Britische Forscher weisen auf NFC-Lücke bei Visa-Kreditkarten hin

Forscher der Newcastle University haben eine Methode entdeckt, wie sich das vorgegebene Limit von Visa-Kreditkarten beim kontaktlosen Bezahlen via NFC umgehen lässt. Wird die Transaktion in einer ausländischen Währung getätigt, sind auch höhere Abhebungsbeträge bis zu einem Wert von 999.999,99 möglich. Theoretisch könnte ein Dieb auf diese Weise mit einer gestohlenen Visa-Karte ohne PIN oder Unterschrift Zahlungen in dieser Höhe durchführen.

Die für das kontaktlose Bezahlen geeigneten Visa-Karten verfügen über einen Cryptoprozessor und einen RFID-Chip, der das Einschieben in ein Lesegerät überflüssig macht. Für europäische Debitkarten gilt bei Kontaktlos-Zahlungen generell ein festes Limit für Transaktionen. Dieses beträgt in Deutschland 25 Euro, in Großbritannien 20 Euro und in Irland 15 Euro. Für höhere Beträgt ist eine PIN oder Unterschrift erforderlich. In den USA, wo Visa die Technik unter dem Namen payWave vermarktet, wird das Limit zur Nutzung ohne PIN hingegen vom jeweiligen Händler bestimmt.

Laut den britischen Sicherheitsforschern wird die Obergrenze nur in der nativen Währung des Käufers geprüft und jeder Betrag bis zu 999.999,99 einer Fremdwährung akzeptiert. Visa zufolge müssen Käufer aber regelmäßig eine PIN eingeben, auch wenn der Kaufbetrag unter diesem Limit liegt.

Gegenüber der BBC erklärte Visa Europe, dass die Forscher „nicht die mehreren eingerichteten Sicherheitsmaßnahmen berücksichtigt“ hätten und dass es sehr schwer sei, „diese Art Transaktionen außerhalb von Laborbedingungen durchzuführen“. Das Team um Martin Emms verteidigt jedoch den Wert seiner Forschung.

Bei einer Demonstration für die BBC verwendete Emms ein Bezahlterminal-Programm auf einem Android-Smartphone. Weil Währung und Wert in dem kontaktlosen Lesegerät eingegeben werden müssen, erscheint es aber unwahrscheinlich, dass sich der beschriebene Angriff in einem Ladengeschäft durchführen lässt – außer das Terminal wurde zuvor manipuliert.

Emms hatte schon zuvor auf Sicherheitslücken beim kontaktlosen Bezahlen mit Bank- und Kreditkarten hingewiesen. Im Mai 2013 wies er nach, dass einige Funk-Bezahlterminals, die auch kontaktbasierte Chip- und PIN-Karten akzeptieren, Kontaktloskarten in der Nähe auslesen können, wenn der Käufer eigentlich mit einer herkömmlichen Karte bezahlen will. Auf der Website von Visa Europe heißt es mittlerweile dazu, dass Sicherheitsmaßnahmen solche und ähnliche Fehler verhindern.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

6 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

22 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago