Visa-Hack: Mehr bezahlen als erlaubt

Mit Visa-Karten können kleinere Beträge bis zu einem Limit ohne PIN und Unterschrift bezahlt werden. Sicherheitsforscher konnten auch größere Beträge ohne Autorisierung abbuchen. Das soll sogar mit Visa-Karten im Smartphone-Wallet funktionieren.

Artikel veröffentlicht am ,
Mit einem Man-in-the-Middle-Angriff lässt sich die Visa-Karte austricksen.
Mit einem Man-in-the-Middle-Angriff lässt sich die Visa-Karte austricksen. (Bild: reynermedia/Håkan Dahlström Photography/CC-BY 2.0)

Mit vielen Kreditkarten von Visa kann kontaktlos bezahlt werden. Bis zu einem Betrag von 50 Euro in Deutschland oder 30 Pfund in Großbritannien ist keine Autorisierung mittels PIN oder Unterschrift nötig. Den Sicherheitsforschern Leigh-Anne Galloway und Tim Yunusov ist es in Großbritannien durch einen Man-in-the-Middle-Angriff (MitM) gelungen, ohne PIN und Unterschrift auch höhere Beträge von einer Kreditkarte abzubuchen. Die Angriffe sollen auch in anderen Ländern funktionieren. Zuerst hatte Forbes berichtet.

Stellenmarkt
  1. SAP-Systemanalytiker*in
    UNI ELEKTRO Fachgroßhandel GmbH & Co. KG, Eschborn
  2. Technical Account Manager (m/f/d)
    SoSafe GmbH, Köln (Home-Office möglich)
Detailsuche

Die Limits von 50 Euro oder 30 Pfund dienen als Missbrauchsschutz. Die Sicherheitsforscher konnten diese Limitierungen umgehen. Mit einem speziellen Gerät klinkten sie sich in die Kommunikation zwischen Bezahlterminal und Visa-Karte ein und konnten über diesen Man in the Middle die ausgetauschten Daten abgreifen und ändern.

Um das Limit zu umgehen, mussten sie zwei Datenfelder anpassen: Zuerst teilt der Man in the Middle der Visa-Karte mit, dass eine Überprüfung nicht erforderlich ist, obwohl der Wert das Limit übersteigt. Anschließend sendet der Man in the Middle dem Bezahlterminal die Information, dass die Überprüfung bereits mit anderen Mitteln stattgefunden habe. Anschließend wird der Bezahlvorgang ohne eine Abfrage von PIN oder Unterschrift durchgeführt, obwohl der Betrag dies eigentlich erfordert.

So gelang es den Sicherheitsforschern in Großbritannien, mit 101 Pfund das Limit von 30 Pfund deutlich zu überreizen. Die Forscher vermuten, dass noch höhere Beträge möglich sind, ohne dass das Betrugserkennungssystem des Kreditkartenherstellers anschlägt. "Der Angriff kann auch mit mobilen Wallets wie Google Pay durchgeführt werden, sofern eine Visa-Karte in die Wallet aufgenommen wurde. Hier ist es sogar möglich, bis zu 30 Pfund abzubuchen, ohne das Telefon zu entsperren," schreiben die Sicherheitsforscher.

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    10.–14. Januar 2022, Virtuell
Weitere IT-Trainings

"Die Zahlungsbranche ist der Ansicht, dass kontaktlose Zahlungen durch die von ihnen eingeführten Sicherheitsvorkehrungen geschützt sind, aber Tatsache ist, dass der kontaktlose Betrug zunimmt", sagt Yunusov. "Wenn die Limits beim kontaktlosen Bezahlen so leicht umgangen werden können, kann das Kunden und Banken teuer zu stehen kommen." Allein im ersten Halbjahr 2018 sei in Großbritannien ein Schaden von 8,4 Millionen Pfund (9 Millionen Euro) durch Betrug mit kontaktlosem Bezahlen entstanden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Blender Foundation
Blender 3.0 ist da

Die freie 3D-Software Blender bekommt ein Update - wir haben es uns angesehen.
Von Martin Wolf

Blender Foundation: Blender 3.0 ist da
Artikel
  1. Ikea Åskväder: Modulare Steckdosenleiste startet in Deutschland
    Ikea Åskväder
    Modulare Steckdosenleiste startet in Deutschland

    Die modulare Steckdosenleiste von Ikea ermöglicht viele Anpassungen und wird erstmals auf der Ikea-Webseite gelistet.

  2. Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
    Bald exklusiv bei Disney+
    Serien verschwinden aus Abos von Netflix und Prime Video

    Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
    Von Ingo Pakalski

  3. Wochenrückblick: Acht neue Kerne
    Wochenrückblick
    Acht neue Kerne

    Golem.de-Wochenrückblick Qualcomm stellt Chips vor, und wir testen den Fire-TV-Stick: die Woche im Video.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /