Visa: Forscher hebeln PIN-Abfrage bei kontaktlosem Bezahlen aus

Mit der Visa-Karte kontaktlos ohne PIN-Abfrage bezahlen: Forscher fanden eine Methode, um die Authentifizierung auch bei größeren Beträgen zu umgehen.

Artikel veröffentlicht am , Anna Biselli
Dieser Laden ist geöffnet, ein Problem bei Visa-Karten auch.
Dieser Laden ist geöffnet, ein Problem bei Visa-Karten auch. (Bild: multifacetedgirl/pixabay.com)

Forscher der ETH Zürich haben bei der Modellierung des EMV-Protokollstandards für Smart Cards ein Sicherheitsproblem gefunden, das beim kontaktlosen Bezahlen mit Visa-Karten auftreten soll. Es gelang David Basin, Ralf Sasse und Jorge Toro nach eigener Beschreibung, sich als Man in the Middle zwischen Karte und Bezahlterminal zu schalten und die PIN-Abfrage bei kontaktloser Zahlung außer Kraft zu setzen. So könnte ein Krimineller mit einer gestohlenen Karte auch Zahlungen über das Sicherheitslimit hinaus vornehmen.

Das Limit für kontaktlose PIN-freie Zahlungen mit Visa-Karten ist regional unterschiedlich und liegt in Deutschland aktuell bei 50 Euro. Die Forscher berichten, dass es ihnen bei Experimenten mit ihren eigenen Karten in der Schweiz gelang, Einkäufe im Wert von 190 US-Dollar zu tätigen. In einem Video demonstrieren sie, wie ihre Methode funktioniert.

Sie nutzen zwei Smartphones, auf denen eine eigens entwickelte App läuft. Ein Gerät fungiert als Fake-Bezahlterminal, es muss sich in der Nähe einer echten Karte befinden. Ein anderes emuliert die Karte. Für das Kassenpersonal sieht es so aus, als würde der Kunde mit dem Smartphone zahlen. Beim Bezahlvorgang verändert die App die übertragenen Daten so, dass dem echten Terminal vorgegaukelt wird, dass keine PIN zur Überprüfung mehr notwendig ist, weil der Karteninhaber bereits beispielsweise über das Smartphone verifiziert wurde. Laut den Forschern schützt Visa die Daten über die Karteninhaber-Verifikationsmethode nicht ausreichend vor Modifikationen.

Ähnliche Angriffe bereits bekannt

Bereits im vergangenen Jahr gelang es IT-Sicherheitsforschern von Positive Technologies, PIN-Abfragelimits bei Visa-Karten außer Kraft zu setzen. Auch sie arbeiteten mit einem Man-in-the-Middle-Angriff, veröffentlichten jedoch weniger Details als die Forscher der ETH Zürich.

Damals bestritt Visa, dass dies ein ernstes Problem sei. Der Angriff sei zu aufwendig, die Angreifer bräuchten physischen Zugriff auf die Karte. Der Ansatz skaliere nicht so wie die Methoden, die man typischerweise bei Kriminellen beobachte. Bezüglich der aktuellen Veröffentlichung äußerte sich Visa gegenüber ZDnet bisher nicht.

Die Forscher von Positive Technologies gaben zu bedenken, dass es ausreiche, wenn sich ein Angreifer während der Zahlung ausreichend nah an einer fremden Karte befindet. Sie empfahlen daher, gut auf die eigene Karte aufzupassen und sie beispielsweise in einer abgeschirmten Hülle aufzubewahren, die das unbemerkte kontaktlose Auslesen verhindert. Außerdem solle man die eigenen Zahlungsbewegungen beobachten, um zeitnah auffällige Transaktionen entdecken zu können.

Die Züricher Wissenschaftler schreiben in ihrem Paper, dass Visa und die Banken ihre aktuelle Angriffsmethode mit überschaubarem Aufwand verhindern könnten. Bereits ausgegebene Karten müssten dafür nicht verändert werden.

Kontaktloses Bezahlen verbreitet sich immer mehr. Gerade seit Beginn der Coronapandemie forderten zahlreiche Händler ihre Kunden auf, statt mit Bargeld kontaktlos zu zahlen. Der Anteil kontaktloser Kartenzahlungen habe im ersten Halbjahr 2020 bei 50 Prozent gelegen, berichtet das Handelsblatt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 01. Sep 2020

Die Frage ist wieso das überhaupt noch eingeschaltet war. Erst ausschalten, wenn jemand...

M.P. 01. Sep 2020

Prepaid klingt interessant. Meinem Sohn habe ich eine Prepaid-SIM für sein Smartphone...

ChMu 31. Aug 2020

was abschaltbar ist

Lestat 31. Aug 2020

Ja, nur ist das in der Praxis noch nicht mal nötig. Einfach mal mit einem "normalen...



Aktuell auf der Startseite von Golem.de
Solarenergie
Berlin fördert Balkonkraftwerke mit bis zu 500 Euro

Neben anderen Städten und Bundesländern unterstützt nun auch Berlin die Anschaffung von kleinen Solaranlagen. Jedoch nicht für alle Bürger.

Solarenergie: Berlin fördert Balkonkraftwerke mit bis zu 500 Euro
Artikel
  1. Der Herr der Ringe: Lego bringt Bruchtal aus 6.100 Teilen und mit 15 Figuren
    Der Herr der Ringe
    Lego bringt Bruchtal aus 6.100 Teilen und mit 15 Figuren

    Die gesamte Gemeinschaft des Ringes versammelt sich in den Hallen von Bruchtal, das als Lego-Diorama Herr-der-Ringe-Fans erfreuen kann.

  2. Navigation und GPS: Google Maps baut 3D-Städte und Inneneinrichtungen mit KI
    Navigation und GPS
    Google Maps baut 3D-Städte und Inneneinrichtungen mit KI

    Google Maps wird mit diversen neuen Funktionen ausgestattet - etwa mit Navigation per Augmented Reality oder 3D-Modellen bekannter Städte.

  3. Stress reduzieren: Runter mit der Hasskappe!
    Stress reduzieren
    Runter mit der Hasskappe!

    Viele ITler stehen unter enormen Stress und ruinieren sich damit die Gesundheit und den Spaß an der Arbeit - und anderen den Tag. Psychologen empfehlen als Lösung: mit Affirmationen die eigenen Gedanken umprogrammieren.
    Ein Bericht von Marc Favre

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Powercolor RX 7900 XTX 1.119€ • WSV-Finale bei MediaMarkt • Samsung 980 Pro 2TB (PS5-komp.) 174,99€ • MSI RTX 4080 1.349€ • Samsung 55" 4K QLED Curved Gaming-Monitor -25% • Asus RX 7900 XT 939,90€ • DAMN-Deals: AMD CPUs zu Tiefstpreisen • PCGH Cyber Week nur bis 9.2. [Werbung]
    •  /