Mobile Payment ist in aller Munde. Doch wie sicher ist es, mit der Kreditkarte kontaktlos zu bezahlen? Die Karten funken auch aus dem Geldbeutel mit NFC. Ein Dieb muss nur ein entsprechendes Lesegerät bei sich tragen oder eine Auslese-App auf dem Smartphone und dieses gegen den Geldbeutel drücken, schon ist man 20 Euro oder mehr los. Kreditkartennummer, Kontoinhaber und Ablaufdatum auslesen, das alles geht ohne die Karte auch nur in den Händen gehabt zu haben. Betrüger hatten es noch nie so einfach an persönliche Informationen zu kommen, ohne ihre Opfer auch nur berühren zu müssen. Das Team rund um dem Unternehmen Granhin hat eine Karte namens ACTIVE BLOCKER entwickelt, welche die Karten im Geldbeutel schützt. (Weitere Infos, Bestellen bei Amazon) Lukas Granecki und Andreas Hintermayr erklären, wie das Ganze funktioniert.
mz: Wie kam es zu der Idee für den Active Blocker und wie funktioniert er im Detail?
Lukas Granecki/Andreas Hintermayr: Im Grunde war neben dem offensichtlichen Bedarf an einem praktischen Schutz für die neuen NFC-fähigen Karten, ein Vorfall im Bekanntenkreis ausschlaggebend. Im besagten Fall wurde die Bankkarte unbemerkt ausgelesen und anschließend für Zahlungen verwendet. Die Funktion ist recht schnell erklärt. Sobald ein Lesegerät in die Nähe der ACTIVE BLOCKER Karte kommt, erzeugt diese automatisch ein Störsignal. Befindet sich die ACTIVE BLOCKER Karte zusammen mit einer NFC-fähigen Bankkarte in der Geldbörse, ist diese nicht mehr auslesbar.
Möchte man an der Kasse bezahlen, nimmt man die Bankkarte aus der Geldbörse und tätigt wie gewohnt den Zahlungsvorgang.
Die Vorteile dabei sind:Das Störsignal aktiviert sich nur beim Ausleseversuch, d.h. die ACTIVE BLOCKER Karte strahlt nicht permanent. Da die Funkwellen des lesenden Gerätes genutzt werden, benötigt die Karte keine eigene Stromquelle. Sie ist also komplett wartungsfrei.
„Ein Android-Handy mit entsprechender App kann problemlos als NFC-Lesegerät genutzt werden“
mz: Wie genau gehen Betrüger vor, um an die privaten EC-Karten, Kreditkarten und Personalausweise der Verbraucher zu gelangen und wie kann Active Blocker dagegen wirken?
Lukas Granecki/Andreas Hintermayr: Das Gefährliche ist, dass Betrüger nicht mehr physischen an die Giro- bzw. Kreditkarten gelangen müssen. Alles was man lesen kann, kann man auch kopieren und entsprechend missbrauchen. Der Betrüger muss quasi nur noch die Karten unbemerkt durch die Gesäß- oder Handtasche mit einem mobilen Lesegerät scannen und auslesen. Situationen in denen es normal ist, dass fremde Menschen relativ nahe an jemandem stehen sind ideal für Betrüger. Beispiele dafür sind Rolltreppen in Einkaufszentren, Warteschlangen an Kassen, auf Märkten oder in der überfüllten U-Bahn.
Die NFC-Lesegeräte selbst sind so klein und unauffällig wie ein Mobiltelefon und kosten 20-30€. Selbst ein Android-Handy mit entsprechender App kann problemlos als NFC-Lesegerät genutzt werden. Damit ausgestattet schlendert der Betrüger z.B. durch die U-Bahn und kopiert sich die Daten von zig Kreditkarten und kauft damit am gleichen Tag z.B. online bis zum Kartenlimit ein. Die Bestellung lässt er an ein unbewohntes Haus liefern, an welchem er noch schnell vorher den Namen am Klingelschild anbringt.
Aber auch direkte kontaktlose Abbuchungen sind hier im Fokus. Wenn man sich vorstellt, dass ein Betrüger durch eine Einkaufspassage mit einem mobilen Bezahlterminal läuft und von jeder Karte „im Vorbeigehen“ 20€-50€ abbucht, kann man sich das Ausmaß der Sicherheitslücke vielleicht etwas besser vorstellen.
Ein massives und wachsendes Problem ist auch das Auslesen und die unerlaubte Verwendung der Daten, welche sich auf dem neuen Personalausweis befinden. Identitäsdiebstahl hat in den letzten Jahren extrem zugenommen. Diese Daten werden dazu benutzt eine Identität zu kopieren: Es werden z.B. Konten eröffnet, Verträge abgeschlossen oder Bezahlvorgänge unter der gestohlenen Identität durchgeführt.
Wäre in all diesen Szenarien eine ACIVE BLOCKER Karte in jeder Brieftasche – es würde nichts passieren. Personalausweis, Giro- und Kreditkarte sind nämlich dann in der Geldbörse nicht mehr auslesbar.
Das Störsignal hat keine Auswirkungen
mz: Der Active Blocker würde den fremden Zugriff durch ein aktives Störsignal unterbinden. Kann dieses Signal auch schädlich für die Karten sein?
Lukas Granecki/Andreas Hintermayr: Ganz klares „Nein“. Es hat weder Auswirkungen auf den Magnetstreifen, noch auf den integrierten Chip. Das Störsignal ist ein zusätzliches Signal auf gleicher Frequenz, welches wie bereits erwähnt nur erzeugt wird, wenn jemand versucht die Kartendaten auszulesen.
mz: Gibt es Möglichkeiten die Funktionalität des Active Blockers zu testen?
Lukas Granecki/Andreas Hintermayr: Ja und das auch noch sehr einfach. Beim nächsten Bezahlvorgang (z.B. an der Tankstelle) nehmen Sie Ihre NFC-fähige Girokarte aus der Geldbörse und legen die ACTIVE BLOCKER Karte darauf. Dann versuchen Sie damit an dem kontaktlosen Bezahlterminal zu zahlen. Es wird nicht funktionieren – die Girokarte kann nicht ausgelesen werden, da diese durch die ACTIVE BLOCKER Karte geschützt ist. Im Anschluss legen Sie nur die Girokarte auf das Bezahlterminal. Der Zahlungsvorgang kann wieder wie gewohnt kontaktlos erfolgen. Natürlich ist ein Funktionstest aber auch mit einem günstigen NFC-Lesegerät (im Handel ab 20€ erhältlich) oder einem Android-Handy mit entsprechender kostenloser App möglich.
mz: Vielen Dank für das Interview.
Selber testen macht schlau.
Ich habe zwei NFC-fähige Karten aufeinandergelegt. (Bank- und Kreditkarte)
Konnte trotzdem mittels App (nicht im Store) und Android-Handy eine der Karten auslesen.
Dazu benötigt man kein Bezahlterminal oder Kartenleser.
Vorname, Nachname, Kartennummer, Ablaufdatum wurden ausgelesen.
Mein Fazit:
-zweite NFC fähige Karte reicht nicht aus um sich zu schützen
-Problem ist eher das Auslesen und Missbrauchen dieser Informationen (nicht unbedingt das Abbuchen von Kleinbeträgen)
-ohne Schutzkarte oder Alufolie ist man angreifbar, da diese ausgelesenen Informationen ausreichen um z.B online shoppen zu gehen. (auch ohne PIN)
Diese Werbung irritiert mich doch sehr. Schließlich kann man in Fachzeitschriften schon lange lesen, dass der geschilderte Angriff nicht nur schwierig ist, sondern sich Bezahlterminals nicht anonym betreiben lassen. Und ohne PIN reden wir nur über Kleinbeträge. Alles – wie gewohnt – hervorragend recherchiert und dokumentiert in der c’t. Man braucht auch keinen Active Blocker. Eine zweite NFC-fähige Karte in der Brieftasche reicht vollkommen aus. Die quatschen so durcheinander, damit kann kein Lesegerät etwas anfangen. Das kann man – genau wie im obigen „Artikel“ beschrieben – ebenfalls beim nächsten Einkauf ausprobieren.
Wer trotzdem diesen Aluhut-Ersatz in der Brieftasche haben möchte, nimmt es hoffentlich als Werbegeschenk mit und gibt nicht auch noch Geld dafür aus.