RFID-Kreditkarten sind leicht zu knacken

Nach einem Bericht von Forbes ist es der Hackerin Kristin Paget mit einfachen Mitteln gelungen, Daten von US-Kreditkarten mit RFID-Chip zu auszulesen. Vor erstauntem Publikum buchte sie auf der Sicherheitskonferenz Shmoocon in Washington 15 Dollar von der Kreditkarte eines Freiwilligen ab und überwies dann das Geld auf ihr eigenes Konto.

Dafür benutzte Paget ein Lesegerät, das sie für 50 Dollar bei eBay gekauft hat. Damit las sie durch die Kleidung und die Brieftasche hindurch die Kreditkartennummer, das Verfallsdatum und den zufällig generierten und nur einmal benutzbaren CVV-Code aus. Dieser ist für jede Transaktion erforderlich, weil eine mehrfache Verwendung zur Sperrung der Karte führt.

Anschließend übertrug Paget die ausgelesenen Daten mit einem etwa 300 Dollar teurem Schreibgerät auf einen leeren Kreditkartenrohling, den sie zuvor frei im Handel erworben hatte. Für die Vorführung tätigte sie die Abbuchung mit einem iPhone-App, die eine Annahme von Zahlungen über Smartphone ermöglicht.

Das Resümee ist, dass ein derartiger Hackangriff äußerst einfach ist, da durch die Nachbildung des kontaktlosen Bezahl-Terminals alle Sicherheitsvorkehrungen ignoriert werden können. Das funktioniert, weil der Chip von einem legalen Bezahlvorgang ausgeht und somit alle nötigen Informationen ohne gesicherte Authentifizierung preisgibt.

Da mit jeder illegalen Kopie nur jeweils eine Transaktion getätigt werden kann, wird dieses Geschäft erst durch das Auslesen mehrerer Karten lukrativ. Allerdings sind alleine in den USA sind schon etwa 100 Millionen RFID-Kreditkarten im Umlauf, sodass es zumindest nicht an geeigneten Opfern mangelt. Auch in Europa sind diese Systeme im Kommen. Beispielsweise werden seit letztem Jahr Gold-Cards im Olympia-Design mit kontaktloser Funktion ausgegeben. Mittlerweise sollen schon mehrere Tausend davon im Umlauf sein.

Dass das kontaktlose Bezahlsystem verwundbar ist, ist längst bekannt. Mit der Vorführung von Paget zeigt sich nur ein weiteres Mal, wie lasch die Industrie die Sicherheit ihrer Produkte handhabt, obwohl hauptsächlich die Herausgeber das finanzielle Risiko tragen. Auch jetzt noch scheinen die Herausgeber wenig aufgeregt. Zumindest behauptet Randy Vanderhoof von der Smart Card Alliance, dass er keine neue Gefahr durch kontaktlose Kreditkartenzahlungen sehen würde. Seitdem das Verfahren vor sechs Jahren angewandt wird, seien noch keine Missbrauchsfälle beobachtet worden. Den Grund darin sieht er darin, dass es schwer sei, Profit aus diesem Angriffsszenario zu schlagen.