Kontaktlose Visa‑Zahlung ausgetrickst

Eset_News

Beitrag teilen

Eine Sicherheitslücke ermöglicht die Umgehung der PIN‑Abfrage bei einer kontaktlosen Visa‑Zahlung. Forscher der ETH Zürich haben eine Schwachstelle entdeckt, mit der Kriminelle Zahlungen mit Kreditkarten vornehmen könnten, ohne deren PINs zu kennen.

Ein Forscherteam der Eidgenössischen Technischen Hochschule in Zürich (ETH Zürich) hat im EMV-Protokoll für kontaktloses Bezahlen des Kreditkartenanbieters Visa eine Sicherheitslücke gefunden, die es Angreifern ermöglichen könnte, die PIN-Abfrage zu umgehen und Kreditkartenbetrug zu begehen.

Beim kontaktlosen Bezahlen gibt es normalerweise ein Limit bei der Bezahlung von Waren oder Dienstleistungen. Sobald es überschritten ist, fordert das Kartenterminal vom Karteninhaber eine Bestätigung per PIN. Die neue Studie mit dem Titel „The EMV Standard: Break, Fix, Verify“ zeigt jedoch, dass Kriminelle eine Kreditkarte, aufgrund eines Fehlers für betrügerische Einkäufe ausnutzen können, ohne dabei die PIN eingeben zu müssen und selbst wenn die Summe das Limit überschreitet.

Visa‑Zahlung: Demonstration der Attacke

Die Wissenschaftler demonstrierten die Machbarkeit des Angriffs mit zwei Android-Handys, einer kontaktlosen Kreditkarte und einer speziell für diesen Zweck entwickelten Android-App: „Das Telefon in der Nähe des Zahlungsterminals ist der Karten-Emulator des Angreifers, und das Telefon in der Nähe der Kreditkarte des Opfers ist der POS-Emulator des Angreifers. Die Geräte des Angreifers kommunizieren über WLAN miteinander und über NFC mit dem Terminal und der Karte “, erklärten die Forscher. Dabei sind für die App keine speziellen Root-Berechtigungen oder Android-Hacks erforderlich.

„Der Angriff besteht in einer Änderung eines Datenobjekts einer Karte – des „Card Transaction Qualifiers“ -, bevor dieser an das Terminal übermittelt wird“, heißt es im Forschungsbericht. Durch diese Änderung wird das Terminal angewiesen, dass keine PIN-Überprüfung erforderlich ist und dass der Karteninhaber bereits vom Gerät des Verbrauchers überprüft wurde.

PIN-Bypass-Attacke

Die Forscher testeten ihre PIN-Bypass-Attacke auf einem der sechs kontaktlosen EMV-Protokolle (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Sie vermuten jedoch, dass ihr Angriff auch bei den Discover- und UnionPay-Protokolle funktionieren könnte, obwohl diese in der Praxis nicht überprüft wurden. EMV, das internationale Standardprotokoll für Smartcard-Zahlungen, wird weltweit bei über 9 Milliarden Karten verwendet und laut Stand vom Dezember 2019 bei mehr als 80% aller weltweiten Transaktionen mit Karten verwendet.

Erwähnenswert ist ebenfalls, dass die Forscher den Angriff nicht nur unter Laborbedingungen getestet haben, sondern auch in Geschäften mit Visa Credit-, Visa Electron- und V-Pay-Karten erfolgreich durchführen konnten. Natürlich haben sie dabei für die Tests ihre eigenen Karten verwendet.

Attacke wird kaum bemerkt

Laut den Forschern ist es für Kassenpersonal schwierig diese Angriffe bei einer Visa‑Zahlung zu bemerken, da es Alltag ist, dass Kunden Waren mit ihren Smartphones bezahlen. Die Untersuchungen förderten auch eine weitere Sicherheitslücke zu Tage. Bei kontaktlosen Offline-Transaktionen mit alten Visa oder Mastercard-Karten konnten sie von den Karten erzeugte Daten, das sogenannte „Transaction Cryptogram“, ändern, bevor sie an das Terminal übermittelt wurden.

Diese Daten können jedoch nicht vom Terminal überprüft werden, sondern nur vom Kartenaussteller, also der Bank. Bis dahin ist der Kriminelle mit seiner Ware schon lange verschwunden. Aus ethischen Gründen wurde dieser Angriff vom Forscherteam nicht an realen Kartenterminals getestet.

Das Team hat das Unternehmen Visa natürlich über seine Entdeckungen informiert.

Mehr dazu im WeLiveSecurity-Blog bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


Passende Artikel zum Thema

Report: 40 Prozent mehr Phishing weltweit

Der aktuelle Spam- und Phishing-Report von Kaspersky für das Jahr 2023 spricht eine eindeutige Sprache: Nutzer in Deutschland sind nach ➡ Weiterlesen

BSI legt Mindeststandard für Webbrowser fest

Das BSI hat den Mindeststandard für Webbrowser für die Verwaltung überarbeitet und in der Version 3.0 veröffentlicht. Daran können sich ➡ Weiterlesen

Tarnkappen-Malware zielt auf europäische Unternehmen

Hacker greifen mit Tarnkappen-Malware viele Unternehmen in ganz Europa an. ESET Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen via ➡ Weiterlesen

IT-Security: Grundlage für LockBit 4.0 entschärft

in Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in der Entwicklung befindliche und unveröffentlichte Version ➡ Weiterlesen

MDR und XDR via Google Workspace

Ob im Cafe, Flughafen-Terminal oder im Homeoffice – Mitarbeitende arbeiten an vielen Orten. Diese Entwicklung bringt aber auch Herausforderungen mit ➡ Weiterlesen

Test: Security-Software für Endpoints und Einzel-PCs

Die letzten Testergebnisse aus dem Labor von AV-TEST zeigen eine sehr gute Leistung von 16 etablierten Schutzlösungen für Windows an ➡ Weiterlesen

FBI: Internet Crime Report zählt 12,5 Milliarden Dollar Schaden 

Das Internet Crime Complaint Center (IC3) des FBI hat seinen Internet Crime Report 2023 veröffentlicht, der Informationen aus über 880.000 ➡ Weiterlesen

HeadCrab 2.0 entdeckt

Die seit 2021 aktive Kampagne HeadCrab gegen Redis-Server infiziert mit neuer Version weiterhin erfolgreich Ziele. Der Mini-Blog der Kriminellen im ➡ Weiterlesen