Security: Wie Betrüger Apple Pay missbrauchen können

Apple Pay ist praktisch und gilt als sicher. Doch das System lässt sich von Kriminellen missbrauchen, um digitale Kreditkartenkopien zu erstellen.

Artikel veröffentlicht am ,
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen.
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen. (Bild: Screenshot Golem.de)

Betrüger können illegal kopierte Kreditkartendaten nutzen, indem sie die Daten bei Apple Pay eingeben und autorisieren. Das funktioniert bei den Karten vieler Anbieter erstaunlich gut, wie auf der RSA-Conference in San Francisco gezeigt wurde. Problematisch sei dabei vor allem die lasche Authentifizierungspraxis der kartenausgebenden Institute, doch es gebe auch einiges, was Apple verbessern könnte, sagte David Dewey von Pindrop. Nach Berichten über Missbrauch mit dem neuen Zahlungsstandard hat Dewey über mehrere Monate getestet, ob und wie einfach Kreditkarten hinzugefügt werden können - sein Ergebnis ist ernüchternd.

Inhalt:
  1. Security: Wie Betrüger Apple Pay missbrauchen können
  2. Es gibt auch technische Schwachstellen

Wird eine neue Karte bei Apple Pay hinzugefügt, muss diese authentifiziert werden. Wie der Prozess technisch funktioniert, ist nicht genau bekannt, es können lediglich Hinweise per Reverse-Engineering gewonnen werden. Die Banken können aus verschiedenen Möglichkeiten wählen, um die Karte bestätigen zu lassen. Alternativen sind zum Beispiel E-Mail, SMS oder ein Gespräch mit dem Kundenservice. Kunden können eine der Möglichkeiten auswählen. Betrüger würden in der Regel das persönliche Gespräch bevorzugen, weil sie darin am meisten Kontrolle über die Situation gewinnen würden, sagte Dewey.

Gespräche lassen sich leicht manipulieren

Im Gespräch müssen dann persönliche Fragen beantwortet werden, etwa nach dem Wohnort, Familienstand oder Verwandten und Bekannten. Die Antworten auf solche Fragen lassen sich jedoch oft ohne Probleme in sozialen Netzwerken oder auf anderen Aggregator-Diensten finden und stellen somit keine große Hürde da.

In vielen Fällen verzichteten die Banken sogar auf diese Form der Authentifizierung - etwa wenn der im iTunes-Konto angegebene Name mit dem Namen auf der Kreditkarte übereinstimme, sagte Dewey. Das ist als Sicherheitspraxis problematisch, weil diese Information komplett unter der Kontrolle des Angreifers ist.

Stellenmarkt
  1. Anwendungsentwickler / Anwendungsbetreuer (m/w/d) Datenbanken
    ING Deutschland, Nürnberg
  2. (Junior) Integration Developer (m/w/d)
    Frankfurter Allgemeine Zeitung GmbH (F.A.Z.), Frankfurt am Main
Detailsuche

Apple weist allen für Apple Pay verwendeten iTunes-Accounts ein individuelles Risikolevel zu. Auch hier ist nicht ganz klar, wie genau das funktioniert. Denkbar ist, dass Daten vorheriger Transaktionen in die Bewertung einfließen, außerdem Hinweise aus der Apple-Pay-Historie selbst. Wer also ständig verschiedene Kreditkarten mit verschiedenen Namen hinzufügt, könnte unter Umständen eine schlechtere Bewertung bekommen. In der Praxis war es aber laut Dewey ohne Probleme möglich, eine bestimmte Kreditkarte unter einem Apple-Pay-Namen zu registrieren, wieder zu entfernen und später erneut unter einem anderen Namen anzumelden, ohne dass das zu direkten Account-Sperrungen oder ähnlichem geführt hätte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Es gibt auch technische Schwachstellen 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Web3
Egal, irgendwas mit Blockchain

Im Buzzword-Bingo gibt es einen neuen Favoriten: Web3. Basierend auf Blockchain und Kryptotokens soll es endlich die Erwartungen an diese Techniken erfüllen.
Eine Analyse von Boris Mayer

Web3: Egal, irgendwas mit Blockchain
Artikel
  1. Samsung: Komplettes Android läuft auf Außendisplay des Z Flip 3
    Samsung
    Komplettes Android läuft auf Außendisplay des Z Flip 3

    Das Außendisplay von Samsungs kompaktem Falt-Smartphone ist klein - dennoch hat ein Entwickler eine Android-Oberfläche darauf zum Laufen bekommen.

  2. Rocket 1: 3D-Druck vom Kopf auf die Füße gestellt
    Rocket 1
    3D-Druck vom Kopf auf die Füße gestellt

    Eine der interessantesten Crowdfunding-Kampagnen für 3D-Drucker seit Jahren lässt einige wichtige Fragen offen.
    Von Elias Dinter

  3. Western Digital: WD schließt kritische Lücken auf externen Laufwerken
    Western Digital
    WD schließt kritische Lücken auf externen Laufwerken

    Das My Cloud OS 3 auf älteren externen HDDs und Laufwerken ist unsicher. Western Digital schließt zumindest vier Sicherheitslücken.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Lenovo Laptops (u.a. 17,3" RTX3080 1.599€) • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /