Visa: Forscher hebeln PIN-Abfrage bei kontaktlosem Bezahlen aus

Mit der Visa-Karte kontaktlos ohne PIN-Abfrage bezahlen: Forscher fanden eine Methode, um die Authentifizierung auch bei größeren Beträgen zu umgehen.

Artikel veröffentlicht am , Anna Biselli
Dieser Laden ist geöffnet, ein Problem bei Visa-Karten auch.
Dieser Laden ist geöffnet, ein Problem bei Visa-Karten auch. (Bild: multifacetedgirl/pixabay.com)

Forscher der ETH Zürich haben bei der Modellierung des EMV-Protokollstandards für Smart Cards ein Sicherheitsproblem gefunden, das beim kontaktlosen Bezahlen mit Visa-Karten auftreten soll. Es gelang David Basin, Ralf Sasse und Jorge Toro nach eigener Beschreibung, sich als Man in the Middle zwischen Karte und Bezahlterminal zu schalten und die PIN-Abfrage bei kontaktloser Zahlung außer Kraft zu setzen. So könnte ein Krimineller mit einer gestohlenen Karte auch Zahlungen über das Sicherheitslimit hinaus vornehmen.

Stellenmarkt
  1. Central Demand Planner (m/w/d)
    Melitta Gruppe, Minden
  2. Doktorandin / Doktorand für (Bio)-Informatik oder verwandte Fächer (KI/»Data Science«)
    Universitätsklinikum Frankfurt, Frankfurt am Main
Detailsuche

Das Limit für kontaktlose PIN-freie Zahlungen mit Visa-Karten ist regional unterschiedlich und liegt in Deutschland aktuell bei 50 Euro. Die Forscher berichten, dass es ihnen bei Experimenten mit ihren eigenen Karten in der Schweiz gelang, Einkäufe im Wert von 190 US-Dollar zu tätigen. In einem Video demonstrieren sie, wie ihre Methode funktioniert.

Sie nutzen zwei Smartphones, auf denen eine eigens entwickelte App läuft. Ein Gerät fungiert als Fake-Bezahlterminal, es muss sich in der Nähe einer echten Karte befinden. Ein anderes emuliert die Karte. Für das Kassenpersonal sieht es so aus, als würde der Kunde mit dem Smartphone zahlen. Beim Bezahlvorgang verändert die App die übertragenen Daten so, dass dem echten Terminal vorgegaukelt wird, dass keine PIN zur Überprüfung mehr notwendig ist, weil der Karteninhaber bereits beispielsweise über das Smartphone verifiziert wurde. Laut den Forschern schützt Visa die Daten über die Karteninhaber-Verifikationsmethode nicht ausreichend vor Modifikationen.

Ähnliche Angriffe bereits bekannt

Bereits im vergangenen Jahr gelang es IT-Sicherheitsforschern von Positive Technologies, PIN-Abfragelimits bei Visa-Karten außer Kraft zu setzen. Auch sie arbeiteten mit einem Man-in-the-Middle-Angriff, veröffentlichten jedoch weniger Details als die Forscher der ETH Zürich.

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    14.–15. Oktober 2021, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    12.–13. Januar 2022, virtuell
Weitere IT-Trainings

Damals bestritt Visa, dass dies ein ernstes Problem sei. Der Angriff sei zu aufwendig, die Angreifer bräuchten physischen Zugriff auf die Karte. Der Ansatz skaliere nicht so wie die Methoden, die man typischerweise bei Kriminellen beobachte. Bezüglich der aktuellen Veröffentlichung äußerte sich Visa gegenüber ZDnet bisher nicht.

Die Forscher von Positive Technologies gaben zu bedenken, dass es ausreiche, wenn sich ein Angreifer während der Zahlung ausreichend nah an einer fremden Karte befindet. Sie empfahlen daher, gut auf die eigene Karte aufzupassen und sie beispielsweise in einer abgeschirmten Hülle aufzubewahren, die das unbemerkte kontaktlose Auslesen verhindert. Außerdem solle man die eigenen Zahlungsbewegungen beobachten, um zeitnah auffällige Transaktionen entdecken zu können.

Die Züricher Wissenschaftler schreiben in ihrem Paper, dass Visa und die Banken ihre aktuelle Angriffsmethode mit überschaubarem Aufwand verhindern könnten. Bereits ausgegebene Karten müssten dafür nicht verändert werden.

Kontaktloses Bezahlen verbreitet sich immer mehr. Gerade seit Beginn der Coronapandemie forderten zahlreiche Händler ihre Kunden auf, statt mit Bargeld kontaktlos zu zahlen. Der Anteil kontaktloser Kartenzahlungen habe im ersten Halbjahr 2020 bei 50 Prozent gelegen, berichtet das Handelsblatt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 01. Sep 2020

Die Frage ist wieso das überhaupt noch eingeschaltet war. Erst ausschalten, wenn jemand...

M.P. 01. Sep 2020

Prepaid klingt interessant. Meinem Sohn habe ich eine Prepaid-SIM für sein Smartphone...

ChMu 31. Aug 2020

was abschaltbar ist

Lestat 31. Aug 2020

Ja, nur ist das in der Praxis noch nicht mal nötig. Einfach mal mit einem "normalen...



Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Ampelkoalition: Das Verkehrsministerium wird zum Digitalministerium
    Ampelkoalition
    Das Verkehrsministerium wird zum Digitalministerium

    Aus dem geplanten Ministerium für Verkehr und Digitales wird ein Ministerium für Digitales und Verkehr. Minister Wissing erhält zusätzliche Kompetenzen.

  2. Bundesnetzagentur: 30 Messungen an drei unterschiedlichen Kalendertagen
    Bundesnetzagentur
    30 Messungen an drei unterschiedlichen Kalendertagen

    Die Bundesnetzagentur hat festgelegt, wann der Netzbetreiber/Provider den Vertrag nicht erfüllt. Es muss viel gemessen werden.

  3. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /