Abo
  • IT-Karriere:

Visa-Hack: Mehr bezahlen als erlaubt

Mit Visa-Karten können kleinere Beträge bis zu einem Limit ohne PIN und Unterschrift bezahlt werden. Sicherheitsforscher konnten auch größere Beträge ohne Autorisierung abbuchen. Das soll sogar mit Visa-Karten im Smartphone-Wallet funktionieren.

Artikel veröffentlicht am ,
Mit einem Man-in-the-Middle-Angriff lässt sich die Visa-Karte austricksen.
Mit einem Man-in-the-Middle-Angriff lässt sich die Visa-Karte austricksen. (Bild: reynermedia/Håkan Dahlström Photography/CC-BY 2.0)

Mit vielen Kreditkarten von Visa kann kontaktlos bezahlt werden. Bis zu einem Betrag von 50 Euro in Deutschland oder 30 Pfund in Großbritannien ist keine Autorisierung mittels PIN oder Unterschrift nötig. Den Sicherheitsforschern Leigh-Anne Galloway und Tim Yunusov ist es in Großbritannien durch einen Man-in-the-Middle-Angriff (MitM) gelungen, ohne PIN und Unterschrift auch höhere Beträge von einer Kreditkarte abzubuchen. Die Angriffe sollen auch in anderen Ländern funktionieren. Zuerst hatte Forbes berichtet.

Stellenmarkt
  1. IT-Systemhaus Dresden GmbH, Dresden
  2. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg

Die Limits von 50 Euro oder 30 Pfund dienen als Missbrauchsschutz. Die Sicherheitsforscher konnten diese Limitierungen umgehen. Mit einem speziellen Gerät klinkten sie sich in die Kommunikation zwischen Bezahlterminal und Visa-Karte ein und konnten über diesen Man in the Middle die ausgetauschten Daten abgreifen und ändern.

Um das Limit zu umgehen, mussten sie zwei Datenfelder anpassen: Zuerst teilt der Man in the Middle der Visa-Karte mit, dass eine Überprüfung nicht erforderlich ist, obwohl der Wert das Limit übersteigt. Anschließend sendet der Man in the Middle dem Bezahlterminal die Information, dass die Überprüfung bereits mit anderen Mitteln stattgefunden habe. Anschließend wird der Bezahlvorgang ohne eine Abfrage von PIN oder Unterschrift durchgeführt, obwohl der Betrag dies eigentlich erfordert.

So gelang es den Sicherheitsforschern in Großbritannien, mit 101 Pfund das Limit von 30 Pfund deutlich zu überreizen. Die Forscher vermuten, dass noch höhere Beträge möglich sind, ohne dass das Betrugserkennungssystem des Kreditkartenherstellers anschlägt. "Der Angriff kann auch mit mobilen Wallets wie Google Pay durchgeführt werden, sofern eine Visa-Karte in die Wallet aufgenommen wurde. Hier ist es sogar möglich, bis zu 30 Pfund abzubuchen, ohne das Telefon zu entsperren," schreiben die Sicherheitsforscher.

"Die Zahlungsbranche ist der Ansicht, dass kontaktlose Zahlungen durch die von ihnen eingeführten Sicherheitsvorkehrungen geschützt sind, aber Tatsache ist, dass der kontaktlose Betrug zunimmt", sagt Yunusov. "Wenn die Limits beim kontaktlosen Bezahlen so leicht umgangen werden können, kann das Kunden und Banken teuer zu stehen kommen." Allein im ersten Halbjahr 2018 sei in Großbritannien ein Schaden von 8,4 Millionen Pfund (9 Millionen Euro) durch Betrug mit kontaktlosem Bezahlen entstanden.



Anzeige
Top-Angebote
  1. (u. a. MacBook 12 m3-7Y32/8 GB/256 GB/Silber für 999€ + Versand oder kostenlose Marktabholung...
  2. (u. a. MacBook 12 m3-7Y32/8 GB/256 GB/Silber für 999€ + Versand oder kostenlose Marktabholung...
  3. 116,05€ (Bestpreis!)
  4. 849€ (Vergleichspreis über 1.000€)

Kurohyou 02. Aug 2019 / Themenstart

Das ist abhängig vom Mobile Payment-System, nicht vom Hersteller. Apple Pay und Samsung...

\pub\bash0r 31. Jul 2019 / Themenstart

[...] mit der KK kontaktlos bei McDonald's [...] Wieso ist mir die Abkürzung KKK dafür...

My1 31. Jul 2019 / Themenstart

wieso sollte man nicht den Lesern ein Zertifikat einbauen können dass diese crypten...

Kommentieren


Folgen Sie uns
       


Timex Data Link ausprobiert

Die Data Link wurde von Timex und Microsoft entwickelt und ist eine der ersten Smartwatches. Anlässlich des 25-jährigen Jubiläums haben wir uns die Uhr genauer angeschaut - und über einen alten PC mit Röhrenmonitor programmiert.

Timex Data Link ausprobiert Video aufrufen
Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. Arbeit Hilfe für frustrierte ITler
  2. IT-Arbeitsmarkt Jobgarantie gibt es nie
  3. IT-Fachkräftemangel Freie sind gefragt

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

    •  /