Visas NFC-Bezahlfunktion geknackt

Sicherheitsforschern der Eidgenössischen Technischen Hochschule Zürich (ETH) ist es gelungen, die PIN-Abfrage von Visa-­Kreditkarten beim kontaktlosen Bezahlen mit NFC zu umgehen. Sie konnten so mit Visa-Karten quasi beliebig teure Produkte einkaufen, ohne die PIN der Karte ein­geben zu müssen. Dies demonstrierten sie mehrfach in Läden mit echten Bezahlterminals. Sie benutzten dazu zwar ihre eigenen Karten, es hätten aber genauso gut gestohlene Karten sein können oder Karten in fremden Portemonnaies, bei denen es dem Angreifer gelingt, sein Handy nah genug heranzubringen, erklärten die Forscher in ihrem Paper „The EMV Standard: Break, Fix, Verify“ (siehe ct.de/ypap).

Das kontaktlose Bezahlen mit Karte funktioniert eigentlich nur bis 50 Euro ohne PIN. Der Angriff der Forscher beruht auf einer „Man in the Middle“-Attacke (MITM). Den MITM übernehmen im geschilderten Szenario zwei Handys, die miteinander via WLAN kommunizieren und auf denen jeweils eine von den Forschern entwickelte App läuft. Das eine Handy ­simuliert eine echte Plastik-Visa-Karte. Dieses hält der Angreifer ans Bezahl­terminal. Es übermittelt via WLAN alle Trans­aktionsdaten an das zweite Handy, das sich in unmittelbarer Nähe der wahren Karte befindet. Der gegenüber gibt es sich als Bezahlterminal aus.