News

Visa: Sicherheitsexperten hacken 50-Euro-Limit bei kontaktlosem Bezahlen ohne PIN

(Foto: Shutterstock)

Britischen Forschern ist es gelungen, die 50-Euro-Grenze beim kontaktlosen Bezahlen mit Visa-Karten auszuhebeln. Das Unternehmen plant laut Medienberichten nicht, die Lücke zu schließen.

Kontaktloses Bezahlen findet immer mehr Anhänger, insbesondere angesichts der Tatsache, dass inzwischen ein hoher Prozentsatz der Kassen das einfache Hinhalten der Karte zum Auslesen des Chips unterstützt. Dabei reicht bei kleineren Geldbeträgen, je nach Karte und Einstellung, oftmals das reine Hinhalten der Karte ohne Angabe einer weiteren PIN oder sonstigen Legitimierung.

Den Forschern Leigh-Anne Galloway und Tim Yunusov aus Großbritannien ist es nun gelungen, den auf normalerweise 50 Euro in Deutschland (und 30 Pfund in Großbritannien) beschränkten Maximalbetrag für kontaktloses Bezahlen ohne PIN-Eingabe zu umgehen. Es handelt sich dabei offenbar um einen Man-in-the-Middle-Angriff, bei dem der Kriminelle die Karte des Opfers nicht stehlen muss. Schlecht gesichert sei vielmehr, so heißt es, die NFC-Übertragung zwischen den Karten und den Lesegeräten. Für den Geldtransfer sei weder die Karte selbst noch die PIN erforderlich, auch eine Unterschrift werde nicht verlangt.

Die Karte suggeriert, dass eine Überprüfung bereits stattgefunden habe

Nach Angaben von Positive Technologies, dem Arbeitgeber der beiden Sicherheitsexperten, werden hierfür zwei Datenfelder manipuliert, die jeweils mit Sicherheitsüberprüfungsmechanismen verbunden sind. Dabei suggeriert die Umgehung der Gegenstelle, dass eine zusätzliche Verifizierung, wie sie sonst normalerweise angefordert wird, nicht erforderlich sei, weil diese bereits stattgefunden habe. Der Trick funktioniert offenbar bei sämtlichen Zahlungsauslösungen, also etwa auch, wenn die Kreditkarte für Google Pay oder einen anderen Third-Party-Zahlungsdienst verwendet wird.

Die Forscher erklären, dass sie den Hack mit mehreren Kreditkarten unterschiedlicher Personen durchgeführt hätten. Obwohl alle Zahlungen in Pfund erfolgt seien, sei die Methode auch in anderen Ländern und Währungen möglich. Obwohl jeweils nur ein Pfund mehr als der mögliche Maximalbetrag gezahlt worden sei (mit Ausnahme eines Falls, in dem 101 Pfund transferiert wurden), gehen die Sicherheitsexperten davon aus, dass der Trick auch mit deutlich höheren Beträgen funktioniert.

Visa will keine Maßnahmen ergreifen – Szenario sei unrealistisch

Natürlich lässt sich mit diesem Trick ein hoher Schaden anrichten – doch Visa selbst will laut Berichten von Forbes dennoch keine technischen Veränderungen vornehmen. Das beschriebene Verfahren sei, so ein Visa-Sprecher, unrealistisch und mit hohem Aufwand verbunden. Es sei zudem keine skalierbare Methode, die man bei Kriminellen beobachten könne. Entgegen der Forscher ist der Visa-Sprecher der Meinung, dass hierfür ein Diebstahl der Karte erforderlich sei.

Das könnte dich auch interessieren: 

 

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung