Visa: Forscher hebeln PIN-Abfrage bei kontaktlosem Bezahlen aus

Forscher der ETH Zürich haben bei der Modellierung des EMV-Protokollstandards für Smart Cards ein Sicherheitsproblem gefunden, das beim kontaktlosen Bezahlen mit Visa-Karten auftreten soll. Es gelang David Basin, Ralf Sasse und Jorge Toro nach eigener Beschreibung, sich als Man in the Middle zwischen Karte und Bezahlterminal zu schalten und die PIN-Abfrage bei kontaktloser Zahlung außer Kraft zu setzen. So könnte ein Krimineller mit einer gestohlenen Karte auch Zahlungen über das Sicherheitslimit hinaus vornehmen.

Das Limit für kontaktlose PIN-freie Zahlungen mit Visa-Karten ist regional unterschiedlich und liegt in Deutschland aktuell bei 50 Euro. Die Forscher berichten, dass es ihnen bei Experimenten mit ihren eigenen Karten in der Schweiz gelang, Einkäufe im Wert von 190 US-Dollar zu tätigen. In einem Video demonstrieren sie, wie ihre Methode funktioniert.

Sie nutzen zwei Smartphones, auf denen eine eigens entwickelte App läuft. Ein Gerät fungiert als Fake-Bezahlterminal, es muss sich in der Nähe einer echten Karte befinden. Ein anderes emuliert die Karte. Für das Kassenpersonal sieht es so aus, als würde der Kunde mit dem Smartphone zahlen. Beim Bezahlvorgang verändert die App die übertragenen Daten so, dass dem echten Terminal vorgegaukelt wird, dass keine PIN zur Überprüfung mehr notwendig ist, weil der Karteninhaber bereits beispielsweise über das Smartphone verifiziert wurde. Laut den Forschern schützt Visa die Daten über die Karteninhaber-Verifikationsmethode nicht ausreichend vor Modifikationen.

Ähnliche Angriffe bereits bekannt

Bereits im vergangenen Jahr gelang es IT-Sicherheitsforschern von Positive Technologies, PIN-Abfragelimits bei Visa-Karten außer Kraft zu setzen. Auch sie arbeiteten mit einem Man-in-the-Middle-Angriff, veröffentlichten jedoch weniger Details als die Forscher der ETH Zürich.

Damals bestritt Visa, dass dies ein ernstes Problem sei. Der Angriff sei zu aufwendig, die Angreifer bräuchten physischen Zugriff auf die Karte. Der Ansatz skaliere nicht so wie die Methoden, die man typischerweise bei Kriminellen beobachte. Bezüglich der aktuellen Veröffentlichung äußerte sich Visa gegenüber ZDnet bisher nicht.

Die Forscher von Positive Technologies gaben zu bedenken, dass es ausreiche, wenn sich ein Angreifer während der Zahlung ausreichend nah an einer fremden Karte befindet. Sie empfahlen daher, gut auf die eigene Karte aufzupassen und sie beispielsweise in einer abgeschirmten Hülle aufzubewahren, die das unbemerkte kontaktlose Auslesen verhindert. Außerdem solle man die eigenen Zahlungsbewegungen beobachten, um zeitnah auffällige Transaktionen entdecken zu können.

Die Züricher Wissenschaftler schreiben in ihrem Paper, dass Visa und die Banken ihre aktuelle Angriffsmethode mit überschaubarem Aufwand verhindern könnten. Bereits ausgegebene Karten müssten dafür nicht verändert werden.

Kontaktloses Bezahlen verbreitet sich immer mehr. Gerade seit Beginn der Coronapandemie forderten zahlreiche Händler ihre Kunden auf, statt mit Bargeld kontaktlos zu zahlen. Der Anteil kontaktloser Kartenzahlungen habe im ersten Halbjahr 2020 bei 50 Prozent gelegen, berichtet das Handelsblatt.