Gefahren des kontaktlosen Bezahlens – und wie man sich absichern kann

Ein Secutorial von IT Security Consultant Fabian Krone

Im Zuge der aktuellen Corona-Krise empfehlen immer mehr Einzelhändler, so weit wie möglich bargeldlos oder sogar kontaktlos zu zahlen. Auch erhöhen Banken in einigen Ländern das Limit für kontaktlose Zahlungen, damit seltener die PIN oder eine Unterschrift benötigt wird. Dennoch sollte auch gegenwärtig beim bargeldlosen Zahlungsverkehr die Sicherheit nicht zu kurz kommen. Daher möchten wir bekannte Angriffsszenarien im Hinblick auf kontaktlose Zahlungen aufzeigen und verdeutlichen, wie man sich gegen Angriffe schützen und Einkäufe sicher erledigen kann.

Kontaktlose Zahlung per Karte und mobilen Geräten

Viele der heute von Banken ausgegebenen Karten, seien es die zum Konto zugehörigen Girokarten (umgangssprachlich auch EC-Karten genannt) oder Kreditkarten, bieten neben dem Magnetstreifen und dem Chip auch die Möglichkeit, kontaktlos mittels NFC (Near Field Communication) zu zahlen. Hierbei wird die Karte bis auf wenige Zentimeter an den Empfänger des Zahlungsterminals gebracht. Dieser versorgt über die Luft die Karte mit Strom, sodass diese die für die Zahlung notwendigen Daten übermitteln kann.

Zu den kontaktlosen Zahlungsmethoden zählt auch die Zahlung mittels Smartphone oder Smartwatch. Einige Fitnessarmbänder bieten ebenfalls diese Möglichkeit. Die Verfügbarkeit verschiedener mobiler Zahlungsmöglichkeiten variiert jedoch von Bank zu Bank. Schaut man sich die großen internationalen Verfahren Google Pay und Apple Pay an, so fällt auf, dass diese unabhängig vom Zahlungsbetrag keine PIN-Eingabe oder Unterschrift erfordern. Hierbei kommt ein Verfahren namens CDCVM (Consumer Device Cardholder Verification Method) zum Einsatz. Was im ersten Moment sperrig klingt, meint nichts anderes, als dass das mobile Endgerät die Authentifizierung des Nutzers übernimmt. Hierbei muss bei Apple Pay der Nutzer zuerst nochmals die Transaktion mittels Gesichtsscan (Face ID), Fingerabdruck (Touch ID) oder PIN freigeben. Bei Google Pay reicht das Entsperren des Gerätes aus. War das Gerät vor dem Zahlvorgang bei Google Pay länger entsperrt, so wird nochmals der PIN-Code abgefragt. Bei der Zahlung mittels Smartwatch erfolgt die Authentifizierung durch die Eingabe einer PIN beim Anlegen der Smartwatch, danach ist keine weitere Authentifizierung notwendig. Sowohl Google Pay als auch Apple Pay übermitteln nicht die Kartennummer der hinterlegten Karte, sondern sogenannte Token. Diese Token werden im Zahlungsnetzwerk wiederum auf die ursprüngliche Karte aufgelöst und sind nur einmalig gültig. Eine erneute Zahlung mit einem bereits verwendeten Token ist nicht möglich. Bei Zahlungen mittels Google Pay oder Apple Pay erfährt der Händler nicht die richtige Kartennummer der hinterlegten Karte. Vielmehr wird bei beiden mobilen Zahlungsmethoden eine virtuelle Kreditkartennummer erzeugt, die übermittelt wird. Bei Google Pay ist in einigen Fällen auch eine Zahlung unter 25 € ohne Entsperrung und nur mit aktiviertem Bildschirm möglich.

Welche Angriffsmöglichkeiten existieren?

Mithilfe von CDCVM gab es bereits Angriffe auf physische Karten. Hierbei wurde die Kommunikation zwischen Terminal und Karte abgefangen. Dem Terminal wurde signalisiert, dass ein involviertes Endgerät die Authentifizierung des Nutzers bereits durchgeführt hat (hier näher beschrieben von Leigh-Anne Galloway und Tim Yunusow). Für den Angriff ist zwar Spezialhardware notwendig, diese lässt sich aber im Internet problemlos organisieren. Dieser Angriff ist allerdings verhältnismäßig auffällig.

Eine andere Angriffsmöglichkeit, die weniger auffällig ist, besteht darin, dass ein Täter sich selbst ein Zahlungsterminal organisieren kann. Dieses bringt der Angreifer in die Nähe des Geldbeutels, um dort einen Betrag kontaktlos abzubuchen. Der entstandene Schaden durch solche Abbuchungen ist allerdings begrenzt, da nach der PSD2 (Payment Service Directive 2, Zahlungsrichtlinie der EU) nach spätestens 5 PIN-losen Zahlungen oder einem Zahlungsbetrag von 150 € in Summe eine „starke Kundenauthentifizierung“ im Sinne der PSD2, beispielsweise mit PIN, erfolgen muss. Auch ist der mögliche Betrag in Deutschland aktuell pro Transaktion meist begrenzt und liegt zwischen 25 und 50 €. Für Schäden, die durch betrügerische kontaktlose Zahlungen entstehen, haften in vielen Fällen die Banken selbst.

Ein weiterer Angriff zielt darauf ab, die erforderliche Distanz zwischen Karte und Terminal zu überwinden. Dies ist auch als Relay-Angriff bekannt. Hierfür reichen zwei normale Smartphones aus. Das erste Smartphone wird in die Nähe der anzugreifenden Karte oder des anzugreifenden mobilen Endgerätes mit aktiviertem NFC gebracht, das zweite Smartphone wird wie bei einer regulären kontaktlosen Zahlung nahe an das Zahlungsterminal gebracht. Die Kommunikation zwischen Zahlungsterminal und Karte wird zwischen den beiden zum Angriff genutzten Smartphones geleitet und kann dabei eine größere Strecke überwinden, wenn beispielsweise WLAN oder das Mobilfunknetz für die Kommunikation der beiden Smartphones genutzt wird. Für den Angriff ist vor allem das Timing relevant, da zur gleichen Zeit ein Smartphone nahe an die Karte und das zweite Smartphone gleichzeitig an ein aktives Zahlungsterminal gebracht werden muss.

Auch ein Angriff auf die Zahlungstoken selbst, die beim Bezahlen übermittelt werden, ist möglich. Ein Angreifer simuliert hierbei ein Zahlungsterminal, um einen Zahlungstoken zu erhalten. So kann ein bestehendes Terminal manipuliert oder ein falsches Terminal an der Kasse präsentiert werden, welches den Token abfängt. Da der Token hierbei nicht direkt in das Zahlungsnetzwerk weitergeleitet wird, ist er auch nicht verbraucht. Der so erhaltene Token kann später vom Angreifer an einem validen Terminal genutzt werden, um einen Artikel seiner Wahl zu kaufen. Allerdings ist dieser Angriff nicht trivial, da Zahlungsterminals selbst Mechanismen gegen Manipulation verbaut haben und ein falsches Zahlungsterminal spätestens nach einigen fehlgeschlagenen Zahlungen auffällig ist.

Wie kann man sich schützen?

Kontaktlose Zahlungsmethoden haben zwar Schwächen, diese lassen sich allerdings abmildern. So ist es empfehlenswert, NFC-fähige Karten mit Schutzhüllen oder abgeschirmten Geldbeuteln zu schützen, welche die Kommunikation zwischen den Karten und einem Terminal oder Endgerät verhindern. Es kann auch eine Blocker-Karte verwendet werden, welche eine Kommunikation mir der regulären NFC-Karte blockiert, wenn sie neben dieser im Geldbeutel einsortiert wird.

Mobile Endgeräte sollten nicht aus der Hand gegeben werden. Außerdem sollten nicht benötigte Schnittstellen abgeschaltet werden. Zudem empfiehlt die SySS GmbH, keine Zahlungen von gerooteten oder per Jailbreak frei geschalteten Geräten auszuführen, da diese die Sicherheit der Zahlungsdaten gefährden. Von der Verwendung trivialer Zugangsdaten für mobile Endgeräte wie der PIN 1234 oder einem einfachen Buchstaben als Entsperrmuster wird ebenfalls abgeraten. Auch sollten auf den mobilen Endgeräten immer die aktuellsten Sicherheitsupdates eingespielt und es sollte darauf geachtet werden, dass diese vom Hersteller noch mit Sicherheitsupdates versorgt werden.

Im Falle des Verlustes eines mobilen Endgeräts sollte dieses unbedingt gesperrt werden. Hierfür bietet Google den Dienst „Find My Device“ und Apple den Dienst „Find My“. Wird das Endgerät hierüber gesperrt, so sind keine Zahlungen mehr über das Gerät möglich, bis das Gerät wieder durch den Eigentümer freigeschaltet wird.

Falls dennoch ein Betrug stattfindet, so sollte die betreffende Karte schnellstmöglich über den Sperr-Notruf 116 116 gesperrt werden.

Diese Szenarien zeigen, dass der Schutz vor Gefahren nicht bei der Vermeidung von Kontakten aufhört, sondern beim kontaktlosen Bezahlen ebenso wichtig ist.

Weiterführende Informationen zum Thema Kreditkarten sind außerdem hier zu finden.


Termine

26.05.2020
Hack6: Mobile Device Hacking

27.05.2020
Secu4: IT-Recht und Datenschutz für IT-Verantwortliche

03.06.2020
Secu6: IT-Sicherheit kennenlernen

17.06.2020
Secu6: IT-Sicherheit kennenlernen

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99