USA: Betrug mit Apple Pay

Die Banken sind über die umfangreichen Betrugsfälle mit dem mobilen Bezahldienst überrascht. Der iPhone-Hersteller verweist darauf, dass seine Sicherheitsmechanismen nicht kompromittiert wurden. Die Betrüger nutzen das Genehmigungsverfahren aus, mit dem Kreditkarten zu Apple Pay hinzugefügt werden.

Die US-Banken, die Apple Pay unterstützen, sind über die umfangreichen Betrugsfälle mit diesem Bezahldienst überrascht. Laut Guardian summieren sich die Verluste bereits auf Millionen Dollar. Apple sieht die Schuld jedoch bei den Finanzinstituten selbst und verweist darauf, dass seine Sicherheitsmechanismen für die Bezahlung mit auf dem iPhone gespeicherten Kartendaten nicht kompromittiert wurden.

Apple-Pay-Logo (Bild: Apple)Einzelne Banken halten sich mit öffentlichen Stellungnahmen zu den Problemen zurück. Bei der Branchenkonferenz ISMG Fraud Summit erfuhr die Gartner-Analystin und Sicherheitsexpertin Avivah Litan jedoch von einer um sich greifenden Praxis von Betrügern, die fremde Kreditkartendaten auf ein iPhone laden und damit Einkäufe tätigen. Das sei zwar nicht unbedingt ein Problem von Apple Pay, da die Verantwortung für die Ausgabe von Kredit- und Debitkarten für den Bezahldienst letztlich in der Verantwortung der Finanzinstitute liege. Anwesende Banker beschwerten sich jedoch darüber, von Apple nicht genug Informationen für eine gesicherte Entscheidung zu erhalten.

„Apple Pay ist konzipiert, um extrem sicher zu sein und die persönlichen Informationen eines Nutzers zu schützen“, hielt ein Apple-Sprecher dagegen. „Während der Einrichtung verlangt Apple Pay von den Banken, eine jede Karte zu verifizieren. Die Bank trifft dann die Entscheidung, ob eine Karte zu Apple Pay hinzugefügt werden kann. Die Banken überprüfen und verbessern ständig das Genehmigungsverfahren, das von Bank zu Bank verschieden ist.“

Um mit Apple Pay zu bezahlen, müssen Anwender ihr iPhone lediglich in die Nähe eines kontaktlosen Lesegeräts halten und den Zahlvorgang über den Fingerabdruckscanner TouchID autorisieren. Apple Pay unterstützt Kredit- und Bankkarten der großen Zahlungsorganisationen American Express, Mastercard und Visa. Das Bezahlverfahren ist seit Oktober in den USA nutzbar. Er erfordert ein iPhone 6 oder 6 Plus, da sich Apple erst mit der Smartphone-Generation von 2014 zur Integration eines NFC-Funkchips entschloss, wie ihn führende Android- und Windows-Phone-Modelle seit vielen Jahren mitbringen.

Die Betrüger konnten die sichere Speicherung der Kartendaten auf dem Gerät nicht aushebeln, aber als Schwachstelle entdeckten sie das Ausgabeverfahren der Banken. „Wenn Sie eine Kredit- oder Debitkarte zu Apple Pay hinzufügen wollen, schickt Apple die verschlüsselten Daten zusammen mit anderen Informationen über Ihre iTunes-Kontoaktivitäten und das Gerät (wie den Namen Ihres Geräts, seinen gegenwärtigen Standort, und ob Sie einen langen Verlauf von Transaktionen innerhalb von iTunes haben) an Ihre Bank“, heißt es in Apples Supportseiten. „Mit dieser Information wird Ihre Bank bestimmen, ob sie das Hinzufügen Ihrer Karte zu Apple Pay genehmigt.“

HIGHLIGHT

Apple Pay stößt auf erste Hürden

Als Apple im letzten Jahr mit dem iPhone 6 sein neues Bezahlverfahren Apple Pay vorstellte, wurde die Lösung von vielen bereits als nächste Erfolgsgeschichte des US-Unternehmens gefeiert. Ganz so leicht scheint es aber auch für Apple nicht zu sein, den Mobile-Payment-Markt für sich zu erobern. Insidern zufolge verlaufen die Verhandlungen des iPhone-Herstellers in China nicht nach Wunsch. Gleichzeitig arbeitet Samsung an einer Lösung, die womöglich einen entscheidenden Vorteil hat.

Als „grünen Pfad“ bezeichnet Apple dabei die automatische Zulassung einer Karte aufgrund der übermittelten Daten. Ein „gelber Pfad“ hingegen steht für Karten, die einer weiteren Überprüfung bedürfen. Aber auch diese wird offenbar häufig auf unzureichende Weise vorgenommen. In den USA genügt in vielen Fällen ein Anruf bei einem Callcenter, bei dem die letzten vier Zeichen der Sozialversicherungsnummer abgefragt wird. Diese Nummern sollten eigentlich geheim sein, wurden aber bei Onlineangriffen zusammen mit Kreditkartendaten millionenfach entwendet und sind kriminellen Gruppen somit gebündelt zugänglich.

„Derzeit erlebt jede ausgebende Bank bei Apple Pay Kartenausgabenbetrug in erheblichem Umfang durch übernommene Kundenkonten“, schreibt in einem Blogeintrag Cherian Abraham, der US-Finanzorganisationen hinsichtlich mobiler Bezahldienste berät. Er sieht organisierte Verbrechergruppen am Werk, die Handlanger für betrügerische Käufe einsetzen – mit Schwerpunkten in Orten wie Miami und Dallas.

Zu seiner Überraschung erfuhr der Experte von häufigen Fällen, in denen Apples eigene Stores Betrügern mit dieser Methode zum Opfer fielen. Letztlich sei es aber doch nicht überraschend, da der iPhone-Hersteller besonders kostspielige Produkte im Angebot hat. Es entbehre „nicht einer gewissen Ironie, wenn ein kompromittiertes Apple-Pay-Gerät für ein anderes bezahlt – nur um auch dieses wieder in den Dienst des Betrügers zu stellen“.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Cybercrime, E-Commerce, Sicherheit, Smartphone, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu USA: Betrug mit Apple Pay

Kommentar hinzufügen
  • Am 5. März 2015 um 17:28 von Frank

    Na, das sagt doch alles: “ Aber auch diese wird offenbar häufig auf unzureichende Weise vorgenommen. In den USA genügt in vielen Fällen ein Anruf bei einem Callcenter, bei dem die letzten vier Zeichen der Sozialversicherungsnummer abgefragt wird. Diese Nummern sollten eigentlich geheim sein, wurden aber bei Onlineangriffen zusammen mit Kreditkartendaten millionenfach entwendet und sind kriminellen Gruppen somit gebündelt zugänglich.“

    Was spräche denn gegen einen Anruf beim Kunden, BEVOR die Karte in Apple Pay registriert wird? Und wie haben die Banken das denn mit den Kreditkarten gehandhabt? Ging das auch so einfach?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *