Die kontaktlose Zahlung per Karte funktioniert in der Regel nur bis zu 30 bis 50 Euro ohne PIN-Code. Der PIN-Code wird normalerweise für teure Zahlungsvorgänge benötigt. Dies soll den Missbrauch gestohlener Karten begrenzen. Forscher der ETH Zürich haben jedoch gezeigt, dass diese PIN-Anfrage zumindest mit Visa-Karten leicht umgangen werden kann.

Der Angriff basiert auf einem sogenannten “Mann in der Mitte” (MITM), der sich zwischen dem Zahlungsterminal und der Karte einschließt und die Transaktion manipuliert. Genauer gesagt wird diese MITM-Funktion von zwei Mobiltelefonen unterstützt, die über WLAN miteinander kommunizieren und auf denen jeweils eine von den Forschern entwickelte Anwendung ausgeführt wird.

Der Kartenemulator links und der Point-of-Sale-Emulator rechts fungieren als der Mann in der Mitte für eine Zahlung in Höhe von umgerechnet 190 US-Dollar.

(Bild: ETH, Basin et al.)

Ein Handy simuliert eine Karte oder ein Smartphone mit einer Zahlungsfunktion. Der Angreifer bewahrt es im Zahlungsterminal des Geschäfts auf. Anschließend werden alle Transaktionsdaten über WLAN an das zweite Mobiltelefon übertragen. Diese befindet sich in unmittelbarer Nähe der Visa-Karte, mit der Sie bezahlen möchten. Auf der anderen Seite behauptet es, das Zahlungsterminal zu sein.

Der entscheidende Punkt ist, dass MITM die Transaktion im Prozess manipulieren kann. Die Anwendung ändert genau 2 Bits im Datenstrom. Somit versichert das MITM dem Zahlungsterminal, dass keine Online-Überprüfung des PIN-Codes stattfinden muss, da der Kunde sich auf dem Smartphone korrekt identifiziert hat (Überprüfung des Karteninhabers über das Verbrauchergerät). Dies funktioniert, weil der EMV-Standard die Zahlung mit dem Smartphone vorsieht, bei dem sich der Besitzer mit dem PIN-Code seines Smartphones oder einer Methode wie FaceID identifiziert.

Auf diese Weise konnten Forscher Produkte von fast jedem Preis mit Visa-Karten kaufen, ohne den PIN-Code der Karte eingeben zu müssen. Sie haben dies mehrfach in Geschäften demonstriert, die mit echten Zahlungsterminals ausgestattet sind. Sie benutzten dafür ihre eigenen Visa-Karten. Aber es könnten genauso gut gestohlene Karten oder Karten gewesen sein, mit denen der Angreifer es geschafft hat, das Handy nahe genug heran zu bringen, erklären David Basin et al.

Die Methode erinnert an Angriffe auf Kreditkarten, die zuvor von Kriminellen verwendet wurden und bei denen Lötchips die Rolle des MITM übernahmen. Der Fehler von Visa besteht darin, dass die Manipulation von MITM nicht bemerkt wird, da die geänderten Daten nicht kryptografisch gesichert sind. Mastercard macht es offensichtlich anders; Mit ihren Karten scheiterten die Angriffe der Schweizer Forscher.

Interessant ist auch, dass die Forscher diesen Angriff mithilfe eines formalisierten Sicherheitsscans gefunden haben, wie in ihrem Artikel beschrieben. Der EMV-Standard: brechen, reparieren, prüfen erklären. Sie bieten auch eine relativ einfache Lösung, bei der bereits ausgestellte Karten nicht gewechselt werden müssen.

Die Schlussfolgerung der Forscher ist jedoch ein schwerer Schlag ins Gesicht der Bemühungen der Banken, die Verantwortung für Kartenbetrug auf andere zu verlagern: “Unser Angriff zeigt, dass die PIN für kontaktlose Visa-Zahlungsmethoden unbrauchbar ist Daher sollte unserer Meinung nach die Verantwortung der Banken übertragen werden. Kunden und Händler bei solchen Transaktionen sind nicht gerechtfertigt. Für solche missbräuchlichen Transaktionen sind Banken, EMVCo, Visa [..] sind verantwortlich und nicht Kunden oder Händler. “”


(ju)

Zur Homepage

READ  FritzBox Support-Off: Welche AVM-Router erhalten keine Updates mehr