Visa-Karten unsicher: Forscher knacken PIN-Schutz bei kontaktlosem Bezahlen

3 Minuten
Ist kontaktloses Bezahlen wirklich sicher? Zumindest bei Visa lautet die Antwort „nein“. Denn Forschern der ETH Zürich gelang es, die PIN-Abfrage bei kontaktlosem Bezahlen mittels einer Visa-Karte zu umgehen. Und die angewandte Methode ist sogar vergleichsweise simpel.
Kontaktloses Bezahlen mit Visa
Visa: Kontaktloses Bezahlen nicht sicherBildquelle: multifacetedgirl / Pixabay

Auf seiner Website bewirbt Visa die Kontaktloses-Bezahlen-Funktion als „bequem und sicher“. Wie wahrheitsgetreu insbesondere das zweite Versprechen ist, ist allerdings fraglich. Denn Forscher der ETH Zürich haben das Bezahlsystem nicht nur generell austricksen können, sondern es gelang ihnen auch, die PIN-Abfrage zu umgehen. Somit war es ihnen möglich, fremde Visa-Karten zu nutzen und mit diesen Produkte in jeglicher Preiskategorie ohne die normalerweise unumgängliche Eingabe einer PIN zu erwerben.

Visas NFC-Chip gehackt

Grundsätzlich lassen sich in Deutschland Produkte im Wert von bis zu 50 Euro kontaktlos und ohne PIN oder Unterschrift bezahlen. Die Höhe des Limits kann teilweise sogar individuell ausgewählt werden, doch diese Beschränkung lässt sich zumindest bei Visa-Karten aushebeln. Wie Heise Online berichtet, nutzten die Forscher einen sogenannten Man-in-the-Middle-Angriff. Dabei bediente man sich zwei per WLAN miteinander verbundenen Smartphones. Eines der Geräte wurde an das Bezahlterminal gehalten, während sich das andere in der Nähe der Visa-Karte befinden musste. Letzteres gab sich als Bezahlterminal aus und wurde auch so von der Visa-Karte wahrgenommen. Dadurch konnten Transaktionen auch aus der Ferne eingeleitet werden.

Zusätzlich dazu veränderte eine spezielle App die übertragenen Daten. Für das tatsächliche Bezahlterminal schien es darum so, als hätte sich der Nutzer bereits über das Smartphone – also beispielsweise per Fingerabdruck oder Face-ID – verifiziert. Folglich bedurfte es keiner weiteren PIN-Eingabe mehr.

Diese Methode haben die Forscher auch in der Praxis erfolgreich angewandt. Allerdings gelang dies laut Heise Online nur bei Visa-Karten, bei denen die veränderten Daten nicht kryptografisch gesichert sind. Bei Mastercards hatten die „Angreifer“ dagegen keinen Erfolg.

Deutsche wollen kontaktlos bezahlen

Die aktuelle Sicherheitslücke kann mit vergleichsweise geringem Aufwand geschlossen werden. Allerdings unterstreicht sie, dass die Technologie insgesamt noch alles andere als wirklich sicher ist. Schließlich handelt es sich bei Visa um eines der größten Unternehmen für Zahlungskarten, das sicherlich große Summen in die digitale Sicherheit von Transaktionen investiert hat.

Das ist auch unter einem anderen Aspekt problematisch. Denn deutsche Bürger nutzen laut einer repräsentativen Umfrage des Digitalverbands Bitkom angesichts der Corona-Kriese verstärkt das kontaktlose Bezahlen. Rund 75 Prozent der Befragen (ab 16 Jahren) gaben an, Bargeldzahlungen so oft es irgendwie möglich ist, vermeiden zu wollen. 71 Prozent wünschten sich zudem mehr Möglichkeiten, kontaktlos bezahlen zu können.

Kontaktloses Bezahlen: Umfrage
Bitkom-Umfrage zu kontaktlosem Bezahlen

Kontaktloses bezahlen ist nicht generell unsicher

Bevor du kontaktloses Bezahlen als gänzlich unsicher abstempelst: Sämtliche virtuellen Transaktionen können keine absolute Sicherheit vorweisen. Alle Systeme, die an das Internet angeschlossen sind, lassen sich hacken – es gibt also immer ein gewisses Risiko. Bei kontaktlosem Bezahlen kannst du dieses Risiko jedoch auch selbst minimieren, wenn du die Zahlungskarte in einer speziellen NFC-Schutzhülle aufbewahrst. Diese blockiert ein- und ausgehende Signale und bietet somit einen gewissen, zusätzlichen Schutz gegen Man-in-the-Middle-Angriffe.

Deine Technik. Deine Meinung.

2 KOMMENTARE

  1. Nur Bares ist Wahres. Mag retro klingen, aber ist nun mal die Lösung, wo die wenigsten Daten anfallen. Kein Tracking, keine Werbung, sauber

Und was sagst du?

Bitte gib Dein Kommentar ein!
Bitte gibt deinen Namen hier ein

geschützt durch reCAPTCHA Datenschutzerklärung - Nutzungsbedingungen

VERWANDTE ARTIKEL