Digital Wallets ermöglichen es, mit gestohlenen Kreditkarten zu zahlen
(Foto: dennizn / Shutterstock)
Ihre Ergebnisse veröffentlichten sie in einem Artikel mit dem Titel „In Wallet We Trust: Bypassing the Digital Wallets Payment Security for Free Shopping“, welcher auf „kritische Mängel in den Authentifizierungs-, Autorisierungs- und Zugriffskontrollmechanismen wichtiger digitaler Wallet-Apps und US-Banken“ stieß.
So gelingt den Cyberkriminellen der Betrug
Darin zeigen sie auch, wie ein solches Szenario aussehen kann. Ein Angreifer stiehlt einer Person eine Kreditkarte. Anhand des Namens des Karteninhabers, der auf der Karte aufgedruckt ist, ermittelt der Angreifer anhand von Online-Datenbanken die Adresse des Opfers. Daraufhin versucht der Cyberkriminelle, die Karte zu verschiedenen digitalen Wallets hinzuzufügen.
Da Wallets unterschiedliche Authentifizierungsmethoden verwenden, ist jedes Wallet, das zur Authentifizierung eine Adresse oder Postleitzahl erfordert, für den Angriff geeignet. Sobald der Angreifer die Karte zu seinem Wallet hinzugefügt hat, kann er laut den Expert:innen damit Transaktionen durchführen, selbst wenn der Karteninhaber die Karte sperren lässt.
Expert:innen: Die Karte zu sperren, hilft nicht
Banken würden beim Authentifizierungsprozess oft Daten wie das Geburtsdatum, die letzten vier Ziffern der Sozialversicherungsnummer oder die Rechnungsadresse abfragen. An solche Daten kommen Cyberkriminelle oft über Datenleaks.
Sobald die gestohlene Karte zum Wallet des Cyberkriminellen hinzugefügt wurde, kann er damit Einkäufe tätigen. Die Karte zu sperren, hilft laut The Register nicht – denn wenn die Karte authentifiziert wird, stellt die Bank ein Token aus, das Einkäufe autorisiert und in der digitalen Wallet gespeichert wird. Derselbe Token wird auch der Ersatzkarte zugeordnet, wenn die Bank sie neu ausstellt.
Sinnvolle und weniger sinnvolle Passworttipps
Ergebnisse wurden an Banken und Anbieter weitergeleitet
„Wenn der Benutzer den Kartenverlust meldet, sperrt die Bank die verlorene Karte und stellt dem Benutzer eine neue Karte aus“, heißt es in dem Dokument. „Sie aktualisiert jedoch nicht den zugehörigen Token, sondern verknüpft den alten Token mit der neuen Karte.“ Grundsätzlich überprüfe die Bank nicht, ob das Wallet, das den aktualisierten Token erhält, auch der Karteninhaber:in gehört.
Die Sicherheitsexpert:innen erklärten, dass sie ihre Ergebnisse im April 2023 an relevante US-Banken und Anbieter digitaler Geldbörsen weitergegeben hätten. „Zum Zeitpunkt des Verfassens dieses Dokuments arbeitet Google von seiner Seite aus mit den Banken zusammen, um die gemeldeten Probleme bei Google Pay zu beheben“, heißt es in dem Dokument.
