USA: Betrug mit Apple Pay

Die US-Banken, die Apple Pay unterstützen, sind über die umfangreichen Betrugsfälle mit diesem Bezahldienst überrascht. Laut Guardian summieren sich die Verluste bereits auf Millionen Dollar. Apple sieht die Schuld jedoch bei den Finanzinstituten selbst und verweist darauf, dass seine Sicherheitsmechanismen für die Bezahlung mit auf dem iPhone gespeicherten Kartendaten nicht kompromittiert wurden.

Einzelne Banken halten sich mit öffentlichen Stellungnahmen zu den Problemen zurück. Bei der Branchenkonferenz ISMG Fraud Summit erfuhr die Gartner-Analystin und Sicherheitsexpertin Avivah Litan jedoch von einer um sich greifenden Praxis von Betrügern, die fremde Kreditkartendaten auf ein iPhone laden und damit Einkäufe tätigen. Das sei zwar nicht unbedingt ein Problem von Apple Pay, da die Verantwortung für die Ausgabe von Kredit- und Debitkarten für den Bezahldienst letztlich in der Verantwortung der Finanzinstitute liege. Anwesende Banker beschwerten sich jedoch darüber, von Apple nicht genug Informationen für eine gesicherte Entscheidung zu erhalten.

„Apple Pay ist konzipiert, um extrem sicher zu sein und die persönlichen Informationen eines Nutzers zu schützen“, hielt ein Apple-Sprecher dagegen. „Während der Einrichtung verlangt Apple Pay von den Banken, eine jede Karte zu verifizieren. Die Bank trifft dann die Entscheidung, ob eine Karte zu Apple Pay hinzugefügt werden kann. Die Banken überprüfen und verbessern ständig das Genehmigungsverfahren, das von Bank zu Bank verschieden ist.“

Um mit Apple Pay zu bezahlen, müssen Anwender ihr iPhone lediglich in die Nähe eines kontaktlosen Lesegeräts halten und den Zahlvorgang über den Fingerabdruckscanner TouchID autorisieren. Apple Pay unterstützt Kredit- und Bankkarten der großen Zahlungsorganisationen American Express, Mastercard und Visa. Das Bezahlverfahren ist seit Oktober in den USA nutzbar. Er erfordert ein iPhone 6 oder 6 Plus, da sich Apple erst mit der Smartphone-Generation von 2014 zur Integration eines NFC-Funkchips entschloss, wie ihn führende Android- und Windows-Phone-Modelle seit vielen Jahren mitbringen.

Die Betrüger konnten die sichere Speicherung der Kartendaten auf dem Gerät nicht aushebeln, aber als Schwachstelle entdeckten sie das Ausgabeverfahren der Banken. „Wenn Sie eine Kredit- oder Debitkarte zu Apple Pay hinzufügen wollen, schickt Apple die verschlüsselten Daten zusammen mit anderen Informationen über Ihre iTunes-Kontoaktivitäten und das Gerät (wie den Namen Ihres Geräts, seinen gegenwärtigen Standort, und ob Sie einen langen Verlauf von Transaktionen innerhalb von iTunes haben) an Ihre Bank“, heißt es in Apples Supportseiten. „Mit dieser Information wird Ihre Bank bestimmen, ob sie das Hinzufügen Ihrer Karte zu Apple Pay genehmigt.“

Als „grünen Pfad“ bezeichnet Apple dabei die automatische Zulassung einer Karte aufgrund der übermittelten Daten. Ein „gelber Pfad“ hingegen steht für Karten, die einer weiteren Überprüfung bedürfen. Aber auch diese wird offenbar häufig auf unzureichende Weise vorgenommen. In den USA genügt in vielen Fällen ein Anruf bei einem Callcenter, bei dem die letzten vier Zeichen der Sozialversicherungsnummer abgefragt wird. Diese Nummern sollten eigentlich geheim sein, wurden aber bei Onlineangriffen zusammen mit Kreditkartendaten millionenfach entwendet und sind kriminellen Gruppen somit gebündelt zugänglich.

„Derzeit erlebt jede ausgebende Bank bei Apple Pay Kartenausgabenbetrug in erheblichem Umfang durch übernommene Kundenkonten“, schreibt in einem Blogeintrag Cherian Abraham, der US-Finanzorganisationen hinsichtlich mobiler Bezahldienste berät. Er sieht organisierte Verbrechergruppen am Werk, die Handlanger für betrügerische Käufe einsetzen – mit Schwerpunkten in Orten wie Miami und Dallas.

Zu seiner Überraschung erfuhr der Experte von häufigen Fällen, in denen Apples eigene Stores Betrügern mit dieser Methode zum Opfer fielen. Letztlich sei es aber doch nicht überraschend, da der iPhone-Hersteller besonders kostspielige Produkte im Angebot hat. Es entbehre „nicht einer gewissen Ironie, wenn ein kompromittiertes Apple-Pay-Gerät für ein anderes bezahlt – nur um auch dieses wieder in den Dienst des Betrügers zu stellen“.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.