Banken und Geldinstitute liefern immer mehr Bankomat- und Kreditkarten mit kontaktloser Bezahlfunktion aus. Stets wird betont, dass durch die Integration von NFC keine Sicherheitsrisiken zu befürchten sind. Doch nun haben Forscher der britischen Newcastle University eine möglicherweise schwere Lücke bei Visa-Karten und dem für sie verwendeten Zahlungsprotokoll gefunden und auf der ACM Conference on Computer and Communications Security vorgestellt.

Fremdwährung hebelt Transaktionslimit aus

Ein Angreifer muss zum Ausnutzen des Fehlers den gewünschten Betrag in einer Fremdwährung vorab festlegen. Damit wird ein etwaiges Transaktionslimit für kontaktlose Bezahlvorgänge (in Großbritannien 20 Pfund, in Österreich 25 Euro) ausgehebelt. Die Summe darf umgerechnet nicht höher als 999.999,99 US-Dollar sein, berichtet die BBC.

Mit einem präparierten Point-of-Sale-Terminal oder Smartphone mit NFC-Unterstützung lässt sich dann die Überweisung initiieren, wobei die Bestätigung durch die Bank laut Paper-Autor Martin Emms in weniger als einer Sekunde erfolgte. Mit entsprechend realistischen Beträgen und Zielorten – etwa Flughäfen – würden die Transaktionen glaubwürdig wirken und könnten so potenziell erst später entdeckt werden.

Mögliche Gefahr

Aus diesem Grunde sei auch nicht damit zu rechnen, dass Kriminelle nun versuchen, mit Millionenüberweisungen reich zu werden. Als wahrscheinlich ist stattdessen anzunehmen, dass Angreifer versuchen, über die Überweisung von vielen kleinen Beträgen ihre Taschen zu füllen. Unklar ist, ob auch andere Kartenanbieter von dieser Schwäche betroffen sind.

Visa beschwichtigt

Seitens Visa ist man um Beschwichtigung bemüht. Entgegen der Sorgen der Wissenschaftler erklärt man, dass es kaum möglich ist, derartige Angriffe im Alltag erfolgreich durchzuführen und dass bei dem Experiment mehrere Sicherheitsmechanismen, auf die man zurückgreife, nicht berücksichtigt wurden. (gpi, derStandard.at, 03.11.2014)