Kontaktlose Visa‑Zahlung ausgetrickst

Eset_News

Beitrag teilen

Eine Sicherheitslücke ermöglicht die Umgehung der PIN‑Abfrage bei einer kontaktlosen Visa‑Zahlung. Forscher der ETH Zürich haben eine Schwachstelle entdeckt, mit der Kriminelle Zahlungen mit Kreditkarten vornehmen könnten, ohne deren PINs zu kennen.

Ein Forscherteam der Eidgenössischen Technischen Hochschule in Zürich (ETH Zürich) hat im EMV-Protokoll für kontaktloses Bezahlen des Kreditkartenanbieters Visa eine Sicherheitslücke gefunden, die es Angreifern ermöglichen könnte, die PIN-Abfrage zu umgehen und Kreditkartenbetrug zu begehen.

Beim kontaktlosen Bezahlen gibt es normalerweise ein Limit bei der Bezahlung von Waren oder Dienstleistungen. Sobald es überschritten ist, fordert das Kartenterminal vom Karteninhaber eine Bestätigung per PIN. Die neue Studie mit dem Titel „The EMV Standard: Break, Fix, Verify“ zeigt jedoch, dass Kriminelle eine Kreditkarte, aufgrund eines Fehlers für betrügerische Einkäufe ausnutzen können, ohne dabei die PIN eingeben zu müssen und selbst wenn die Summe das Limit überschreitet.

Visa‑Zahlung: Demonstration der Attacke

Die Wissenschaftler demonstrierten die Machbarkeit des Angriffs mit zwei Android-Handys, einer kontaktlosen Kreditkarte und einer speziell für diesen Zweck entwickelten Android-App: „Das Telefon in der Nähe des Zahlungsterminals ist der Karten-Emulator des Angreifers, und das Telefon in der Nähe der Kreditkarte des Opfers ist der POS-Emulator des Angreifers. Die Geräte des Angreifers kommunizieren über WLAN miteinander und über NFC mit dem Terminal und der Karte “, erklärten die Forscher. Dabei sind für die App keine speziellen Root-Berechtigungen oder Android-Hacks erforderlich.

„Der Angriff besteht in einer Änderung eines Datenobjekts einer Karte – des „Card Transaction Qualifiers“ -, bevor dieser an das Terminal übermittelt wird“, heißt es im Forschungsbericht. Durch diese Änderung wird das Terminal angewiesen, dass keine PIN-Überprüfung erforderlich ist und dass der Karteninhaber bereits vom Gerät des Verbrauchers überprüft wurde.

PIN-Bypass-Attacke

Die Forscher testeten ihre PIN-Bypass-Attacke auf einem der sechs kontaktlosen EMV-Protokolle (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Sie vermuten jedoch, dass ihr Angriff auch bei den Discover- und UnionPay-Protokolle funktionieren könnte, obwohl diese in der Praxis nicht überprüft wurden. EMV, das internationale Standardprotokoll für Smartcard-Zahlungen, wird weltweit bei über 9 Milliarden Karten verwendet und laut Stand vom Dezember 2019 bei mehr als 80% aller weltweiten Transaktionen mit Karten verwendet.

Erwähnenswert ist ebenfalls, dass die Forscher den Angriff nicht nur unter Laborbedingungen getestet haben, sondern auch in Geschäften mit Visa Credit-, Visa Electron- und V-Pay-Karten erfolgreich durchführen konnten. Natürlich haben sie dabei für die Tests ihre eigenen Karten verwendet.

Attacke wird kaum bemerkt

Laut den Forschern ist es für Kassenpersonal schwierig diese Angriffe bei einer Visa‑Zahlung zu bemerken, da es Alltag ist, dass Kunden Waren mit ihren Smartphones bezahlen. Die Untersuchungen förderten auch eine weitere Sicherheitslücke zu Tage. Bei kontaktlosen Offline-Transaktionen mit alten Visa oder Mastercard-Karten konnten sie von den Karten erzeugte Daten, das sogenannte „Transaction Cryptogram“, ändern, bevor sie an das Terminal übermittelt wurden.

Diese Daten können jedoch nicht vom Terminal überprüft werden, sondern nur vom Kartenaussteller, also der Bank. Bis dahin ist der Kriminelle mit seiner Ware schon lange verschwunden. Aus ethischen Gründen wurde dieser Angriff vom Forscherteam nicht an realen Kartenterminals getestet.

Das Team hat das Unternehmen Visa natürlich über seine Entdeckungen informiert.

Mehr dazu im WeLiveSecurity-Blog bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


Passende Artikel zum Thema

Deepfake-Phishing mit CEO-Imitation

Vor Kurzem wurde bekannt, dass ein Mitarbeiter eines Entwicklungsunternehmens für Passwortmanager das Ziel eines Deepfake-Phishing-Angriffs wurde, bei dem sich der ➡ Weiterlesen

Unerkannte Risiken in cyber-physischen Systemen

38 Prozent der risikoreichsten cyber-physischen Systeme (CPS) werden von traditionellen Schwachstellenmanagement-Ansätzen übersehen. Zu diesem Ergebnis kommt ein neuer Report eines ➡ Weiterlesen

Hersteller verpflichten sich zu Secure by Design

Secure by Design ist eine Aktion der amerikanische Cybersecurity and Infrastructure Security Agency - kurz CISA. Dabei verpflichten sich Security ➡ Weiterlesen

Hacker knacken Europol-Diskussions-Plattform

In einem Darkweb-Forum präsentierten Hacker ganz Stolz ihre Beute: Informationen, die nur für den dienstlichen Gebrauch sind. Hacker haben die ➡ Weiterlesen

StrelaStealer-Kampagne attackiert Unternehmen

Die neue StrelaStealer-Kampagne stellt trotz der geringen Qualität der Täuschung eine ernstzunehmende Bedrohung für Organisationen in der EU und den ➡ Weiterlesen

Phishing: Wie gut wehren Chrome, Edge, Firefox Angriffe ab? 

Das Labor AV-Comparatives hat moderne Browser untersucht und deren Abwehrfähigkeit für Phishing untersucht. Das Ergebnis zeigt, dass selbst moderne Browser ➡ Weiterlesen

Security: Chrome Enterprise Browser als Endpoint-Schutz

Google Cloud Next hat eine neue Verteidigungslinie für Unternehmen: den Chrome Enterprise Premium-Browser. Der Endpoint-Schutz findet dabei laut Google direkt ➡ Weiterlesen

Android 12, 13 und 14: Neue Schwachstellen entdeckt 

Das Android-Sicherheitsbulletin Mai 2024 zeigt eine lange Liste an hochgefährlichen Schwachstellen in Google Android 12, 12L, 13 und 14. Eine ➡ Weiterlesen