Zwei Angestellten des britischen Unternehmens „Positive Technologies“ ist es gelungen, die 30-Pfund-Grenze (im Euroraum 50 Euro) beim kontaktlosen Bezahlen mit VISA-Karten auszuhebeln.
An immer mehr Orten haben Kunden inzwischen die Möglichkeit, kleinere Geldbeträge (bis 30 britische Pfund/50 Euro) durch einfaches Vorhalten von Giro- oder Kreditkarten an Bezahlterminals zahlen zu können. Zwischen Karte und Terminal erfolgt die Datenübertragung via NFC (Near Field Communication), sodass eine Unterschrift oder die Eingabe einer PIN nicht mehr notwendig ist.
Der Hack erfordert die Nutzung eines speziellen (aus Sicherheitsgründen nicht näher benannten) Gerätes, das einen Man-in-the-Middle-Angriff an der schlecht gesicherten Schnittstelle der NFC-Kommunikation durchführt. Dabei sollen zwei Datenfelder manipuliert werden. Der VISA-Karte wird dabei vorgespielt, dass trotz der Überschreitung des Maximalbetrages keine weitere Verifizierung notwendig sei; dem Bezahlterminal wird dagegen vorgespiegelt, dass eine solche Verifizierung bereits erfolgt sei.
Quellen:
https://www.ptsecurity.com/ww-en/about/news/visa-card-vulnerability-can-bypass-contactless-limits/
https://www.heise.de/security/meldung/Bezahlen-ohne-PIN-und-Unterschrift-Forscher-hacken-VISAs-50-Euro-Limit-4484956.html