© AP / Leo Correa

Digital Life
07/30/2019

Hack umgeht PIN-Abfrage bei kontaktlosen Visa-Zahlungen

Sicherheitsforscher schafften es, mehr Geld von Visa-Kreditkarten abzuheben, als üblicherweise ohne PIN-Abfrage möglich wäre.

von David Kotrba

Normalerweise kann man an kontaklosen Bezahl-Terminals nur Rechnungen ohne zusätzliche PIN-Eingabe bezahlen, die 25 Euro oder weniger ausmachen. Durch einen neuen Hack ist es aber offenbar möglich, diesen Grenzwert bei Visa-Kreditkarten zu überschreiten. Gefunden wurde die Methode durch zwei Mitarbeiter des US-Cybersecurity-Unternehmens Positive Technologies. Wie Forbes berichtet, haben sie es geschafft, in Großbritannien größere Geldbeträge von Konten abzuheben, ohne nach dem PIN-Code gefragt zu werden.

Erfolgreiche Demonstration

In Großbritannien liegt der Grenzwert für die PIN-Abfrage bei 30 Pfund. Wie die Sicherheitsforscher demonstrierten, konnten sie mit ihrer Methode aber auch ohne weiteres 31 oder 38 Pfund abheben. Bei einem Versuch konnten sie 101 Pfund abheben, ohne nach dem PIN-Code gefragt zu werden. Die Entdecker der Methode warnen davor, dass sie spezifisch bei Visa-Karten funktioniert und fordern bessere Verfahren, um Betrug zu verhindern.

Abbuchen im Vorbeigehen

Ihrer Auffassung nach könnten Cyberkriminelle mit dieser Methode etwa Konten leerräumen, wenn sie Visa-Karten gestohlen haben. Aber selbst im Vorbeigehen könnten Betrüger so an Geld gelangen. Liegt etwa eine Brieftasche unbeaufsichtigt auf einem Tisch, könnten sie einen modifizierten Bezahlterminal oder ein NFC-fähiges Smartphone kurz daraufhalten und mit einer Visa-Karte kommunizieren. Dieses Abbuchen im Vorbeigehen nennt man "Skimming".

Angeblich könnten solcherart sogar Kreditkartendaten per Smartphone an ein anderes Smartphone verschickt werden, mit dem dann ein kontaktloser Bezahlvorgang initiiert wird. Das würde das Entdecken eines betrügerischen Vorgangs zusätzlich erschweren. Visa-Karten könnten außerdem nicht nur in ihrer physischen Form attraktiv für Betrüger werden, sondern auch in ihrer digitalen Variante auf Smartphones, wo sie etwa in Bezahl-Apps wie Apple Pay gespeichert sind.

Man in the Middle

Möglich wird das Umgehen der PIN-Abfrage durch eine so genannte "Man-in-the-Middle"-Attacke. Dabei wird die Kommunikation zwischen Karte und Bezahlterminal manipuliert. Der Karte wird vorgegeben, dass auch bei Zahlungen über dem Grenzwert (25 Euro bzw. 30 Pfund) keine Verifikation (in Form eines PIN-Codes, aber auch z.B. Gesichtsscan bei Apple Pay) notwendig ist. Währenddessen wird dem Bezahlterminal mitgeteilt, dass eine Verifikation bereits stattgefunden hat.

Warum diese Form des Angriffs nur bei Visa-Karten funktioniert, liegt daran, dass Visa Banken keine verpflichtende Verifikation über dem Grenzwert vorschreibt. Alle anderen Kreditkartenanbieter tun das aber, meinen die Sicherheitsforscher. Zwar werden PIN-Codes bei Beträgen über dem Grenzwert üblicherweise auch bei Visa-Karten abgefragt, aber im Hintergrund gibt es ein Schlupfloch, das durch den Hack ausgenutzt wird.

Visa reagiert gelassen

Visa sieht allerdings keinen Grund, diese Lücke zu schließen. Das Unternehmen sieht darin keinen "skalierbaren Betrugsansatz, den Kriminelle im wirklichen Leben anwenden würden". Die Methode setze den Diebstahl einer Karte voraus. Dass ein Betrag von einer Kreditkarte ohne vorhergehenden Diebstahl abgebucht wurde, kam noch nie vor. Das bestätigt auch der britische Handelsverband UK Finance.

Die Anzahl an Betrugsfällen durch kontaktloses Zahlen (mit zuvor gestohlenen Karten) sei von 2017 bis 2018 in Großbritannien um 33 Prozent und in Europa um 40 Prozent zurückgegangen. UK Finance berichtet allerdings davon, dass die Summen, die durch Betrugsfälle mit kontaktlosem Zahlen, zustandekamen, im selben Zeitraum in Großbritannien von 14 Millionen auf 19,5 Millionen Pfund angestiegen sind.

Betrugserkennung immer besser

Dass Visa schnelle Maßnahmen ergreift, bzw. überhaupt ergreifen kann, um die von Positive Technologies aufgezeigte Sicherheitslücke zu schließen, gilt als unwahrscheinlich. Allerdings verbessern Banken ständig ihre Methoden, um Betrugsfälle wie jene automatisch zu erkennen und Bezahlvorgänge zu blockieren. Unterdessen sollte man laut den Sicherheitsforschern darauf achten, dass die eigene Visa-Karte nicht gestohlen wird. Dass "Skimming" tatsächlich eine Gefahr darstellt, halten Experten für unrealistisch.

Zur genauen Gefährdungslage in Österreich haben wir eine Anfrage bei Card Complete, dem österreichischen Anbieter von Visa-Kreditkarten, gestellt. Das Unternehmen teilt uns mit: "Das beschriebene Angriffsszenario ist in einer 'Laborsituation' entstanden und aus unserer Sicht in der Realität kaum durchführbar. Fest steht, dass uns seit Einführung der NFC-Technologie kein Missbrauchsfall mit Karten von Card Complete bekannt ist." Generell empfohlen wird aber: "Karteninhaber sollten immer sorgsam mit ihrer Kreditkarte umgehen, Diebstahl oder Verlust umgehend melden bzw. ihre Kartenumsätze prüfen."