NFC: Forscher entdecken Lücke bei Visa-Kreditkarten

Wie sich das vorgegebene Limit von Visa-Kreditkarten bei Transaktionen in ausländischer Währung beim kontaktlosen Bezahlen via NFC umgehen lässt, haben jetzt britische Forscher herausgefunden. Ein Dieb könnte so theoretisch mit einer gestohlenen Karte ohne Pin und Unterschrift eine Zahlung im Wert von 999.999,99 vornehmen.

Eine Methode, wie sich das vorgegebene Limit von Visa-Kreditkarten beim kontaktlosen Bezahlen via NFC umgehen lässt, haben jetzt Forscher der Newcastle University entdeckt. Wenn die Transaktion in einer ausländischen Währung getätigt wird, sind auch höhere Abhebungsbeträge bis zu einem Wert von 999.999,99 möglich. Theoretisch könnte ein Dieb auf diese Weise mit einer gestohlenen Visa-Karte ohne PIN oder Unterschrift Zahlungen in dieser Höhe durchführen.

Laut Forschern der Newcastle University ist das kontaktlose Bezahlen per Visa-Karte unsicher (Bild: Visa)

Laut Forschern der Newcastle University ist das kontaktlose Bezahlen per Visa-Karte unsicher (Bild: Visa)

Die Visa-Karten, die für das kontaktlose Bezahlen geeignet sind, verfügen über einen Cryptoprozessor und einen RFID-Chip, der das Einschieben in ein Lesegerät überflüssig macht. Für europäische Debitkarten gilt bei Kontaktlos-Zahlungen generell ein festes Limit für Transaktionen. Dieses beträgt in Deutschland 25 Euro, in Großbritannien 20 Euro und in Irland 15 Euro. Für höhere Beträgt ist eine PIN oder Unterschrift erforderlich. In den USA, wo Visa die Technik unter dem Namen payWave vermarktet, wird das Limit zur Nutzung ohne PIN hingegen vom jeweiligen Händler bestimmt.

Die Obergrenze wird laut den britischen Sicherheitsforschern nur in der nativen Währung des Käufers geprüft und jeder Betrag bis zu 999.999,99 einer Fremdwährung akzeptiert. Visa zufolge müssen Käufer aber regelmäßig eine PIN eingeben, auch wenn der Kaufbetrag unter diesem Limit liegt.

Gegenüber der BBC erklärte Visa Europe, dass die Forscher „nicht die mehreren eingerichteten Sicherheitsmaßnahmen berücksichtigt“ hätten und dass es sehr schwer sei, „diese Art Transaktionen außerhalb von Laborbedingungen durchzuführen“. Das Team um Martin Emms verteidigt jedoch den Wert seiner Forschung.

Bei einer Demonstration für die BBC verwendete Emms ein Bezahlterminal-Programm auf einem Android-Smartphone. Weil Währung und Wert in dem kontaktlosen Lesegerät eingegeben werden müssen, erscheint es aber unwahrscheinlich, dass sich der beschriebene Angriff in einem Ladengeschäft durchführen lässt – außer das Terminal wurde zuvor manipuliert.

Emms hatte schon zuvor auf Sicherheitslücken beim kontaktlosen Bezahlen mit Bank- und Kreditkarten hingewiesen. Im Mai 2013 wies er nach, dass einige Funk-Bezahlterminals, die auch kontaktbasierte Chip- und PIN-Karten akzeptieren, Kontaktloskarten in der Nähe auslesen können, wenn der Käufer eigentlich mit einer herkömmlichen Karte bezahlen will. Auf der Website von Visa Europe heißt es mittlerweile dazu, dass Sicherheitsmaßnahmen solche und ähnliche Fehler verhindern.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Eine Kommentar zu NFC: Forscher entdecken Lücke bei Visa-Kreditkarten

  • Am 6. November 2014 um 09:46 von Schoepges

    Ich frage mich was der Artikel bewirken soll? In einem Labor wurden die Sicherheitsmechanismen ausgeschaltet, die BBC eingeladen um zu sagen das dieses Laborsystem nicht sicher ist?

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *