Wem für wenige Sekunden eine NFC-fähige Kreditkarte in die Hände fällt, der kann mit kostenlosen Apps viel über das Kaufverhalten des Karteninhabers erfahren. Wie der Blog Your nested Bubble berichtet, lässt sich mit einem NFC-fähigen Smartphone und Apps wie Scheckkarteleser NFC der Transaktionsverlauf der Karte auslesen. Darüber erfährt man, welche Zahlungen mit der Karte durchgeführt wurden. Neben der Summe verrät die Karte auch die Währung und das Datum der Zahlung. Wohin das Geld ging, erfährt man indes nicht. PayPass-Funktion
Betroffen sind offenbar Mastercard-Karten, die das kontaktlose Bezahlverfahren PayPass beherrschen. Damit kann der Nutzer Zahlungen unter 25 Euro ohne PIN und Unterschrift durchführen. Die Apps zeigen offenbar nicht nur die PayPass-Zahlungen an, sondern alle, die mit der Karte durchgeführt wurden. Ob die Transaktionshistorie aktiv ist, hängt vom Kartenherausgeber ab. Nutzer haben die Funktion mittlerweile bei den Karten von Number26 und der Fidor SmartCard nachgewiesen.
Neben den getätigte Zahlungen verraten die Karten unter anderem auch ihre Kartennummer sowie das Ablaufdatum via NFC – diese Daten kann ein Angreifer allerdings auch direkt von der Karte ablesen. Der oftmals als Sicherheitscode bezeichnete Card Validation Code (CVC), der sich auf der Rückseite der Karte befindet, lässt sich nicht über NFC auslesen. Der dreistellige CVC wird in der Regel bei Online-Zahlungen abgefragt, sofern der Zahlungsempfänger nicht das Haftungsrisiko tragen möchte. Bekanntes Phänomen
Ganz neu ist das vermeintliche Datenleck NFC nicht: Bereits seit 2012 ist bekannt, dass sich die Karten über den Nahfunkstandard auch ohne spezielle Hardware abfragen lassen. Mindestens seit 2014 gibt es Apps wie Bankomatkarteninfos, die jedes NFC-fähige Android-Gerät in ein einfaches Kreditkartenlesegerät verwandeln. Grundsätzlich funktioniert das Abgreifen der Daten nur aus geringen Distanzen – man muss sich mit dem Smartphone der Karte schon auf etwa einen Zentimeter nähern, damit die Informationen ausgelesen werden. Mit Spezialhardware lässt sich die maximal mögliche Distanz allerdings vergrößern.
Technisch interessant sind die Versuche mit Relay-Attacken, wie sie etwa die Forscher Pepe Vila und Dr. Ricardo J. Rodr?guez auf der Konferenz Hack in the Box in Amsterdam vorgestellt haben. Dabei wird die NFC-Kommunikation zum Beispiel über das Internet getunnelt. Ein Smartphone hat dabei direkten Funkkontakt zum Lesegerät am Point of Sale, ein weiteres mit der Kreditkarte. Wenn im Geschäft die Bezahlung eingeleitet wird, schleust das erste Handy die NFC-Kommunikation übers Netz an das zweite, das die Daten an die Kreditkarte funkt. Anschließend wird der Kauf über die Karte abgewickelt. So könnte ein technisch versierter Betrüger beliebige Distanzen überbrücken.