsteht in Berlin

  10. Squad

    Valve heuert Entwickler des Kerbal Space Program an



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: Es scheitert nicht an der Hardware sondern an...

    h31nz | 16:39

  2. Re: Pay to Win?

    Elgareth | 16:38

  3. Re: haben es ard und zdf denn mitterweile schon...

    Prinzeumel | 16:38

  4. Re: Java

    Evron | 16:37

  5. Re: fehrfehlte Schulpolitik

    Peter Brülls | 16:37


  1. 16:58

  2. 16:10

  3. 15:22

  4. 14:59

  5. 14:30

  6. 14:20

  7. 13:36

  8. 13:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel