Direkt zum Inhalt

Hackerin liest Daten von RFID-Kreditkarten aus

Hackerin Kristin Paget hat bei einer aufsehenerregenden Vorführung am vergangenen Wochenende in Washington bewiesen, wie einfach die Daten von US-Kreditkarten mit RFID-Chip zum kontaktlosen Bezahlen ausgelesen und missbraucht werden können. Dabei gelang es Paget Geld von der Kreditkarte eines Freiwilligen abzubuchen und die Summe auf ihr eigenes Konto zu überweisen.

Eine sichere Authentifizierung des Lesegerätes findet offensichtlich nicht statt, sonst wäre es der Hackerin wohl kaum möglich gewesen die Daten des RFID-Chips mit Hilfe eines einfachen Lesegerätes, das sie zuvor auf ebay ersteigert hatte, durch Kleidung und Brieftasche hindurch und ohne die Testperson zu berühren, auszulesen. Letztendlich gelang es Paget die Kreditkartennummer, das Verfallsdatum und einen für jede Transaktion notwendigen, zufällig generierten CVV-Code in Erfahrung zu bringen.

Paget transferierte die ausgelesenen Daten mit einem Schreibgerät für rund 300 Dollar auf einen leeren, im Handel frei erhältlichen Kreditkartenrohling. Das Lesegerät wird dazu verwendet, ein autorisiertes Modul für Bezahlvorgänge zu emulieren. Mit der illegalen Kopie kann sie zwar nur eine einzige Transaktion tätigen, da der CVV-Code danach verfällt, aber durch das Auslesen mehrerer Karten könnte trotzdem ein rentables Geschäftsmodell entstehen, insbesondere da in den USA bereits etwa 100 Mio. RFID-Kreditkarten im Umlauf sind.

Doch die Verwundbarkeit von kontaktlosen Bezahlsystemen ist bei weitem nicht neu. Die Vorführung von Paget beweist nur, dass die Industrie noch nicht entsprechend reagiert hat. "Der Hack ist beschämend einfach. Durch die Emulation der kontaktlosen Bezahl-Terminals können sämtliche Sicherheitsmaßnahmen umgangen werden, da der Chip von einem legalen Bezahlvorgang ausgeht und die nötigen Informationen ausspuckt", sagt Paget.

Auch in Europa sind schon ähnliche Systeme im Einsatz. "Seit dem vergangenen Jahr geben wir Gold-Cards im Olympia-Design mit contactless-Funktion aus. Einige Tausend Karten sind bereits im Umlauf. In diesem Jahr geben wir auch die passenden Lese-Terminals an Geschäfte aus", sagt Georg Huemer, ein Sprecher der Firma Card Complete in Österreich.

[unwatched / pte]

Kurz-URL zu diesem Artikel: http://unurl.org/fA1