Lassen Sie sich nicht in die Karten schauen

Wer kennt sie nicht, die Winkekatze am Eingang von nahezu jedem Asia-Restaurant. Nicht nur Kunden soll diese Katzenfigur herbeiwinken, sondern auch Glück oder gar Geld. Geld … durch Winken … Ich habe mich immer gefragt, wie das gehen soll und nun ist der Groschen gefallen. Kontaktloses Bezahlen! Mit meiner Kreditkarte kann ich mittlerweile bezahlen, ohne die Karte in den Leser zu stecken. Einfach vor das Lesegerät halten. Fertig. Bei Beträgen unter 25€ muss ich nicht mal mehr die PIN eingeben oder unterschreiben. payWave heißt das bei Visa, PayPass bei Mastercard. Getreu dem Motto: Mit der Karte macht man winke, winke – in der Kasse landet Pinke Pinke.

Kartenauslesen per Hand auflegen

Kann aber so nicht jeder mit einem entsprechenden Lesegerät die Kartennummer abgreifen und die Karten clonen? Tatsächlich kommt man mit einer Handyapp an ziemlich viele Informationen der Kreditkarte. Per NFC funkt diese nämlich so ziemlich exakt das, was auch Spur 1 und 2 des Magnetstreifens beinhaltet. Das ist die Kartennummer samt Ablaufdatum und in seltenen Fällen auch der Name des Karteninhabers, der für kontaktloses Bezahlen aber nicht benötigt wird. Weiterhin kann man das Einsatzgebiet der Karte auslesen (national oder international, Waren und/oder Dienstleistungen). Ein Discretionary-Data genannter Wert macht das, was die KPN (Kartenprüfnummer), die normalerweise auf der Rückseite der Karte abgedruckt ist, leistet. Das Discretionary sorgt dafür, dass sich niemand eine funkende Karte nachbasteln kann, ohne wirklich mal das Original ausgelesen zu haben.

Heimliches Auslesen einer Kreditkarte per NFCZum Auslesen muss man dann auch ganz nah ran an die Karte. Ein Auflegen des Lesegerätes ist zwar nicht nötig (kontaktlos), aber mehr als eine dünne Hülle eines Ledergeldbeutels darf nicht zwischen Leser und Karte sein. Wenn die Karte „günstig“ liegt, dann klappt ein kontaktloses Auslesen aber auch auf einer Rolltreppe, wenn das Portemonaie des Opfers in der Hosentasche steckt oder in der kleinen Außentasche eines Rucksacks. Das merkt keiner.

Einkaufen mit ausgelesenen Kreditkarten-Daten

Einkaufen kann man mit den ausgelesenen Daten bei immerhin einigen hundert Online-Shops, die nur Kartennummer und Ablaufdatum verlangen. Und das sind unter anderem alle, die Amazon-Pay nutzen – inklusive Amazon selbst. Ein Test, den ich für eine stern TV Sendung durchgeführt habe, zeigt, dass es überhaupt keine Rolle spielt, welchen Namen man beim Anlegen einer neuen Kreditkarte als Zahlungsmittel eingibt. Die Zahlungen wurden allesamt durchgeführt und die Waren ausgeliefert – obwohl der angegebene Name des Karteninhabers völlig anders war, als der Name des tatsächlichen Karteninhabers. Eine Nachlässigkeit? Ein Fehler?

Die Antwort von Amazon an die Redaktion lautet wie folgt: „Bei der Erfassung neuer Kreditkarten als Zahlungsart bei Amazon.de wird der Kunde gebeten Kartentyp, Kreditkartennummer, Name und Gültigkeitsdatum anzugeben, was dem deutschen Standard im eCommerce entspricht. Diese Daten können zur Überprüfung von Transaktionen verwendet werden. Der Name kann Bestandteil von Amazon’s internen Prüfungsprotokollen sein. Details dieser Protokolle kann Amazon aus Sicherheitsgründen jedoch nicht veröffentlichen. Falls Kunden zu Transaktionen mit ihrer Kreditkarte Fragen haben sollten, können sie sich jederzeit an den Amazon Kundenservice wenden.“

Würde Amazon – und das ist keine Hexerei – den Namen immer prüfen und/oder die Kartenprüfnummer validieren, dann wäre der Mißbrauch einer an sich guten Technologie verhindert. Visa, Mastercard & Co. haben schliesslich enorm viel Sicherheitstechnik in die kleinen Karten gesteckt. Es kann einfach nicht sein, dass man nur mit Kartennummer und Ablaufdatum problemlos im Internet einkaufen kann.

Farbenspiele

Was der NFC-Angreifer grundsätzlich nicht kennt, ist die Farbe des Plastiks der Geldkarte – obwohl das ganz interessant wäre. Oft haben silberne und goldene Karten ein höheres Kreditlimit als blaue oder rote. Den Volltreffer hat man bei den meist schwarzen Karten ohne jegliches Limit, aber die sind selten. Das wohl beste Verhältnis von Anzahl zu Limit findet sich bei den goldenen Karten. Aber wie gesagt … durch den Rucksack, Geldbeutel oder den Hosenstoff durchzuschauen ist halt – leider – noch nicht möglich.

Die Farbe spielt übrigens auch bei den Winkekatzen eine wichtige Rolle. Eine dreifarbige Maneki-neko soll besonders viel Glück und Wohlstand ins Haus winken. Reinheit wedelt eine weiße Winkekatze herbei und eine goldene Reichtum. Nur rote und schwarze Katzenmodelle sollen nichts anziehen. Im Gegenteil, sie winken nicht her, sondern ab. Schwarz wehrt Dämonen und Stalker ab, während eine rote Winkekatze Krankheiten vertreibt. Auch Fußgeruch? Mal sehen: „Winke, winke, Fußgestinke.“ Jetzt fehlt nur noch eine Katze, die illegale Kartenausleser wegwinkt.


Nach der ersten Veröffentlichung wurde der Absatz mit der Antwort Amazons an die Redaktion ergänzt.

Bildnachweis: Screenshot aus stern TV Reportage der I&U TV Produktion vom 28.09.2016

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.