Abo
  • IT-Karriere:

Visa-Hack: Mehr bezahlen als erlaubt

Mit Visa-Karten können kleinere Beträge bis zu einem Limit ohne PIN und Unterschrift bezahlt werden. Sicherheitsforscher konnten auch größere Beträge ohne Autorisierung abbuchen. Das soll sogar mit Visa-Karten im Smartphone-Wallet funktionieren.

Artikel veröffentlicht am ,
Mit einem Man-in-the-Middle-Angriff lässt sich die Visa-Karte austricksen.
Mit einem Man-in-the-Middle-Angriff lässt sich die Visa-Karte austricksen. (Bild: reynermedia/Håkan Dahlström Photography/CC-BY 2.0)

Mit vielen Kreditkarten von Visa kann kontaktlos bezahlt werden. Bis zu einem Betrag von 50 Euro in Deutschland oder 30 Pfund in Großbritannien ist keine Autorisierung mittels PIN oder Unterschrift nötig. Den Sicherheitsforschern Leigh-Anne Galloway und Tim Yunusov ist es in Großbritannien durch einen Man-in-the-Middle-Angriff (MitM) gelungen, ohne PIN und Unterschrift auch höhere Beträge von einer Kreditkarte abzubuchen. Die Angriffe sollen auch in anderen Ländern funktionieren. Zuerst hatte Forbes berichtet.

Stellenmarkt
  1. operational services GmbH & Co. KG, Braunschweig
  2. MorphoSys AG, Planegg Raum München

Die Limits von 50 Euro oder 30 Pfund dienen als Missbrauchsschutz. Die Sicherheitsforscher konnten diese Limitierungen umgehen. Mit einem speziellen Gerät klinkten sie sich in die Kommunikation zwischen Bezahlterminal und Visa-Karte ein und konnten über diesen Man in the Middle die ausgetauschten Daten abgreifen und ändern.

Um das Limit zu umgehen, mussten sie zwei Datenfelder anpassen: Zuerst teilt der Man in the Middle der Visa-Karte mit, dass eine Überprüfung nicht erforderlich ist, obwohl der Wert das Limit übersteigt. Anschließend sendet der Man in the Middle dem Bezahlterminal die Information, dass die Überprüfung bereits mit anderen Mitteln stattgefunden habe. Anschließend wird der Bezahlvorgang ohne eine Abfrage von PIN oder Unterschrift durchgeführt, obwohl der Betrag dies eigentlich erfordert.

So gelang es den Sicherheitsforschern in Großbritannien, mit 101 Pfund das Limit von 30 Pfund deutlich zu überreizen. Die Forscher vermuten, dass noch höhere Beträge möglich sind, ohne dass das Betrugserkennungssystem des Kreditkartenherstellers anschlägt. "Der Angriff kann auch mit mobilen Wallets wie Google Pay durchgeführt werden, sofern eine Visa-Karte in die Wallet aufgenommen wurde. Hier ist es sogar möglich, bis zu 30 Pfund abzubuchen, ohne das Telefon zu entsperren," schreiben die Sicherheitsforscher.

"Die Zahlungsbranche ist der Ansicht, dass kontaktlose Zahlungen durch die von ihnen eingeführten Sicherheitsvorkehrungen geschützt sind, aber Tatsache ist, dass der kontaktlose Betrug zunimmt", sagt Yunusov. "Wenn die Limits beim kontaktlosen Bezahlen so leicht umgangen werden können, kann das Kunden und Banken teuer zu stehen kommen." Allein im ersten Halbjahr 2018 sei in Großbritannien ein Schaden von 8,4 Millionen Pfund (9 Millionen Euro) durch Betrug mit kontaktlosem Bezahlen entstanden.



Anzeige
Spiele-Angebote
  1. 32,99€
  2. 0,49€
  3. 22,49€

Kurohyou 02. Aug 2019

Das ist abhängig vom Mobile Payment-System, nicht vom Hersteller. Apple Pay und Samsung...

\pub\bash0r 31. Jul 2019

[...] mit der KK kontaktlos bei McDonald's [...] Wieso ist mir die Abkürzung KKK dafür...

My1 31. Jul 2019

wieso sollte man nicht den Lesern ein Zertifikat einbauen können dass diese crypten...


Folgen Sie uns
       


Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019)

Von außen ist das Razer Blade Stealth wieder einmal unscheinbar. Das macht das Gerät für uns besonders, da darin potente Hardware steckt, etwa eine Geforce GTX 1650.

Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019) Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Minecraft Earth angespielt: Die Invasion der Klötzchen
Minecraft Earth angespielt
Die Invasion der Klötzchen

Kämpfe mit Skeletten im Stadtpark, Begegnungen mit Schweinchen im Einkaufszentrum: Golem.de hat Minecraft Earth ausprobiert. Trotz Sammelaspekten hat das AR-Spiel ein ganz anderes Konzept als Pokémon Go - aber spannend ist es ebenfalls.
Von Peter Steinlechner

  1. Microsoft Minecraft hat 112 Millionen Spieler im Monat
  2. Machine Learning Facebooks KI-Assistent hilft beim Bau von Minecraft-Werken
  3. Nvidia Minecraft bekommt Raytracing statt Super-Duper-Grafik

    •  /