Eine britische Forschergruppe zeigt, dass es möglich ist, das 25-Euro-Limit auf kontaktlosen Karten zu umgehen. Für Visa gibt es jedoch keine wirklichen Risiken
Kontaktlose Kreditkarten aus dem Visa-Kreislauf können Sicherheitsprobleme haben. Das meinen zumindest Sicherheitsforscher, denen es in Zusammenarbeit mit der britischen Forbes-Redaktion gelungen ist, Zahlungen über 25 Euro ohne PIN-Eingabe durchzuführen.
Insbesondere könnten die Karten durch "Man in the Middle"-Angriffe geknackt werden, wodurch es möglich wäre, mehr Geld "abzuheben", als die Sicherheitsschwelle erlaubt. Nach Experimenten, die von Forschern "im Labor" durchgeführt wurden, gibt es keine Begrenzung des Betrags, der mit diesem System von der Karte abgehoben werden kann, so dass das Betrugsrisiko sehr hoch ist. Auch wenn dieser Betrug im Vereinigten Königreich simuliert wurde, ist er überall möglich, da er auf Schwachstellen beruht, die in der Art und Weise, wie kontaktlose Transaktionen durchgeführt werden, begründet sind. Auf Nachfrage von Forbes erklärte Visa jedoch, dass keine wirkliche Gefahr für die Nutzer und ihre kontaktlosen Karten bestehe und daher keine Abhilfe geschaffen werde.
Wie der Betrug mit den kontaktlosen Karten funktioniert
Um die kontaktlosen Karten für PIN-freie Zahlungen über 25 Euro zu entsperren, haben Forscher spezielle Hardware verwendet, um die Kommunikation zwischen der Karte und dem Lesegerät abzufangen und zu verändern. So kann der Karte beispielsweise vorgegaukelt werden, dass eine Verifizierung, etwa durch Eingabe einer PIN, nicht erforderlich ist, selbst wenn der geforderte Betrag über 30 Pfund liegt (der Betrug wurde im Vereinigten Königreich versucht, funktioniert aber überall auf der Welt). Auf diese Weise autorisiert das Kartenlesegerät Transaktionen in beliebiger Höhe.
Es ist auch möglich, mit einem Smartphone eine Karte anzuzapfen und für kurze Zeit zu klonen: Das Smartphone kann das so genannte "Zahlungskryptogramm" der Karte abfangen, das die Echtheit künftiger Zahlungen garantiert. Das Kryptogramm kann dann an ein zweites Telefon gesendet werden, das eine mobile Zahlung über die geklonte Karte simuliert. Hacker können dann über den Höchstbetrag hinausgehen, indem sie den oben beschriebenen Man-in-the-Middle-Angriff durchführen.
VISA: kein echtes Risiko
Ein Sprecher von VISA bestätigt die Existenz dieser Schwachstelle in der Schaltung, spielt aber das Risiko für kontaktlose Karteninhaber stark herunter: "Eine wesentliche Einschränkung dieser Art von Angriff ist, dass er eine physisch gestohlene Karte erfordert, die dem Kartenaussteller noch nicht gemeldet wurde. Darüber hinaus muss die Transaktion die Validierungs- und Erkennungsprotokolle des Emittenten bestehen. Dies ist kein skalierbarer Betrugsansatz, den Kriminelle normalerweise in der realen Welt anwenden.