NFC-Lücke bei Visa-Kreditkarten festgestellt

(Bild: Visa)

Wie britische Forscher an der Newcastle University herausgefunden haben, lässt sich das eigentlich recht geringe Limit von etwa 25 Euro beim kontaktlosen Bezahlen via NFC mit Visa-Kreditkarten simpel umgehen. Die Transaktion muss lediglich in einer ausländischen Währung getätigt werden - schon sind Abhebungsbeträge bis zu einem Wert von 999.999,99 möglich.

Im Falle der us-amerikanischen Dollar entspräche dies einer Zahlung von rund 800.000 Euro, die beispielsweise ein Dieb mit einem Mal ohne PIN oder einer Unterschrift mit gestohlener Visa-Karte angeblich durchführen könnte. Diese Kreditkarten verfügen über einen Cryptoprozessor und einen RFID-Chip, der dem Nutzer kontaktloses Zahlen wie bei Apple Pay ermöglicht. Die Karte muss also nicht mehr in das Lesegerät gesteckt werden.

Für europäische Debitkarten gilt bei solchen Kontaktlos-Zahlungen aus Sicherheitsgründen ein festes Limit für Transaktionen. In Deutschland beträgt dies etwa 25 Euro, in Großbritannien 20 Euro und in Irland 15 Euro. Wer höhere Summen zu bezahlen hat, muss also trotzdem die bekannte Methode mit PIN oder Unterschrift verwenden. In den USA, wo Visa die Technik unter dem Namen payWave vermarktet, wird das Limit zur Nutzung ohne PIN hingegen vom jeweiligen Händler bestimmt.

Laut den britischen Sicherheitsforschern wird die Obergrenze nur in der nativen Währung des Käufers geprüft und jeder Betrag bis zu 999.999,99 einer Fremdwährung akzeptiert. Visa zufolge müssen Käufer aber regelmäßig eine PIN eingeben, auch wenn der Kaufbetrag unter diesem Limit liegt.

Gegenüber der BBC erklärte Visa Europe, dass die Forscher “nicht die mehreren eingerichteten Sicherheitsmaßnahmen berücksichtigt” hätten und dass es sehr schwer sei, “diese Art Transaktionen außerhalb von Laborbedingungen durchzuführen”. Das Team um Martin Emms verteidigt jedoch den Wert seiner Forschung.

Bei einer Demonstration für die BBC verwendete Emms ein Bezahlterminal-Programm auf einem Android-Smartphone. Weil Währung und Wert in dem kontaktlosen Lesegerät eingegeben werden müssen, erscheint es aber unwahrscheinlich, dass sich der beschriebene Angriff in einem Ladengeschäft durchführen lässt – außer das Terminal wurde zuvor manipuliert.

Emms hatte schon zuvor auf Sicherheitslücken beim kontaktlosen Bezahlen mit Bank- und Kreditkarten hingewiesen. Im Mai 2013 wies er nach, dass einige Funk-Bezahlterminals, die auch kontaktbasierte Chip- und PIN-Karten akzeptieren, Kontaktloskarten in der Nähe auslesen können, wenn der Käufer eigentlich mit einer herkömmlichen Karte bezahlen will. Auf der Website von Visa Europe heißt es mittlerweile dazu, dass Sicherheitsmaßnahmen solche und ähnliche Fehler verhindern.

Tipp: Wie sicher bist du bei der Sicherheit? Überprüfe dein Wissen – mit 15 Fragen auf silicon.de

Tags :Quellen:Bild: VisaNewcastle UniversityVia:Mit Material von Björn Greif, ZDNet.de
  1. Kann man diese risikoreiche NFC / RFID Funktion in Kreditkarten eigentlich abschalten (lassen)?

    Oder wird man durch die Banken gezwungen mit diesen Risiken zu leben?

    1. Ich wollte die funktion abschalten lassen, gehe nicht hies es vom Kartenherausgeber. Hab es schriftlich.
      Ich nütze NFC nicht. Sollte eine NFC-Zahlung auf der Abrechnung erscheine, werde ich diese ablehnen.

      1. Abschirmen durch Faradayschen Käfig ist ein Ansatz.
        Es gibt bereits Kreditkarten-Etuis aus Metall, die es sicher und bequem gewährleisten.
        Die schützen auch Magnetcodestreifen auf Kreditkarten vor starken Magneten.
        Auf Reisen zu empfehlen, den starke Neodym Magnete finden immer mehr Verbreitung.
        http://www.ebay.de/sch/i.html?_odkw=kreditkarten+etui+metall&_sop=15&_from=R40&_trkparms=65%253A12%257C66%253A2%257C39%253A6%257C72%253A6426&_osacat=0&_from=R40&_trksid=p2045573.m570.l1313.TR0.TRC0.H0.Xkreditkarten+etui+%28metall%2C+stahl%2C+alu%29&_nkw=kreditkarten+etui+%28metall%2C+stahl%2C+alu%29&_sacat=0

  2. Szenario:
    Kriminelle bringen versteckt einen NFC- Zahlungs- Terminal,
    in der Nähe von einen normalen Karten- Zahlung POS Terminal an.
    Z.B. unter der Tisch / Theken- Platte. Eigentlich muss nur die NFC- Lesespule nah angebracht werden. Der Rest kann weiter abgesetzt liegen.

    Und diese Konstruktion belastet über NFC automatisch jede dort benutzte Kreditkarte mit nur 20 Euro…
    Z.B. in einer Tanke oder im Supermarkt, wo pro Tag Hunderte Karten vorbeigeführt werden…

    Die Banken- Wirtschaft MUSS eine Abschalt- Option für NFC anbieten!

    1. An die REDAKTION !
      Bitte mein Kommentar vom 08 Nov 2014 um 12:51 schnellstmöglich löschen,
      den es könnte Kriminelle zum Umsetzen inspirieren.
      Den WIR wollen keine Tipps für Verbrechen unterstützen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising