© istockphoto.com/dodo4466, © istockphoto.com/woewchikyury
Entwickler Magazin
Wie sieht es mit der Sicherheit des mobilen Zahlens aus?

Bargeldlos => Geld los?!

Das Bezahlen per Smartphone oder NFC-fähigen Karten anstatt mit Bargeld oder per Bank- oder Kreditkarte mit dem „Chip-und-PIN“-Verfahren ist gerade „in“. Wie überall, wo es um Geld geht, ruft das auch die Kriminellen auf den Plan. Wie sicher sind die neuen Zahlungsmethoden also?

Carsten Eilers


Vorab eine Klarstellung: Von einer Ausnahme abgesehen, geht es im Folgenden um das bargeldlose Zahlen im Handel vor Ort; der oft ebenfalls mögliche Einsatz dieser Systeme im Internet wird nicht berücksichtigt. Das ist eine andere „Baustelle“, außerdem würde es den Rahmen des Artikels bei Weitem sprengen. Es konnten sowieso schon nur die neuesten Entwicklungen berücksichtigt werden, denn es sollte ja ein Artikel und kein Buch werden.

Apple Pay ist sicher, die Banken sind es nicht

Fangen wir gleich mit einem praktischen Beispiel an: Apple Pay. Eingeführt im Oktober 2014 in den USA und im Juli 2015 in Großbritannien, ist Apple Pay ein Beispiel für ein grundsätzlich sehr sicheres Zahlungssystem [1]. Eine Zahlung ist nur möglich, wenn sie über Touch-ID (die Default-Methode) oder den Passcode autorisiert ist. Ein Angriff ist an dieser Stelle nur möglich, wenn der Benutzer einen Jailbreak installiert oder sein Passcode ausgespäht wird. Wer einen Jailbreak installiert, hat dann eben Pech gehabt. Wer das Schloss aus seinem Tresor ausbaut und die Tür nur anlehnt, weil das für ihn bequemer ist, darf sich auch nicht beschweren, wenn ein Einbrecher sich dann am Inhalt bedient. Und was das Ausspähen des Passcodes betrifft, so ist das ein allgemeines Problem, es betrifft zum Beispiel auch die Zahlung mit dem Chip-und-PIN-Verfahren der Bankkarten.

Erfolgreiche Angriffe wurden aber über einen anderen Weg gemeldet: Apple versorgt beim Registrieren einer neuen Kreditkarte den zuständigen Zahlungsdienstleister mit einer Vielzahl von Informationen, wie zum Beispiel die letzten vier Ziffern der Telefonnummer, den Devicenamen und den aktuellen Standort des Geräts, aufgerundet auf ganze Zahlen [2]. Wenn die Bank diese Informationen auswertet, kann sie sicherstellen, dass die Kreditkarte wirklich vom legitimen Benutzer registriert wird und nicht ein Krimineller versucht, ausgespähte Kreditkartendaten zu missbrauchen. Darüber hinaus gibt es noch weitere Möglichkeiten, die Autorisierung des Benutzers zu prüfen, zum Beispiel über die bankeigenen Apps oder eine Zwei-Faktor-Authentifizierung.

Und genau an diesen Prüfungen hat es anfangs gemangelt [3]. Einige Banken gaben sich bei der Registrierung einer neuen Kreditkarte für Apple Pay mit einem Anruf im Callcenter zufrieden, das dann einige Daten abfragte – Daten, die auch ein Betrüger im Allgemeinen kennt und daher nennen kann. Das führte zu etlichen erfolgreichen Angriffen, bei denen ausgespähte Kreditkartendaten genutzt wurden, um ü...

Entwickler Magazin
Wie sieht es mit der Sicherheit des mobilen Zahlens aus?

Bargeldlos => Geld los?!

Das Bezahlen per Smartphone oder NFC-fähigen Karten anstatt mit Bargeld oder per Bank- oder Kreditkarte mit dem „Chip-und-PIN“-Verfahren ist gerade „in“. Wie überall, wo es um Geld geht, ruft das auch die Kriminellen auf den Plan. Wie sicher sind die neuen Zahlungsmethoden also?

Carsten Eilers


Vorab eine Klarstellung: Von einer Ausnahme abgesehen, geht es im Folgenden um das bargeldlose Zahlen im Handel vor Ort; der oft ebenfalls mögliche Einsatz dieser Systeme im Internet wird nicht berücksichtigt. Das ist eine andere „Baustelle“, außerdem würde es den Rahmen des Artikels bei Weitem sprengen. Es konnten sowieso schon nur die neuesten Entwicklungen berücksichtigt werden, denn es sollte ja ein Artikel und kein Buch werden.

Apple Pay ist sicher, die Banken sind es nicht

Fangen wir gleich mit einem praktischen Beispiel an: Apple Pay. Eingeführt im Oktober 2014 in den USA und im Juli 2015 in Großbritannien, ist Apple Pay ein Beispiel für ein grundsätzlich sehr sicheres Zahlungssystem [1]. Eine Zahlung ist nur möglich, wenn sie über Touch-ID (die Default-Methode) oder den Passcode autorisiert ist. Ein Angriff ist an dieser Stelle nur möglich, wenn der Benutzer einen Jailbreak installiert oder sein Passcode ausgespäht wird. Wer einen Jailbreak installiert, hat dann eben Pech gehabt. Wer das Schloss aus seinem Tresor ausbaut und die Tür nur anlehnt, weil das für ihn bequemer ist, darf sich auch nicht beschweren, wenn ein Einbrecher sich dann am Inhalt bedient. Und was das Ausspähen des Passcodes betrifft, so ist das ein allgemeines Problem, es betrifft zum Beispiel auch die Zahlung mit dem Chip-und-PIN-Verfahren der Bankkarten.

Erfolgreiche Angriffe wurden aber über einen anderen Weg gemeldet: Apple versorgt beim Registrieren einer neuen Kreditkarte den zuständigen Zahlungsdienstleister mit einer Vielzahl von Informationen, wie zum Beispiel die letzten vier Ziffern der Telefonnummer, den Devicenamen und den aktuellen Standort des Geräts, aufgerundet auf ganze Zahlen [2]. Wenn die Bank diese Informationen auswertet, kann sie sicherstellen, dass die Kreditkarte wirklich vom legitimen Benutzer registriert wird und nicht ein Krimineller versucht, ausgespähte Kreditkartendaten zu missbrauchen. Darüber hinaus gibt es noch weitere Möglichkeiten, die Autorisierung des Benutzers zu prüfen, zum Beispiel über die bankeigenen Apps oder eine Zwei-Faktor-Authentifizierung.

Und genau an diesen Prüfungen hat es anfangs gemangelt [3]. Einige Banken gaben sich bei der Registrierung einer neuen Kreditkarte für Apple Pay mit einem Anruf im Callcenter zufrieden, das dann einige Daten abfragte – Daten, die auch ein Betrüger im Allgemeinen kennt und daher nennen kann. Das führte zu etlichen erfolgreichen Angriffen, bei denen ausgespähte Kreditkartendaten genutzt wurden, um ü...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang