Da wird einem schon etwas mulmig zumute. Dass man so einfach Kreditkartendaten auslesen kann, ist überraschend. Jeder mit einem Android-Handy, das die NFC-Funktion (Near Field Communication) integriert hat, kann das Experiment nachvollziehen: die App Scheckkartenleser (gratis im Google Play Store) installieren und das Smartphone auf eine Kreditkarte mit drahtloser Bezahlfunktion legen.
Erkennbar sind diese Karten am Funksymbol mit den drei Streifen. Praktisch auf jeder Karte sind diese zu sehen. Die Funktion ist standardmässig eingeschaltet, auch wenn man noch nie kontaktlos bezahlt hat. In die Karten ist ein RFID-Chip (Radio-Frequency Identification) integriert, der drahtlos und ohne eigene Batterie Daten übertragen kann.
Sogar die letzten Transaktionen werden ausgelesen
Die App liest in sekundenschnelle die darauf ungesichert abgespeicherten Infos ab: Kartennummer, Ablaufdatum, Herausgeber und je nach Karte die letzten Transaktionen. Was zum Glück nicht einfach so drahtlos abgerufen werden kann, sind der Card Validation Code (CVC) auf der Rückseite und der Name des Kartenbesitzers. Trotzdem: Die Angaben reichen in einigen Online-Shops aus, um auf Einkaufstour zu gehen.
Dass dies so einfach ist, erstaunt Marc Ruef nicht. Er leitet das Forschungsteam bei der Scip AG, einem Schweizer Unternehmen, das sich auf Informationssicherheit spezialisiert hat. «Profis können Daten sogar aus der Entfernung auslesen, es braucht keinen Kontakt zwischen Karte und Lesegerät.» Mit entsprechenden Verstärkern durchaus auch aus bis zu 100 Metern.
Der Experte sagt: «Die drahtlose Technik ist bequem, birgt aber auch Risiken. Das muss man sich bewusst sein.» Immerhin: Die Kartenherausgeber seien bei einem Missbrauchsfall sehr kulant. Wenn man falsch abgebuchte Beträge denn bemerkt. «Darum unbedingt jede Abrechnung genau prüfen und innert 30 Tagen eine Rückzahlung verlangen», sagt Ruef.
Denn haben Gauner neben Zahlungsangaben auch noch eine Liste von Transaktionen, können sie sich dem Verhalten des Bestohlenen anpassen – und so den Betroffenen, aber auch die Sicherheitsmechanismen der Banken täuschen.
Was passiert mit den gestohlenen Kreditkartendaten?
Oft werden sie nicht direkt benutzt, sondern weiterverkauft. «Im Darknet sind laufend rund 100 bis 150 Kreditkartenangaben von Schweizern erhältlich», sagt Ruef. Diese stammen aus ganz unterschiedlichen Quellen.
Für Christoph Küng, Geschäftsführer von soomz.io, steht noch eine zweite Art von Missbrauch im Raum, nämlich die Verletzung der Privatsphäre. Die Zürcher Firma entwickelt einfache und clevere Produkte zum Schutz des digitalen Privatlebens. «Ich will nicht, dass jemand meine Daten ausliest, ohne dass ich das weiss», sagt er.
Hinzu kommt, dass auch in Kundenkarten, dem Swiss Pass der SBB oder Firmen-Badges RFID-Technik verbaut ist – wenn auch oft besser gesichert. «Man kann mit den Signalen etwa Bewegungsprofile erstellen», sagt Küng.
Wie kann man sich gegen Angriffe auf Kreditkarten schützen?
Radikal wäre, auf solche Karten ganz zu verzichten oder den Chip deaktivieren zu lassen. Wer trotzdem auf den Komfort nicht verzichten will, der kann das mit einer RFID-Schutzhülle tun. Zum Beispiel «Swiss made» von soomz.io ab knapp fünf Franken pro Stück. Auch zuschneidbare Folien sind im Angebot. «Mit einem solchen Wallet Guard ist das eigene Portemonnaie rundum geschützt», sagt Christoph Küng.
Tatsächlich zeigt der Test: Mit Hülle drum erkennt die Scheckkartenleser-App nicht mal, dass die Karte einen NFC-Chip hat.
