• IT-Karriere:
  • Services:

Visa: Forscher hebeln PIN-Abfrage bei kontaktlosem Bezahlen aus

Mit der Visa-Karte kontaktlos ohne PIN-Abfrage bezahlen: Forscher fanden eine Methode, um die Authentifizierung auch bei größeren Beträgen zu umgehen.

Artikel veröffentlicht am , Anna Biselli
Dieser Laden ist geöffnet, ein Problem bei Visa-Karten auch.
Dieser Laden ist geöffnet, ein Problem bei Visa-Karten auch. (Bild: multifacetedgirl/pixabay.com)

Forscher der ETH Zürich haben bei der Modellierung des EMV-Protokollstandards für Smart Cards ein Sicherheitsproblem gefunden, das beim kontaktlosen Bezahlen mit Visa-Karten auftreten soll. Es gelang David Basin, Ralf Sasse und Jorge Toro nach eigener Beschreibung, sich als Man in the Middle zwischen Karte und Bezahlterminal zu schalten und die PIN-Abfrage bei kontaktloser Zahlung außer Kraft zu setzen. So könnte ein Krimineller mit einer gestohlenen Karte auch Zahlungen über das Sicherheitslimit hinaus vornehmen.

Stellenmarkt
  1. Bayerische Versorgungskammer, München
  2. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden, München

Das Limit für kontaktlose PIN-freie Zahlungen mit Visa-Karten ist regional unterschiedlich und liegt in Deutschland aktuell bei 50 Euro. Die Forscher berichten, dass es ihnen bei Experimenten mit ihren eigenen Karten in der Schweiz gelang, Einkäufe im Wert von 190 US-Dollar zu tätigen. In einem Video demonstrieren sie, wie ihre Methode funktioniert.

Sie nutzen zwei Smartphones, auf denen eine eigens entwickelte App läuft. Ein Gerät fungiert als Fake-Bezahlterminal, es muss sich in der Nähe einer echten Karte befinden. Ein anderes emuliert die Karte. Für das Kassenpersonal sieht es so aus, als würde der Kunde mit dem Smartphone zahlen. Beim Bezahlvorgang verändert die App die übertragenen Daten so, dass dem echten Terminal vorgegaukelt wird, dass keine PIN zur Überprüfung mehr notwendig ist, weil der Karteninhaber bereits beispielsweise über das Smartphone verifiziert wurde. Laut den Forschern schützt Visa die Daten über die Karteninhaber-Verifikationsmethode nicht ausreichend vor Modifikationen.

Ähnliche Angriffe bereits bekannt

Bereits im vergangenen Jahr gelang es IT-Sicherheitsforschern von Positive Technologies, PIN-Abfragelimits bei Visa-Karten außer Kraft zu setzen. Auch sie arbeiteten mit einem Man-in-the-Middle-Angriff, veröffentlichten jedoch weniger Details als die Forscher der ETH Zürich.

Damals bestritt Visa, dass dies ein ernstes Problem sei. Der Angriff sei zu aufwendig, die Angreifer bräuchten physischen Zugriff auf die Karte. Der Ansatz skaliere nicht so wie die Methoden, die man typischerweise bei Kriminellen beobachte. Bezüglich der aktuellen Veröffentlichung äußerte sich Visa gegenüber ZDnet bisher nicht.

Die Forscher von Positive Technologies gaben zu bedenken, dass es ausreiche, wenn sich ein Angreifer während der Zahlung ausreichend nah an einer fremden Karte befindet. Sie empfahlen daher, gut auf die eigene Karte aufzupassen und sie beispielsweise in einer abgeschirmten Hülle aufzubewahren, die das unbemerkte kontaktlose Auslesen verhindert. Außerdem solle man die eigenen Zahlungsbewegungen beobachten, um zeitnah auffällige Transaktionen entdecken zu können.

Die Züricher Wissenschaftler schreiben in ihrem Paper, dass Visa und die Banken ihre aktuelle Angriffsmethode mit überschaubarem Aufwand verhindern könnten. Bereits ausgegebene Karten müssten dafür nicht verändert werden.

Kontaktloses Bezahlen verbreitet sich immer mehr. Gerade seit Beginn der Coronapandemie forderten zahlreiche Händler ihre Kunden auf, statt mit Bargeld kontaktlos zu zahlen. Der Anteil kontaktloser Kartenzahlungen habe im ersten Halbjahr 2020 bei 50 Prozent gelegen, berichtet das Handelsblatt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

chefin 01. Sep 2020 / Themenstart

Die Frage ist wieso das überhaupt noch eingeschaltet war. Erst ausschalten, wenn jemand...

M.P. 01. Sep 2020 / Themenstart

Prepaid klingt interessant. Meinem Sohn habe ich eine Prepaid-SIM für sein Smartphone...

ChMu 31. Aug 2020 / Themenstart

was abschaltbar ist

Lestat 31. Aug 2020 / Themenstart

Ja, nur ist das in der Praxis noch nicht mal nötig. Einfach mal mit einem "normalen...

Kommentieren


Folgen Sie uns
       


iPhone, iPad und Co.: Apple bringt iOS 14, iPadOS 14, TVOS 14 und WatchOS 7
iPhone, iPad und Co.
Apple bringt iOS 14, iPadOS 14, TVOS 14 und WatchOS 7

Auch ohne neue iPhones lässt es sich Apple nicht nehmen, seine neue iOS-Version 14 zu veröffentlichen. Auch andere Systeme erhalten Upgrades.

  1. Apple Pay EU will Apple zur Freigabe von NFC-Chip bringen
  2. Apple One Abos der verschiedenen Apple-Dienste im Paket
  3. Corona Apple hat eigenen Mund-Nasen-Schutz entwickelt

Burnout im IT-Job: Mit den Haien schwimmen
Burnout im IT-Job
Mit den Haien schwimmen

Unter Druck bricht ein Webentwickler zusammen - zerrieben von zu eng getakteten Projekten. Obwohl die IT-Branche psychische Belastungen als Problem erkannt hat, lässt sie Beschäftigte oft allein.
Eine Reportage von Miriam Binner


    Verkehrswende: Zaubertechnologie statt Citybahn
    Verkehrswende
    Zaubertechnologie statt Citybahn

    In Wiesbaden wird um den Bau einer Straßenbahn gestritten, eine Bürgerinitiative kämpft mit sehr kuriosen Argumenten dagegen.
    Eine Recherche von Hanno Böck

    1. Fernbus Roadjet mit zwei WLANs und Maskenerkennung gegen Flixbus
    2. Mobilität Wie sinnvoll sind synthetische Kraftstoffe?

      •  /