Gratis-App spioniert Kreditkarten aus

Um sensible Kreditkartendaten zu stehlen, braucht es nur ein Smartphone und eine kostenlose App aus dem Internet. Damit können Kreditkartennummer und Ablaufdatum ausgelesen werden, auch wenn die Karte in einer Handtasche steckt.

Das dichte Gedränge im Einkaufszentrum war das ideale Testgebiet: hier zeigte der Schweizer Sicherheitsexperte Marco B. Feusi von B-Safer, wie leicht Kreditkarten ausspioniert werden können. Den Schlüssel dazu liefert Near Field Communication (NFC): „Neue Kreditkarten sind mit NFC ausgestattet. Sie haben eine Antenne, die Funkwellen auffängt, in die Karte leitet, die Daten aus dem Chip ausliest und wieder zurückschickt,“ so Feusi gegenüber der ORF-Sendung „Heute Konkret“.

NFC ist dazu gedacht, Kunden das schnelle Bezahlen ohne Bargeld zu ermöglichen. „Leider verwenden Banken die gleiche Technologie, die auch in Smartphones eingebaut ist. Die passenden Apps, die die Daten auslesen, sind im Internet für jeden erhältlich“, so der Sicherheitsexperte.

NFC macht Datendiebstahl einfach

Für den Datenklau genügte es, das Smartphone nahe an eine fremde Handtasche zu halten. Sofort erschienen auf dem Handydisplay die 16stellige Nummer und das Ablaufdatum der Kreditkarte. In manchen Fällen wurden auch der Name des Kartenbesitzers und seine letzten Transaktionen mit Summe und Datum aufgelistet. Die Kartenbesitzer reagierten höchst überrascht, sie hatten in dem Einkaufsgetümmel nichts von dem Datendiebstahl bemerkt.

Mit ein wenig technischem Geschick könnten Kriminelle die Daten auch aus sicherer Entfernung auslesen. Wie einfach das geht, demonstrierten Marco B. Feusi und Daniel Früh vom Zentrum für Nachrichtentechnik an der Zürcher Hochschule. Sie montierten im Einkaufszentrum eine selbstgebaute Antenne, die die Funksignale der Kreditkarten verstärkte. „Damit kann ich die Reichweite auf bis zu 20 Zentimeter erhöhen und die Daten besser auslesen,“ so Sicherheitsexperte Daniel Früh.

Auf diesem Weg könnten Kriminelle vollautomatisch hunderte Kredit- und Bankomatkarten ahnungsloser Konsumenten auslesen und die Daten über Internet an einen Server schicken. „Die Betrüger müssten gar nicht persönlich vor Ort sein und es wäre unmöglich herauszufinden, wohin die Daten gesendet wurden“, so Früh.

Einkaufen mit gestohlenen Daten

Was die App nicht auslesen kann, ist der dreistellige Sicherheitscode, der auf der Rückseite der Kreditkarte angegeben ist. Aber auch ohne Code können Betrüger auf Shoppingtour gehen. Für den Großeinkauf beim Onlineversandhändler Amazon genügen die ausspionierten Daten.

Um seine Kreditkarte zu schützen, empfehlen Sicherheitsexperten eine spezielle Hülle oder simple Alufolie.

Sonja Hochecker/Vanessa Böttcher, help.ORF.at

Mehr dazu:

• NFC-Zahlsysteme als potenzielle Datenhamster
• Test: Datenklau bei NFC-Karten ist möglich
• Falsche Abbuchungen: Wie man sein Geld zurückholt

Link:

• ORF Heute Konkret