Kontaktlose Visa‑Zahlung ausgetrickst

Eset_News

Beitrag teilen

Eine Sicherheitslücke ermöglicht die Umgehung der PIN‑Abfrage bei einer kontaktlosen Visa‑Zahlung. Forscher der ETH Zürich haben eine Schwachstelle entdeckt, mit der Kriminelle Zahlungen mit Kreditkarten vornehmen könnten, ohne deren PINs zu kennen.

Ein Forscherteam der Eidgenössischen Technischen Hochschule in Zürich (ETH Zürich) hat im EMV-Protokoll für kontaktloses Bezahlen des Kreditkartenanbieters Visa eine Sicherheitslücke gefunden, die es Angreifern ermöglichen könnte, die PIN-Abfrage zu umgehen und Kreditkartenbetrug zu begehen.

Anzeige

Beim kontaktlosen Bezahlen gibt es normalerweise ein Limit bei der Bezahlung von Waren oder Dienstleistungen. Sobald es überschritten ist, fordert das Kartenterminal vom Karteninhaber eine Bestätigung per PIN. Die neue Studie mit dem Titel „The EMV Standard: Break, Fix, Verify“ zeigt jedoch, dass Kriminelle eine Kreditkarte, aufgrund eines Fehlers für betrügerische Einkäufe ausnutzen können, ohne dabei die PIN eingeben zu müssen und selbst wenn die Summe das Limit überschreitet.

Visa‑Zahlung: Demonstration der Attacke

Die Wissenschaftler demonstrierten die Machbarkeit des Angriffs mit zwei Android-Handys, einer kontaktlosen Kreditkarte und einer speziell für diesen Zweck entwickelten Android-App: „Das Telefon in der Nähe des Zahlungsterminals ist der Karten-Emulator des Angreifers, und das Telefon in der Nähe der Kreditkarte des Opfers ist der POS-Emulator des Angreifers. Die Geräte des Angreifers kommunizieren über WLAN miteinander und über NFC mit dem Terminal und der Karte “, erklärten die Forscher. Dabei sind für die App keine speziellen Root-Berechtigungen oder Android-Hacks erforderlich.

„Der Angriff besteht in einer Änderung eines Datenobjekts einer Karte – des „Card Transaction Qualifiers“ -, bevor dieser an das Terminal übermittelt wird“, heißt es im Forschungsbericht. Durch diese Änderung wird das Terminal angewiesen, dass keine PIN-Überprüfung erforderlich ist und dass der Karteninhaber bereits vom Gerät des Verbrauchers überprüft wurde.

PIN-Bypass-Attacke

Die Forscher testeten ihre PIN-Bypass-Attacke auf einem der sechs kontaktlosen EMV-Protokolle (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Sie vermuten jedoch, dass ihr Angriff auch bei den Discover- und UnionPay-Protokolle funktionieren könnte, obwohl diese in der Praxis nicht überprüft wurden. EMV, das internationale Standardprotokoll für Smartcard-Zahlungen, wird weltweit bei über 9 Milliarden Karten verwendet und laut Stand vom Dezember 2019 bei mehr als 80% aller weltweiten Transaktionen mit Karten verwendet.

Erwähnenswert ist ebenfalls, dass die Forscher den Angriff nicht nur unter Laborbedingungen getestet haben, sondern auch in Geschäften mit Visa Credit-, Visa Electron- und V-Pay-Karten erfolgreich durchführen konnten. Natürlich haben sie dabei für die Tests ihre eigenen Karten verwendet.

Attacke wird kaum bemerkt

Laut den Forschern ist es für Kassenpersonal schwierig diese Angriffe bei einer Visa‑Zahlung zu bemerken, da es Alltag ist, dass Kunden Waren mit ihren Smartphones bezahlen. Die Untersuchungen förderten auch eine weitere Sicherheitslücke zu Tage. Bei kontaktlosen Offline-Transaktionen mit alten Visa oder Mastercard-Karten konnten sie von den Karten erzeugte Daten, das sogenannte „Transaction Cryptogram“, ändern, bevor sie an das Terminal übermittelt wurden.

Diese Daten können jedoch nicht vom Terminal überprüft werden, sondern nur vom Kartenaussteller, also der Bank. Bis dahin ist der Kriminelle mit seiner Ware schon lange verschwunden. Aus ethischen Gründen wurde dieser Angriff vom Forscherteam nicht an realen Kartenterminals getestet.

Das Team hat das Unternehmen Visa natürlich über seine Entdeckungen informiert.

Mehr dazu im WeLiveSecurity-Blog bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


Passende Artikel zum Thema

Cyberangriffe kosten im Schnitt 1 Million US-Dollar

Cyberangriffe kosten Unternehmen in Deutschland fast genauso viel wie ihre jährlichen Investitionen in Cybersicherheit. Insgesamt beträgt  das durchschnittliche IT-Budget 5,9 ➡ Weiterlesen

Brillen.de meldet Datenleck mit Kundendaten

Der Anbieter Brillen.de musste seinen Kunden ein Datenleck mitteilen. So soll für eine kurze Zeit ein externer Zugriff auf Kundendaten ➡ Weiterlesen

Schwachstellen in IoT-Cloud-Plattform OvrC

Sicherheitsforscher haben insgesamt zehn Schwachstellen in der OvrC-Cloudplattform entdeckt. Dadurch war es Angreifern möglich, auf Geräte wie Kameras, Router oder ➡ Weiterlesen

Cyberangriffe auf Rekordkurs – kommt KI zu Hilfe?

Die Bedrohungslage im Bereich Cybersicherheit ist hierzulande weiterhin angespannt: Laut einer Bitkom-Umfrage aus dem Sommer waren im Erhebungszeitraum 81 Prozent ➡ Weiterlesen

eCommerce-Marktplatz im Darknet mit Black Friday 

Es ist eine Parallelwelt: Kunden bewerten in Shops im Darknet die Qualität des beworbenen Falschgelds, Handfeuerwaffe bis hin zur Panzerfaust ➡ Weiterlesen

Russische Malware-Kampagne

Im September 2024 entdeckte die Google Threat Analysis Group (TAG) und Mandiant „UNC5812“, eine mutmaßliche hybride russische Spionage- und Beeinflussungskampagne. ➡ Weiterlesen

Cyberattacken auf Gesundheitseinrichtungen nehmen zu

Eine US-amerikanische Studie zur Cybersicherheit im Gesundheitswesen hat ergeben, dass das Patientenwohl immer häufiger durch Cyberangriffe gefährdet ist. Neun von ➡ Weiterlesen

PipeMagic-Backdoor versteckt sich in ChatGPT-Anwendung

Der Trojaner PipeMagic-Backdoor kommt über eine gefälschte ChatGPT-Anwendung ins Unternehmensnetzwerk. Mit ihm können die Hacker sowohl vertrauliche Daten extrahieren als ➡ Weiterlesen