Kontaktlose Visa‑Zahlung ausgetrickst

Eset_News

Beitrag teilen

Eine Sicherheitslücke ermöglicht die Umgehung der PIN‑Abfrage bei einer kontaktlosen Visa‑Zahlung. Forscher der ETH Zürich haben eine Schwachstelle entdeckt, mit der Kriminelle Zahlungen mit Kreditkarten vornehmen könnten, ohne deren PINs zu kennen.

Ein Forscherteam der Eidgenössischen Technischen Hochschule in Zürich (ETH Zürich) hat im EMV-Protokoll für kontaktloses Bezahlen des Kreditkartenanbieters Visa eine Sicherheitslücke gefunden, die es Angreifern ermöglichen könnte, die PIN-Abfrage zu umgehen und Kreditkartenbetrug zu begehen.

Anzeige

Beim kontaktlosen Bezahlen gibt es normalerweise ein Limit bei der Bezahlung von Waren oder Dienstleistungen. Sobald es überschritten ist, fordert das Kartenterminal vom Karteninhaber eine Bestätigung per PIN. Die neue Studie mit dem Titel „The EMV Standard: Break, Fix, Verify“ zeigt jedoch, dass Kriminelle eine Kreditkarte, aufgrund eines Fehlers für betrügerische Einkäufe ausnutzen können, ohne dabei die PIN eingeben zu müssen und selbst wenn die Summe das Limit überschreitet.

Visa‑Zahlung: Demonstration der Attacke

Die Wissenschaftler demonstrierten die Machbarkeit des Angriffs mit zwei Android-Handys, einer kontaktlosen Kreditkarte und einer speziell für diesen Zweck entwickelten Android-App: „Das Telefon in der Nähe des Zahlungsterminals ist der Karten-Emulator des Angreifers, und das Telefon in der Nähe der Kreditkarte des Opfers ist der POS-Emulator des Angreifers. Die Geräte des Angreifers kommunizieren über WLAN miteinander und über NFC mit dem Terminal und der Karte “, erklärten die Forscher. Dabei sind für die App keine speziellen Root-Berechtigungen oder Android-Hacks erforderlich.

„Der Angriff besteht in einer Änderung eines Datenobjekts einer Karte – des „Card Transaction Qualifiers“ -, bevor dieser an das Terminal übermittelt wird“, heißt es im Forschungsbericht. Durch diese Änderung wird das Terminal angewiesen, dass keine PIN-Überprüfung erforderlich ist und dass der Karteninhaber bereits vom Gerät des Verbrauchers überprüft wurde.

PIN-Bypass-Attacke

Die Forscher testeten ihre PIN-Bypass-Attacke auf einem der sechs kontaktlosen EMV-Protokolle (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Sie vermuten jedoch, dass ihr Angriff auch bei den Discover- und UnionPay-Protokolle funktionieren könnte, obwohl diese in der Praxis nicht überprüft wurden. EMV, das internationale Standardprotokoll für Smartcard-Zahlungen, wird weltweit bei über 9 Milliarden Karten verwendet und laut Stand vom Dezember 2019 bei mehr als 80% aller weltweiten Transaktionen mit Karten verwendet.

Erwähnenswert ist ebenfalls, dass die Forscher den Angriff nicht nur unter Laborbedingungen getestet haben, sondern auch in Geschäften mit Visa Credit-, Visa Electron- und V-Pay-Karten erfolgreich durchführen konnten. Natürlich haben sie dabei für die Tests ihre eigenen Karten verwendet.

Attacke wird kaum bemerkt

Laut den Forschern ist es für Kassenpersonal schwierig diese Angriffe bei einer Visa‑Zahlung zu bemerken, da es Alltag ist, dass Kunden Waren mit ihren Smartphones bezahlen. Die Untersuchungen förderten auch eine weitere Sicherheitslücke zu Tage. Bei kontaktlosen Offline-Transaktionen mit alten Visa oder Mastercard-Karten konnten sie von den Karten erzeugte Daten, das sogenannte „Transaction Cryptogram“, ändern, bevor sie an das Terminal übermittelt wurden.

Diese Daten können jedoch nicht vom Terminal überprüft werden, sondern nur vom Kartenaussteller, also der Bank. Bis dahin ist der Kriminelle mit seiner Ware schon lange verschwunden. Aus ethischen Gründen wurde dieser Angriff vom Forscherteam nicht an realen Kartenterminals getestet.

Das Team hat das Unternehmen Visa natürlich über seine Entdeckungen informiert.

Mehr dazu im WeLiveSecurity-Blog bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


Passende Artikel zum Thema

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

KI-Sicherheitsmemorandum in den USA

Die KI-Sicherheit steht an einem Wendepunkt. Das erste National Security Memorandum (NSM) für künstliche Intelligenz markiert einen wichtigen Meilenstein – ➡ Weiterlesen

Deutschland gibt über 10 Milliarden Euro für Cybersicherheit aus

Angesichts der zunehmenden Bedrohung durch Cyberangriffe investiert Deutschland verstärkt in IT-Sicherheit. Im laufenden Jahr steigen die entsprechenden Ausgaben um 13,8 ➡ Weiterlesen

KRITIS-Dachgesetz beschlossen

Das Bundeskabinett hat das KRITIS-Dachgesetz beschlossen. Mit ihm soll der Schutz kritischer Infrastrukturen etwa in den Bereichen Energie, Verkehr oder ➡ Weiterlesen

Cyberkriminelle stehlen Cookies

Die FBI-Abteilung Atlanta warnt die Öffentlichkeit, dass Cyberkriminelle sich Zugang zu E-Mail-Konten verschaffen, indem sie Cookies vom Computer des Opfers ➡ Weiterlesen

2025 mehr Angriffe mit KI, Quantenbedrohungen und Deepfakes

Eine Prognose für 2025 geht davon aus, dass Unternehmen zunehmend neue Technologien einführen, während KI-gesteuerte Angriffe, Quantenbedrohungen und Schwachstellen in ➡ Weiterlesen