Sicherheitsforscher zeigen eine Lücke bei Visa-Karten.

Foto: ap/Srakocic

So ziemlich jede Bankomat- und Kreditkarte verfügt mittlerweile über NFC: Near Field Communication erlaubt es, Daten auszutauschen. Auf diese Weise ist es möglich, kontaktlos zu bezahlen, ohne einen PIN-Code eingeben zu müssen oder zu unterschreiben – zumindest bis zu einer gewissen, von Land zu Land abweichenden Summe.

Wie "Heise" nun berichtet, ist es Sicherheitsforschern aus Großbritannien gelungen, diese Grenze bei Visa-Kreditkarten zu umgehen und einen Betrag in beliebiger Höhe abzubuchen. In Österreich liegt sie eigentlich, sofern nicht geändert, bei 25 Euro, im Vereinigten Königreich bei 30 Pfund.

Janusangriff

Dafür sei es laut der Sicherheitsfirma Positive Technologies nicht notwendig, die Karte erst zu entwenden. Stattdessen wird ein nicht näher beschriebenes Gerät genutzt, das aus einer gewissen Distanz in die NFC-Kommunikation eingreift, schreibt das Unternehmen in einer Pressemitteilung.

Dabei handle es sich um einen "Man in the middle"-Angriff, einer Attacke, die in den Datenverkehr zwischen zwei Kommunikationspartnern eingreift. Bei fünf verschiedenen Banken sei es möglich gewesen, das 30-Pfund-Limit zu überschreiten. Der Angriff funktioniere, indem zwei Datenfelder, die zwischen Karte und Terminal bei einer Bezahlung ausgetauscht werden, manipuliert werden.

Verifizierung umgehen

Einerseits ist nach der Überschreitung der 30 Pfund eine Verifizierung notwendig – die Karte sendet ansonsten laut der Firma den Befehl, dass sie keine Zahlung durchführen kann ("I can’t do that). Zweitens gibt es die länderspezifische Einstellung, die vorsieht, dass sich eben der Besitzer der Karte ausweist, etwa durch Eingabe eines PIN-Codes.

Das Gerät gaukele der offenbar unsicheren NFC-Verbindung vor, das keine Verifizierung notwendig ist. Diese sei auf eine andere Weise bereits getätigt worden. Möglich sei das, weil Visa von Geldnehmern nicht verlangt, Zahlungen zu blockieren, bei denen keine Prüfung erfolgt ist. Dies sei auch bei Mobile Wallets wie beispielsweise Apple Pay oder Google Pay möglich.

Visa wolle nichts ändern

"Forbes" ließ sich von den Sicherheitsforschern überzeugen. Vor dem Medium demonstrierten die Forscher den Angriff auf drei verschiedene Karten. Visa selbst gab an, die Lücke nicht zu schließen – so sei der Aufwand für den Angriff sowieso zu hoch. Laut den Forschern stimme jedoch das Argument des Sprechers nicht, dass erst die Karte gestohlen werden müsste, um den Angriff durchzuführen

Sicherheitslücke bei NFC?

Im vergangenen Jahr präsentierte Heises Computermagazin "c't" in einem Bericht, wie leicht es ist, NFC-Karten abzufischen. Dafür wurde ein Terminal um 29 Euro genutzt, welches Bezahlungen unbemerkt durch Jeans oder Ledergeldbörse durchführen kann. Jedoch wird eine solche Methode für herkömmliche Diebe wohl dadurch erschwert, dass das gestohlene Geld einen Ort braucht, wohin es überwiesen wird. Hierfür benötigt man ein Girokonto, welches die Spur direkt zum Täter führen würde. (red, 1.8.2019)