Typischerweise funktioniert das kontaktlose Bezahlen mit Karte
nur bis zu 30-50 Euro ohne PIN. Für teure Bezahlvorgänge
wird noch die PIN abgefragt, um sich zu authentifizieren. Dieses
Vorgehen soll den Missbrauch von gestohlenen Karten einschränken.
Dass sich dieser Vorgang zumindest bei Visa-Karten die PIN-Abfrage
leicht umgehen lässt, demonstrierten jetzt Forscher der ETH
Zürich.
Auf einem sogenannten "Man in the Middle" (MITM)
beruht der Angriff, der sich zwischen Bezahlterminal und Karte einklinkt
und die Transaktion manipuliert. Diese MITM-Funktion übernehmen
konkret zwei Handys, die miteinander via WLAN kommunizieren und
auf denen jeweils eine von den Forschern entwickelte App läuft.
Eins der beiden Handys simuliert eine Karte beziehungsweise ein
Smartphone mit Bezahlfunktion, welche der Angreifer an das Bezahlterminal
des Ladens hält. Dabei werden via WLAN
alle Transaktionsdaten an das zweite Handy übermittelt. Dieses
Gerät befindet sich in unmittelbarer Nähe der Visa-Karte,
mit der bezahlt werden soll. Dabei gibt es sich als das Bezahlterminal
aus.
(hv, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|