klau

Kreditkarten mit Funk-Chip: Ein Handy-App liest Daten, ohne dass Sie es merken © tv

Datenklau bei Kreditkarten: Leichter als man denkt

Red. /  Mit einer Schnüffel-App auf dem Smartphone können Betrüger Daten von Kreditkarten heimlich ausspionieren und missbrauchen.

Ob Visa, Mastercard oder Diners: Fast in allen neuen Kreditkarten ist ein Funk-Chip eingebaut, der kontaktloses Bezahlen ermöglicht. Man erkennt solche Karten am WLAN-Symbol. Mit grossem Tamtam wurde dafür geworben. Der Kunde muss sie nur nahe ans Karten-Terminal oder Lesegerät halten, und schon ist der Einkauf bezahlt. Der Datenaustausch erfolgt unmittelbar per Funksignal. Transaktionen für Kleinbeträge bis 40 Franken brauchen weder PIN-Code noch Unterschrift.
Funksignale aus der Tasche
Allerdings hat dieses System eine gravierende Sicherheitslücke. Kriminelle können Kartendaten heimlich ausspionieren und auf Kosten ihrer Opfer online shoppen gehen. Wie einfach das ist, hat IT-Sicherheitsexperte Tobias Schrödel in der Sendung «Stern-TV» demonstriert.
Mit einer Schnüffel-App auf seinem Smartphone konnte Schrödel reihenweise Kreditkartendaten kopieren – ohne dass die ahnungslosen Opfer etwas merkten. Dazu musste das Handy keinen direkten Kontakt mit dem Portemonnaie haben. Sobald er wenige Zentimeter an die fremde Kreditkarte herankam, zeigte sein Handy die Nummer und das Ablaufdatum der Karte an – sehr zur Überraschung der Betroffenen. Denn kaum jemand weiss, dass es aus dem Portmonnaie permanent funkt. Und: «Wo gefunkt wird, da kann man auch mitlesen», warnt der IT-Spezialist, «denn nicht nur die dafür vorgesehenen Zahl-Terminals können die Funksignale empfangen.»
Kreditkarten-Herausgeber wissen Bescheid, aber verharmlosen
Das wissen auch die Herausgeber der Karten. So weist zum Beispiel die Viseca Card Services SA in ihrer «Datenschutzerklärung» explizit darauf hin: «Es ist jedoch möglich, dass auf dem Chip gespeicherte Kartendaten und die bei MasterCard-gespeicherten Daten zu den zehn letzten vorgenommenen Transaktionen mit Hilfe eines geeigneten Gerätes und entsprechender Software, aus dem Chip ausgelesen werden können, ohne dass der Karteninhaber dies merkt.»
Konsumentenorganisationen haben wiederholt auf das Sicherheitsleck hingewiesen und vor Betrug mit fremden Kartendaten gewarnt. Doch die Herausgeber verharmlosen das Problem. Auf ihren Webseiten verweisen sie auf «hohe Sicherheitsstandards» und darauf, dass PIN, Name des Inhabers sowie der dreistellige Sicherheitscode auf der Kartenrückseite nicht per Funk übertragen werden. Letzteres verlangen die meisten Online-Shops, wenn man mit Kreditkarte bezahlen will. Aber eben längst nicht alle.
Mit geklauten Kartendaten auf Einkaufstour
So genügen etwa beim Online-Riesen Amazon die Kreditkartennummer und das Ablaufdatum der Karte, um einen Kauf abzuschliessen. In zwei Fällen demonstrierte Schrödel in «Stern-TV», wie er mit den ausgespähten Daten Waren von Amazon an seine Adresse bestellen konnte. Er benötigte weder PIN noch Prüfziffer der Kreditkarte. Auch den eingegebenen Namen des vermeintlichen Karteninhabers verifizierte man bei Amazon offenbar nicht. Noch schlimmer: Sind die geklauten Kartendaten in einem Amazon-Konto erst einmal hinterlegt, kann man über das Bezahlsystem «Amazon Payments» bei Tausenden Online-Shops einkaufen – ohne dass der Kartenbesitzer etwas bemerkt.
Der Experte rät: Karte in Alufolie einwickeln
Das böse Erwachen kommt erst am Ende des Monats mit der Kreditkartenrechnung. Wer Unregelmässigkeiten feststellt, sollte am besten sofort die Bank oder den Kartenherausgeber kontaktieren und im Zweifel die Karte sperren lassen, rät «Stern-TV». Noch besser ist es natürlich, die Kreditkarte vor Datendieben zu schützen. Es gibt spezielle Hüllen und Portmonnaies, die den Funkkontakt blockieren. Ebenso wirksam und gratis: die Kreditkarte in ein Stück Alufolie einwickeln.


Themenbezogene Interessenbindung der Autorin/des Autors

Keine.

Zum Infosperber-Dossier:

Tasche_Hintergrund

Konsumentenschutz

Einseitige Vertragsklauseln. Täuschungen. Umweltschädlich. Hungerlöhne. Erschwerte Klagemöglichkeiten.

War dieser Artikel nützlich?
Ja:
Nein:


Infosperber gibt es nur dank unbezahlter Arbeit und Spenden.
Spenden kann man bei den Steuern in Abzug bringen.

IBAN: CH 0309000000604575581

6 Meinungen

  • am 15.10.2016 um 10:40 Uhr
    Permalink

    Die UBS avisiert mich per Mail sofort nach jeder Kreditkartenverwendung über CHF 40.–. Ich habe somit keine Überraschungen. Besser wäre es wenn alle Benutzungen avisiert würde, aber mein Risiko ist so ja ziemlich limitiert.

    0
  • am 15.10.2016 um 13:39 Uhr
    Permalink

    Herr Ackermann, vielleicht sollten Sie den Artikel nochmals durchlesen.

    0
  • am 16.10.2016 um 11:58 Uhr
    Permalink

    Wir haben es bei diesen Chips mit einer grobfahrlässigen Verletzung des Bankgeheimnisses zu tun, strafbar gemäss Artikel 47, Absatz 2, des Bundesgesetzes vom 8. November 1934 über die Banken und Sparkassen, Stand 2016 (BankG). Es ist eigentlich verwunderlich, dass die Bankenaufsicht und die Staatsanwaltschaften noch nicht tätig geworden sind und die Chips verbieten und gegen die Verantwortlichen ein Strafverfahren eingeleitet haben.

    0
  • am 17.10.2016 um 13:22 Uhr
    Permalink

    Als ich für meine Karte diese Funktion sperren lassen wollte, weil sie mir ungefragt untergejubelt worden war, erhielt ich als Antwort einen Brief, der das kontaktlose Bezahlen hochjubelte, und auf meine Rückfrage, wie es denn nun mit dem Sperren sei, ein noch ausführlicheres Loblied auf die neue Funktion.

    0
  • am 17.10.2016 um 15:11 Uhr
    Permalink

    Nicht zu vergessen, dass die Möglichkeit des
    heimlichen Auslesens auf Distanz auch für den
    häufig neben der Kreditkarte aufbewahrten Pass
    oder die Identitätskarte gilt.
    Von diesen amtlichen Dokumenten lässt sich dann
    der in der Kreditkarte fehlende Name des Inhabers
    auch gleich auslesen !
    Unsere Exekutive hat vor einigen Jahren nichts
    unversucht gelassen, um das äusserst knappe
    Resultat der Abstimmung über die Einführung
    mit solchen RFID (radio-frequency identification)
    Chips ausgestatteten biometrischer Pässe
    und IDs nach ihrem Wunsch zu beeinflussen.

    Ein angstmacherisches Radiointerview von EWS
    und die Seelenmassage, welche Oberpolizist
    Knecht dem Ständerat vor dessen diesbezüglichen
    Abstimmung verpasste, waren Beispiele der Verletzung
    der in der Verfassung verankerten Gewaltentrennung.

    Dies dürfte die Erklärung sein, wieso heute Bankenaufsicht
    und Staatsanwaltschaften schlecht in Sachen
    Sicherheitsgefährdung durch RFID tätig werden können.
    Das wäre sonst ein Schuss ins eigene Bein. Also schweigen
    sie, da bei Bürgerinnen und Bürgern sonst schwerwiegende
    Zweifel an der Vernunft an von Organen der Exekutive gegebenen
    Empfehlungen aufkommen würden.

    0
  • am 18.10.2016 um 18:59 Uhr
    Permalink

    Korrigendum: Der Oberpolzist im vorhergehenden Kommentar
    heisst nicht Knecht sondern Käser.

    0

Ihre Meinung

Lade Eingabefeld...