Kontaktloses Bezahlen mit Visa

Forscher umgehen Bezahllimit ohne PIN-Abfrage und Unterschrift

Das kontaktlose Bezahlen in Deutschland erfreut sich wachsender Beliebtheit. Verschiedene Forscher decken die Sicherheitslücken des Visa-Bezahlsystems auf. Erfahren Sie hier mehr!

Visa Paywave Mobile
Visa Paywave Mobile (© Visa Inc.)

Das kontaktlose Bezahlen in Deutschland erfreut sich wachsender Beliebtheit. Das kontaktlose Bezahlen per Kreditkarte oder via Smartphone spart vor allem Zeit an der Kasse. Bei Beträgen von 25 Euro oder weniger reicht es, die Bezahlkarte einfach an das Kassenterminal zu halten.
Die Zahlung erfolgt via Near Field Communication ohne PIN-Eingabe oder Unterschrift. 
Verschiedene Forscher decken Sicherheitslücken des Visa-Bezahlsystems auf. 

Manipulation des Visa-Grenzwertes

Zwei Mitarbeiter des US-Unternehmens Positive Technologies haben es bereits im Oktober 2019 geschafft, dieses Grenzlimit zu umgehen. Es gelang ihnen bei Visa-Kreditkarten auch größere Beträge ohne weitere Verifizierung abzubuchen. 
Für diesen Hack verwendeten die Forscher ein spezielles Gerät, mit dem die Kommunikation zwischen dem Lesegerät und der Karte gestört wird. Dabei wird dem Gerät, auch bei einer Überschreitung des Grenzbetrages, vorgetäuscht, dass für die Buchung keine PIN-Eingabe notwendig sei. Das Bezahlterminal wird hinsichtlich der Verifizierung so manipuliert, als wäre diese bereits erfolgt. Dasselbe Prinzip funktioniert bei einer kontaktlosen Bezahlung via Smartphone. 

Manipulation durch Handy-Bezahlung

Forscher der ETH Zürich decken nun ein weiteres Verfahren auf, welches die kontaktlose Bezahlung ohne PIN und Unterschrift auch bei höheren Beträgen ermöglicht. Für diese Methode verwendeten die Forscher zwei Mobiltelefone sowie eine selbstentwickelte App. Das erste Handy dient zum Vorhalten an das Bezahlterminal, während sich das zweite unauffällig in der Nähe befindet. Beide Telefone sind dabei mittels WLAN-Verknüpfung verbunden. Wird der Bezahlvorgang gestartet, leitet das erste Mobiltelefon die Daten des Terminals an das zweite Handy weiter, welches in tatsächlicher Verbindung mit der Visa-Zahlungskarte steht. Durch den Einsatz des dritten Geräts, ist eine Manipulation der übertragenden Datensätze möglich. Werden diese schließlich duch die entwickelte App auf dem Zweit-Handy verändert, wird dem Terminal vorgegaukelt, dass eine entsprechende PIN-Eingabe nicht notwendig sei. Dieses Verfahren ist jedoch nur möglich, da eine PIN-Eingabe bei den gängigen Bezahlmethoden mittels Smartphone in der Regel aufgrund der individuellen Verifizierung durch beispielsweise Fingerabdruck oder Face ID überflüssig ist.

Forscher fordern Beseitigung der Sicherheitslücke

Laut den britischen Sicherheitsforschern stellen diese Ergebnisse ein hohes Risiko für den Missbrauch von Kreditkarten dar. So könnten Betrüger mit dieser Methode sowohl bei Diebstahl der Karte an fremdes Geld der Nutzer gelangen, als auch durch das simple Vorbeigehen Geld von unwissenden Personen abbuchen. Es ist sogar möglich auf diese Weise fremde Kreditkartendaten abzufangen und an ein weiteres Gerät zu versenden. 
Visa ist diese Sicherheitslücke nach Aussage des Wirtschaftsmagazins Forbes bereits bekannt.
Allerdings plant das Zahlungskartenunternehmen keine weiteren Schritte um dieses Risiko zu beseitigen, da in den letzten Jahren keine vergleichbaren Missbrauchsversuche gemeldet worden sind. Gegen die Aussage der Sicherheitsmitarbeiter argumentiert Visa zudem mit einem geringen Risiko, weil Betrüger für einen derartigen Missbrauchsfall die physische Karte benötigen. 

Tipp So können Sie sich schützen

Bewahren Sie wenn möglich mehrere NFC-fähige Karten in Ihrem Geldbeutel auf. Auf diese Weise erschweren Sie es unautorisierten Personen, die verschiedenen Funksignale der einzelnen Karten zu unterscheiden. Außerdem gibt es spezielle Hüllen für Ihre Kreditkarten, die sie vor einem kontaktlosen Datenabgriff schützen.

Sabrina Savelkouls

100 Kreditkarten im Vergleich

Worauf legen Sie bei Kreditkarten Wert?

Top-Ratgeber-Themen

Aktuelle Ratgeber-Themen