Schwachstelle beim kontaktlosen Bezahlen mit Visa Karten über NFC Schnittstellen

Das „kon­takt­lo­se“ Bezah­len wird immer belieb­ter. Dadurch das PIN-Ein­ga­be oder Unter­schrift ent­fal­len und die Kar­te nur ans Lese­ge­rät gehal­ten wer­den muss, ist es bequem und ein­fach. Das Ver­fah­ren fin­det daher immer mehr Zuspruch. Jedoch gera­de bei sol­chen Ver­fah­ren ist beson­de­re Sorg­falt gebo­ten. Kri­mi­nel­le könn­ten im Besitz der Kar­te schnell klei­ne­re Beträ­ge abhe­ben. Das erhöht den ohne­hin hohen Zeit­druck beim Sper­ren der Kar­ten. Der Ver­lust muss ja erst­mal fest­ge­stellt werden.

Image by Alexas_​Fotos from Pixabay

In Deutsch­land kann man über die Near­field Com­mu­ni­ca­ti­on (NFC) Schnitt­stel­le Beträ­ge bis 25 EUR bzw. bis 50 EUR bezah­len. Bri­ti­sche For­scher haben die­se Gren­ze bei Visa Kar­ten umge­hen können.

Laut Bericht ist ein Gerät für einen „Man-in-the-midd­le“ Angriff not­wen­dig, also ein Ein­drin­gen in die Kom­mu­ni­ka­ti­ons­ver­bin­dung zwi­schen Ter­mi­nal und Karte.

Dabei mani­pu­liert das Gerät die Daten­strö­me Rich­tung Kar­te und Ter­mi­nal, um den Sperr­me­cha­nis­mus für den Höchst­be­trag zu umge­hen. Der Besitz der Kar­te ist dafür nicht not­wen­dig. (sie­he Grafik)

Der Visa Kar­te sen­det der Angrei­fer die Infor­ma­ti­on: „kei­ne zusätz­li­che Veri­fi­zie­rung nötig“ (trotz Über­schrei­ten der Gren­ze). Das Ter­mi­nal erhält das Signal: „Ver­fi­zie­rung bereits erfolgt“. Das gan­ze funk­tio­niert, bei ent­spre­chen­der Ver­knüp­fung wohl auch bei Bezahl­diens­ten ande­rer Anbieter.

sche­ma­ti­sche Dar­stel­lung „Man-in-the-midd­le“ Angriff

Hier der ent­spre­chen­den Arti­kel auf heise.de: Link

Aus mei­ner Bewer­tung han­delt es sich um einen eher auf­wen­di­gen Angriff, da sich der Angrei­fer im Radi­us des NFC-Signals befin­den muss. Die­ser ist weni­ge Zen­ti­me­ter groß. Zudem ist für die Kon­fi­gu­ra­ti­ons des Angreif­er­ge­räts tech­ni­sches Wis­sen der NFC und der Kom­mu­ni­ka­ti­ons­for­ma­te von Kar­te und Ter­mi­nal notwendig.

Da die NFC bei neue­ren Kar­ten grund­sätz­lich akti­viert und die Über­tra­gung unver­schlüs­selt statt­fin­det hilft es sich mit den Gefah­ren auseinanderzusetzen.

Das Bedeu­tet bei­spiels­wei­se frem­de Per­so­nen auf Abstand zu hal­ten beim Bezahl­vor­gang. Es gibt auch Berich­te, dass über vor­her kon­fi­gu­rier­te Ter­mi­nals Geld im Vor­bei­ge­hen gestoh­len wer­den kann. Jedoch erhal­ten Ter­mi­nals, wenn meh­re­re Kar­ten mit NFC erkannt wer­den eine Fehlermeldung.

Grund­sätz­lich hilft wie sooft ein gesun­des Maß an Vor­sicht und gesun­den Men­schen­ver­stand zu nut­zen. Vor allem ist Eile bei sen­si­blen Vor­gän­gen, wie dem kon­takt­lo­sen Bezah­len ein schlech­ter Begleiter.