• IT-Karriere:
  • Services:

Visa: Forscher hebeln PIN-Abfrage bei kontaktlosem Bezahlen aus

Mit der Visa-Karte kontaktlos ohne PIN-Abfrage bezahlen: Forscher fanden eine Methode, um die Authentifizierung auch bei größeren Beträgen zu umgehen.

Artikel veröffentlicht am , Anna Biselli
Dieser Laden ist geöffnet, ein Problem bei Visa-Karten auch.
Dieser Laden ist geöffnet, ein Problem bei Visa-Karten auch. (Bild: multifacetedgirl/pixabay.com)

Forscher der ETH Zürich haben bei der Modellierung des EMV-Protokollstandards für Smart Cards ein Sicherheitsproblem gefunden, das beim kontaktlosen Bezahlen mit Visa-Karten auftreten soll. Es gelang David Basin, Ralf Sasse und Jorge Toro nach eigener Beschreibung, sich als Man in the Middle zwischen Karte und Bezahlterminal zu schalten und die PIN-Abfrage bei kontaktloser Zahlung außer Kraft zu setzen. So könnte ein Krimineller mit einer gestohlenen Karte auch Zahlungen über das Sicherheitslimit hinaus vornehmen.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Heraeus infosystems GmbH, Hanau

Das Limit für kontaktlose PIN-freie Zahlungen mit Visa-Karten ist regional unterschiedlich und liegt in Deutschland aktuell bei 50 Euro. Die Forscher berichten, dass es ihnen bei Experimenten mit ihren eigenen Karten in der Schweiz gelang, Einkäufe im Wert von 190 US-Dollar zu tätigen. In einem Video demonstrieren sie, wie ihre Methode funktioniert.

Sie nutzen zwei Smartphones, auf denen eine eigens entwickelte App läuft. Ein Gerät fungiert als Fake-Bezahlterminal, es muss sich in der Nähe einer echten Karte befinden. Ein anderes emuliert die Karte. Für das Kassenpersonal sieht es so aus, als würde der Kunde mit dem Smartphone zahlen. Beim Bezahlvorgang verändert die App die übertragenen Daten so, dass dem echten Terminal vorgegaukelt wird, dass keine PIN zur Überprüfung mehr notwendig ist, weil der Karteninhaber bereits beispielsweise über das Smartphone verifiziert wurde. Laut den Forschern schützt Visa die Daten über die Karteninhaber-Verifikationsmethode nicht ausreichend vor Modifikationen.

Ähnliche Angriffe bereits bekannt

Bereits im vergangenen Jahr gelang es IT-Sicherheitsforschern von Positive Technologies, PIN-Abfragelimits bei Visa-Karten außer Kraft zu setzen. Auch sie arbeiteten mit einem Man-in-the-Middle-Angriff, veröffentlichten jedoch weniger Details als die Forscher der ETH Zürich.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Damals bestritt Visa, dass dies ein ernstes Problem sei. Der Angriff sei zu aufwendig, die Angreifer bräuchten physischen Zugriff auf die Karte. Der Ansatz skaliere nicht so wie die Methoden, die man typischerweise bei Kriminellen beobachte. Bezüglich der aktuellen Veröffentlichung äußerte sich Visa gegenüber ZDnet bisher nicht.

Die Forscher von Positive Technologies gaben zu bedenken, dass es ausreiche, wenn sich ein Angreifer während der Zahlung ausreichend nah an einer fremden Karte befindet. Sie empfahlen daher, gut auf die eigene Karte aufzupassen und sie beispielsweise in einer abgeschirmten Hülle aufzubewahren, die das unbemerkte kontaktlose Auslesen verhindert. Außerdem solle man die eigenen Zahlungsbewegungen beobachten, um zeitnah auffällige Transaktionen entdecken zu können.

Die Züricher Wissenschaftler schreiben in ihrem Paper, dass Visa und die Banken ihre aktuelle Angriffsmethode mit überschaubarem Aufwand verhindern könnten. Bereits ausgegebene Karten müssten dafür nicht verändert werden.

Kontaktloses Bezahlen verbreitet sich immer mehr. Gerade seit Beginn der Coronapandemie forderten zahlreiche Händler ihre Kunden auf, statt mit Bargeld kontaktlos zu zahlen. Der Anteil kontaktloser Kartenzahlungen habe im ersten Halbjahr 2020 bei 50 Prozent gelegen, berichtet das Handelsblatt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 8,99€
  2. gratis (bis 22.04.)
  3. 4,25

chefin 01. Sep 2020

Die Frage ist wieso das überhaupt noch eingeschaltet war. Erst ausschalten, wenn jemand...

M.P. 01. Sep 2020

Prepaid klingt interessant. Meinem Sohn habe ich eine Prepaid-SIM für sein Smartphone...

ChMu 31. Aug 2020

was abschaltbar ist

Lestat 31. Aug 2020

Ja, nur ist das in der Praxis noch nicht mal nötig. Einfach mal mit einem "normalen...


Folgen Sie uns
       


Übersetzung mit DeepL - Tutorial

Wir zeigen im Video, wie die Windows-Version des Übersetzungsprogramms DeepL funktioniert.

Übersetzung mit DeepL - Tutorial Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /