Visa-Hack: Mehr bezahlen als erlaubt
Mit vielen Kreditkarten von Visa kann kontaktlos bezahlt werden. Bis zu einem Betrag von 50 Euro in Deutschland oder 30 Pfund in Großbritannien ist keine Autorisierung mittels PIN oder Unterschrift nötig. Den Sicherheitsforschern Leigh-Anne Galloway und Tim Yunusov(öffnet im neuen Fenster) ist es in Großbritannien durch einen Man-in-the-Middle-Angriff (MitM) gelungen, ohne PIN und Unterschrift auch höhere Beträge von einer Kreditkarte abzubuchen. Die Angriffe sollen auch in anderen Ländern funktionieren. Zuerst hatte Forbes berichtet(öffnet im neuen Fenster) .
Die Limits von 50 Euro oder 30 Pfund dienen als Missbrauchsschutz. Die Sicherheitsforscher konnten diese Limitierungen umgehen. Mit einem speziellen Gerät klinkten sie sich in die Kommunikation zwischen Bezahlterminal und Visa-Karte ein und konnten über diesen Man in the Middle die ausgetauschten Daten abgreifen und ändern.
Um das Limit zu umgehen, mussten sie zwei Datenfelder anpassen: Zuerst teilt der Man in the Middle der Visa-Karte mit, dass eine Überprüfung nicht erforderlich ist, obwohl der Wert das Limit übersteigt. Anschließend sendet der Man in the Middle dem Bezahlterminal die Information, dass die Überprüfung bereits mit anderen Mitteln stattgefunden habe. Anschließend wird der Bezahlvorgang ohne eine Abfrage von PIN oder Unterschrift durchgeführt, obwohl der Betrag dies eigentlich erfordert.
So gelang es den Sicherheitsforschern in Großbritannien, mit 101 Pfund das Limit von 30 Pfund deutlich zu überreizen. Die Forscher vermuten, dass noch höhere Beträge möglich sind, ohne dass das Betrugserkennungssystem des Kreditkartenherstellers anschlägt. "Der Angriff kann auch mit mobilen Wallets wie Google Pay durchgeführt werden, sofern eine Visa-Karte in die Wallet aufgenommen wurde. Hier ist es sogar möglich, bis zu 30 Pfund abzubuchen, ohne das Telefon zu entsperren," schreiben die Sicherheitsforscher.
"Die Zahlungsbranche ist der Ansicht, dass kontaktlose Zahlungen durch die von ihnen eingeführten Sicherheitsvorkehrungen geschützt sind, aber Tatsache ist, dass der kontaktlose Betrug zunimmt," sagt Yunusov. "Wenn die Limits beim kontaktlosen Bezahlen so leicht umgangen werden können, kann das Kunden und Banken teuer zu stehen kommen." Allein im ersten Halbjahr 2018 sei in Großbritannien ein Schaden von 8,4 Millionen Pfund (9 Millionen Euro) durch Betrug mit kontaktlosem Bezahlen entstanden.
- Anzeige Hier geht es zur VISA Karte mit bis zu 40 Euro Startgutschrift bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.