Schadsoftware zielt auf kontaktlose Kreditkarten

Dienstag den 9.06.2015

Technik kann das Leben erleichtern, für Komplikationen sorgen und birgt mitunter Gefahren. Das gilt auch für die sogenannte Near Feald Communication (NFC). Entwickelt wurde das System, um zum Beispiel mit der Kreditkarte zu bezahlen. Die Daten werden dabei kontaktlos von der Karte oder einem NFC-fähigen Gerät an ein entsprechendes Terminal übermittelt. In der Bundesrepublik muss dazu bei Beträgen bis 25 Euro weder unterschrieben noch eine Geheimzahl eingegeben werden. So leicht der Bezahlvorgang dadurch wird: Dank Schadsoftware können sich auch Langfinger per NFC bereichern – ohne ihren Opfern nahe kommen zu müssen.

Wie das funktioniert haben die Sicherheitsforscher José Villa und Ricardo J. Rodriguez während eines Vortrags präsentiert. Grundvoraussetzung ist eine mit Malware präparierte Applikation, die auf einem Android-Smartphone installiert wird. Dass Apps Schadcode enthalten, passiert oft. Von daher raten Experten, vor der Installation von Tools und Spielen zu prüfen, ob der App-Anbieter vertrauenswürdig ist.

Läuft die Applikation, dient sie den Tätern als Proxy. Dabei handelt es sich um eine Netzwerkschnittstelle, die Daten übermittelt. Die Schadsoftware sucht von da an nach kontaktlosen Kreditkarten in der Nähe des infizierten Smartphones oder Tablets. Sobald das System anschlägt, wird der Cyberkriminelle informiert. Dann ist es an ihm, ein ebenfalls präpariertes Smartphone an ein Lesegerät zu halten. Dadurch wird eine Transaktion ausgelöst. In Deutschland ist der Schaden, wie bereits erwähnt, auf 25 Euro begrenzt. Denn bei höheren Summe müsste der Kunde die Zahlung per Unterschrift oder mit seiner persönlichen Identifikationsnummer (PIN) bestätigen.

Noch ist diese Betrugsmasche ein reines Laborexperiment und in der Praxis noch nicht aufgetaucht. Doch es gilt vorsichtig zu sein. Denn die Cyberkriminalität nimmt zu. Wie jetzt bekannt wurde, haben es Täter geschafft, einen Schädling in die Point-of-Sales-Terminals der Kassensysteme von Oracle einzunisten. Zum Einsatz kommen die Kassen hauptsächlich in den USA. Ziel der Täter: Sie greifen mit der Schadsoftware die Kreditkartendaten ab.

Egal um welchen Betrag es geht, sollte jeglicher Betrug(sversuch) dem eigenen Kreditkarteninstitut gemeldet werden. Das Verbraucherportal www.kreditkarten.net rät allen Geschädigten, auf jeden Fall das Geld von ihrer kartenführenden Bank zurückzufordern. Wenn sich payPass und payWave als unsicher erweisen, dann kann dies unter gar keinen Umständen auf dem Rücken der Verbraucher ausgetragen werden.

Einen Kommentar schreiben: