Typischerweise funktioniert das kontaktlose Bezahlen mit Karte nur bis zu 30-50 Euro ohne PIN. Für teure Bezahlvorgänge wird noch die PIN abgefragt, um sich zu authentifizieren. Dieses Vorgehen soll den Missbrauch von gestohlenen Karten einschränken. Dass sich dieser Vorgang zumindest bei Visa-Karten die PIN-Abfrage leicht umgehen lässt, demonstrierten jetzt Forscher der ETH Zürich.

Auf einem sogenannten "Man in the Middle" (MITM) beruht der Angriff, der sich zwischen Bezahlterminal und Karte einklinkt und die Transaktion manipuliert. Diese MITM-Funktion übernehmen konkret zwei Handys, die miteinander via WLAN kommunizieren und auf denen jeweils eine von den Forschern entwickelte App läuft.

Eins der beiden Handys simuliert eine Karte beziehungsweise ein Smartphone mit Bezahlfunktion, welche der Angreifer an das Bezahlterminal des Ladens hält. Dabei werden via WLAN alle Transaktionsdaten an das zweite Handy übermittelt. Dieses Gerät befindet sich in unmittelbarer Nähe der Visa-Karte, mit der bezahlt werden soll. Dabei gibt es sich als das Bezahlterminal aus.

(hv, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE