Kontaktloses Bezahlen: Forscher hacken Höchstgrenze
Einfach die Karte vor dem Bezahlterminal in der Luft schwenken: Kontaktloses Bezahlen verringert die Wartezeiten an der Kassa und wird immer beliebter. Für die Datenübertragung zwischen Karte und Bezahlterminal kommt eine Technologie namens Near Field Communication (NFC) zum Einsatz. Ganz risikolos war sie schon bisher nicht, denn günstige mobile Bezahlterminals gibt es um wenige Euro zu kaufen und können auch von Dieben missbraucht werden.
Kleine Beträge können aus wenigen Zentimetern Entfernung berührungslos von der Karte gezogen werden – sogar während die Karte im Geldbörsel in der Hosentasche steckt. Eine gute Videodemonstration dazu gibt es von c’t-Redakteur Jan-Keno Janssen hier.
Limit überschritten
In Österreich beträgt die Höchstgrenze für kontaktlose Zahlungsvorgänge 25 Euro, in Großbritannien 30 Pfund. Zwei britische Sicherheitsforscher haben nun einen Weg gefunden, dieses Limit für das kontaktlose Bezahlen bei zumindest einem Kreditkarten-Anbieter zu überschreiten.
Der Hack funktioniert mittels eines Geräts, das sich in die - schlecht gesicherte - Funkkommunikation zwischen NFC-Kreditkarte und NFC-Bezahlterminal einklinkt. Es setzt die beiden dort existierenden Sicherheitschecks außer Kraft.
NFC
NFC-fähige Karten erkennt man an diesem Symbol
Der Kreditkarte täuscht das Gerät der Forscher vor, dass eine Verifizierung (z.B. durch PIN-Eingabe) trotz Überschreitung der Höchstgrenze nicht nötig sei. Dem Bezahlterminal wiederum wird die falsche Information geliefert, dass die Verifizierung bereits erfolgt sei.
Der Hack funktioniert außerdem auch bei Smartphone-Payment-Systemen, die mit einer Kreditkarte verknüpft sind: statt der PIN-Eingabe können dann auch biometrische Verifizierungsmethoden wie Fingerabdruck und Gesichtserkennung übersprungen werden.
Das Nachrichtenportal Forbes berichtet, dass die Kreditkartengesellschaft Visa über den Hack Bescheid weiß, aber derzeit kein Sicherheitsupdate plant. Ein Sprecher des Konzerns missverstand offenbar auch noch beim Interview mit dem Forbes-Journalisten das Risiko, denn er sagte: „Eine wesentliche Einschränkung bei dieser Art von Angriff ist, dass eine physisch gestohlene Karte dafür notwendig ist.“ Gerade dies ist aber nicht der Fall, da die britischen Sicherheitsforscher bewiesen haben, dass alle für den Angriff notwendigen Informationen kontaktlos via NFC erlangt werden können.
Drei Methoden, um sich zu schützen
Tipp 1: Bei der Bank oder Kreditkartenfirma um eine Karte ohne NFC-Funktion bitten. Bisher haben zumindest die österreichischen Banken noch welche herausgegeben. Ob das auch in Zukunft so bleiben wird, ist fraglich, da Karten ohne NFC-Funktion vielleicht bald nicht mehr hergestellt werden.
Tipp 2: Es kann helfen, mehrere NFC-fähige Karten ins Geldbörsel stecken. Für das Bezahlterminal eines Angreifers ist es dann schwierig, die verschiedenen Funksignale auseinanderzuhalten. Garantie dafür, dass das funktioniert, gibt es aber keine. Auf jeden Fall sollten die Karten im Börsel direkt aufeinander liegen. Unter Umständen pickt sich das Bezahltermimal trotzdem eines der Signale heraus.
Tipp 3: Sicherer ist es, die Karte in eine der zahlreich vorhandenen NFC-Schutzhüllen zu stecken.
Publiziert am 02.08.2019
