Sicherheitslücke bei NFC-Kreditkarten

Dienstag den 11.11.2014

Kontaktlos mit der Kreditkarte zu bezahlen, ist eine noch relativ junge Technik, die erst nach und nach in den Geschäften Einzug hält. Statt die Karte in ein Terminal zu stecken und den Vorgang mit der Geheimzahl zu bestätigen, reicht es, Master- und Visa-Card kurz vor ein Lesegerät zu halten. Bei Kleinbeträgen bis 25 Euro bedarf es dazu nicht einmal der persönlichen Identifikationsnummer (PIN). Diesen Umstand könnten Kriminelle künftig ausnutzen. Denn die Sperre von 25 Euro lässt sich offenbar umgehen, wie Tests der Newcastle Universität ergaben.

Geringe Beträge quasi im Vorbeigehen zu begleichen, wird von den Kreditkartenfirmen als praktisch und modern gepriesen. Ist es sicherlich auch. Doch zu 100 Prozent ausgereift sind das System und die Sicherheitsmaßnahmen offenbar noch nicht. In England haben es Forscher geschafft, die Sperre von dort 20 Pfund außer Kraft zu setzen und die betroffene Kreditkarte mit bis zu 999.999,99 Euro zu belasten. Die Fremdwährung deshalb, weil die Betrugsabteilungen der Unternehmen diese Buchungen nicht sofort entdecken.

Nach Aussagen der Universität reiche es, mit dem Smartphone die Tasche des Opfers, in der sich die Kreditkarte befindet, zu berühren oder sie kurz anzustoßen. Dadurch werde die Transaktion ausgelöst und abgeschlossen. Die Aufgabe des Terminals übernimmt dabei das Smartphone. Eine exakte Anleitung kursiert noch nicht im Internet. Lange dürfte es aber nicht dauern, bis Kriminelle aktiv werden. „Momentan ist beim Kartenbetrug noch der Magnetstreifen die einfachste Methode. Da er aber zunehmend an Bedeutung verliert, wird die Funktion des kontaktlosen Bezahlens das nächste Ziel der Kriminellen werden“, so die Forscher.

Die Kreditkartenunternehmen weisen diesbezüglich auf ihre Sicherheitsmechanismen hin. Anfällig sind in erster Linie VISA-Karten mit NFC-Funktion. Die Lücke selbst besteht indes auch bei Mastercard. Dort sorgen allerdings zusätzliche Sicherheitsmaßnahmen dafür, dass die Täter sich nicht bereichern können. Entscheidend dürfte auch sein, ob es sich um aufgeladenes Guthaben handelt oder ob der Betrag später vom Girokonto abgebucht wird.

Einen Kommentar schreiben: