Visa-Hack: Mehr bezahlen als erlaubt

Mit Visa-Karten können kleinere Beträge bis zu einem Limit ohne PIN und Unterschrift bezahlt werden. Sicherheitsforscher konnten auch größere Beträge ohne Autorisierung abbuchen. Das soll sogar mit Visa-Karten im Smartphone-Wallet funktionieren.

Artikel veröffentlicht am ,
Mit einem Man-in-the-Middle-Angriff lässt sich die Visa-Karte austricksen.
Mit einem Man-in-the-Middle-Angriff lässt sich die Visa-Karte austricksen. (Bild: reynermedia/Håkan Dahlström Photography/CC-BY 2.0)

Mit vielen Kreditkarten von Visa kann kontaktlos bezahlt werden. Bis zu einem Betrag von 50 Euro in Deutschland oder 30 Pfund in Großbritannien ist keine Autorisierung mittels PIN oder Unterschrift nötig. Den Sicherheitsforschern Leigh-Anne Galloway und Tim Yunusov ist es in Großbritannien durch einen Man-in-the-Middle-Angriff (MitM) gelungen, ohne PIN und Unterschrift auch höhere Beträge von einer Kreditkarte abzubuchen. Die Angriffe sollen auch in anderen Ländern funktionieren. Zuerst hatte Forbes berichtet.

Stellenmarkt
  1. Produktdatenmanager (m/w/d) Bereich: Produkt- / Variantenkonfiguration
    ROMA KG, Burgau bei Ulm
  2. Consultant Virtualisierung (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
Detailsuche

Die Limits von 50 Euro oder 30 Pfund dienen als Missbrauchsschutz. Die Sicherheitsforscher konnten diese Limitierungen umgehen. Mit einem speziellen Gerät klinkten sie sich in die Kommunikation zwischen Bezahlterminal und Visa-Karte ein und konnten über diesen Man in the Middle die ausgetauschten Daten abgreifen und ändern.

Um das Limit zu umgehen, mussten sie zwei Datenfelder anpassen: Zuerst teilt der Man in the Middle der Visa-Karte mit, dass eine Überprüfung nicht erforderlich ist, obwohl der Wert das Limit übersteigt. Anschließend sendet der Man in the Middle dem Bezahlterminal die Information, dass die Überprüfung bereits mit anderen Mitteln stattgefunden habe. Anschließend wird der Bezahlvorgang ohne eine Abfrage von PIN oder Unterschrift durchgeführt, obwohl der Betrag dies eigentlich erfordert.

So gelang es den Sicherheitsforschern in Großbritannien, mit 101 Pfund das Limit von 30 Pfund deutlich zu überreizen. Die Forscher vermuten, dass noch höhere Beträge möglich sind, ohne dass das Betrugserkennungssystem des Kreditkartenherstellers anschlägt. "Der Angriff kann auch mit mobilen Wallets wie Google Pay durchgeführt werden, sofern eine Visa-Karte in die Wallet aufgenommen wurde. Hier ist es sogar möglich, bis zu 30 Pfund abzubuchen, ohne das Telefon zu entsperren," schreiben die Sicherheitsforscher.

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    17.01.2023, virtuell
Weitere IT-Trainings

"Die Zahlungsbranche ist der Ansicht, dass kontaktlose Zahlungen durch die von ihnen eingeführten Sicherheitsvorkehrungen geschützt sind, aber Tatsache ist, dass der kontaktlose Betrug zunimmt", sagt Yunusov. "Wenn die Limits beim kontaktlosen Bezahlen so leicht umgangen werden können, kann das Kunden und Banken teuer zu stehen kommen." Allein im ersten Halbjahr 2018 sei in Großbritannien ein Schaden von 8,4 Millionen Pfund (9 Millionen Euro) durch Betrug mit kontaktlosem Bezahlen entstanden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Kurohyou 02. Aug 2019

Das ist abhängig vom Mobile Payment-System, nicht vom Hersteller. Apple Pay und Samsung...

\pub\bash0r 31. Jul 2019

[...] mit der KK kontaktlos bei McDonald's [...] Wieso ist mir die Abkürzung KKK dafür...

My1 31. Jul 2019

wieso sollte man nicht den Lesern ein Zertifikat einbauen können dass diese crypten...



Aktuell auf der Startseite von Golem.de
Japan und die Digitalisierung
Immer noch zu analog

Japan ist bekannt für Hightech und Roboter. Bei der Digitalisierung liegt man aber hinter anderen Industriestaaten, viele Arbeitsprozesse sind bis heute analog.
Ein Bericht von Felix Lill

Japan und die Digitalisierung: Immer noch zu analog
Artikel
  1. Amazon Shopper Panel: Amazon zahlt für Überwachung des Smartphone-Datenverkehrs
    Amazon Shopper Panel
    Amazon zahlt für Überwachung des Smartphone-Datenverkehrs

    Wer seinen gesamten Smartphone-Datenverkehr über Amazons Server leitet, wird mit einem monatlichen Gutschein dafür bezahlt.

  2. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

  3. Konflikt mit den USA: Snowden verteidigt seine russische Staatsbürgerschaft
    Konflikt mit den USA
    Snowden verteidigt seine russische Staatsbürgerschaft

    Eigentlich wollte Edward Snowden parallel die US-amerikanische Staatsbürgerschaft behalten - das wurde ihm unmöglich gemacht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /