Wer mit Karte zahlt, muss typischerweise bei Verwendung der drahtlosen NFC-Funktion den PIN bei kleineren Beträgen nicht eingeben. Die Grenze liegt zumeist zwischen 30 und 50 Euro, dann muss der Nutzer authentifiziert werden. Das soll verhindern, dass Kartendiebe nicht das gesamte Bankkonto leershoppen können. Wie Forscher der ETH Zürich allerdings nun herausgefunden haben, lässt sich dieser Schutzmechanismus bei Visa-Karten umgehen – und offenbar ist es auch nicht besonders schwierig, wie "Heise" berichtet.

Demnach setzten die Sicherheitsforscher auf eine sogenannte "Man in the Middle"-Attacke, bei der ein Angreifer zwischen zwei Schnittstellen eingreift. Konkret werden zwei Handys genutzt, die sich zwischen der Karte und dem Bezahlterminal einschleichen und vorgaukeln, dass die Bezahlung regulär ablaufe. Diese kommunizieren via WLAN miteinander und nutzen selbst entwickelte Apps der Forscher. Eines der beiden Smartphones erscheint vor dem Terminal wie eine Karte oder ein Smartphone mit NFC-Bezahlfeature. Es gibt vor, dass die PIN nicht eingegeben werden muss, weil der Nutzer sich sowieso am Smartphone bereits identifiziert habe.

EMV-Standard mangelhaft

Möglich ist das, weil der EMV-Standard, der von Visakarten genutzt wird – und Karten von Mastercard, bei denen der Angriff allerdings offenbar nicht funktioniert –, vorsieht, dass Nutzer sich mittels anderer Verifikationsmethoden wie beispielsweise FaceID ausweisen. Die Transaktionsdaten, die dadurch gesammelt werden, werden an das zweite Gerät weitergeleitet, dort zahlt man wiederum regulär mithilfe der Visakarte. So ist es möglich, Ware mit beliebigem Preis einzukaufen, ohne je mit Sicherheitsmaßnahmen konfrontiert zu sein – auch bei gestohlenen Karten.

Die Forscher schlagen auch eine Methode, um die Lücke zu beheben vor und kritisieren Banken im allgemein: Denn Kunden und Geschäfte haften bei solchen Transaktionen, aus ihrer Sicht seien in dem Fall aber Visa und Co schuld, da nicht ausreichend ausgeprägte Schutzmechanismen implementiert wurden. (red, 30.8.2020)