Zurück

Wie Betrüger Sicherheitslücken bei Apple Pay ausnutzen können

08.03.2016

Auch wenn Apple Pay in Deutschland noch nicht eingeführt wurde, so ist es dennoch interessant, das es anderthalb Jahre nach Einführung in den USA immer noch größere Sicherheitslücken gibt. Der für die Sicherheitsfirma Pindrop tätige David Dewey stellte fest, dass das Hinzufügen der Kreditkarten von Arbeitskollegen zum eigenen Apple-Pay-Account problemlos möglich gewesen sei.

Wie Betrüger Sicherheitslücken bei Apple Pay ausnutzen können

Wie Forbes berichtete, habe David Dewey vier fremde Kreditkarten von unterschiedlichen Banken ausprobiert. Bei einer Kreditkarte habe er die Kreditkartennummer, das Gültigkeitsdatum und die Kartenprüfnummer gebraucht, um diese fremde Karte seinem Apple-Pay-Account zuweisen zu können, bei einer anderen habe es gereicht, den Namen des Accounts an den Namen den Kreditkarteninhabers zu ändern. Auch ein Kontrollanruf von einer weiteren kartenausgebenden Bank habe sich ganz einfach überwinden lassen, da er alle nötigen Informationen für die Sicherheitsfragen durch eine Google-Suche finden konnte.

Zudem sei es bei Apple Pay möglich gewesen die fehlenden Informationen ungehindert durchzuprobieren. Eine Brute-Force-Attacke des Sicherheitsforschers erlaubte es, den dreistelligen „Card Validation Code“, also die Kartenprüfnummer, solange einzugeben, bis die zu der jeweiligen Kreditkarte passende gefunden wurde.

Bei dem iPhone-Bezahldienst nutzten seit längerem Betrüger verschiedene Methoden, um mit den geklauten Kreditkarten auf Einkaufstour zu gehen. Problematisch hierbei ist es, das man in den USA auch größere Transaktionen per Apple Pay durchführen kann und dabei oft nur eine Unterschrift erforderlich ist.

Bereits im letzten Jahr habe Apple Maßnahmen eingeleitet, um den iPhone-Bezahldienst sicherer zu machen, allerdings muss hier wohl noch nachjustiert werden.


Bildquellen:

Michaela Zimmermann / MZ-Datenservice

Zurück

1 Mit der Deutschland-Kreditkarte Classic der Hanseatic Bank kann an Geldautomaten weltweit gebührenfrei Bargeld abgehoben werden. Gegebenenfalls können hierbei Gebühren des Geldautomatenbetreibers anfallen. Das heißt, zusätzlich zum Auszahlungsbetrag können Geldautomatenbetreiber individuelle Entgelte erheben, worauf die Hanseatic Bank keinen Einfluss hat. Derzeit ist dies nur im Ausland (z.B. in Thailand oder den USA) der Fall.

2 Neukunden können den offenen Rechnungsbetrag in den ersten drei Monaten zinsfrei in Teilbeträgen zurückzahlen. Dies gilt für alle Umsätze innerhalb des Verfügungsrahmens, die in den ersten 3 Monaten nach Kreditkarteneröffnung getätigt werden. Die Kreditkarteneröffnung erfolgt in der Regel 5 – 7 Tage vor Erhalt der Kreditkarte. Nach Ablauf der 3 Monate fallen bei Teilzahlung die vertraglichen Zinsen an. Bonität vorausgesetzt. Als Neukunden zählen Antragsteller, die in den sechs Monaten vor Abschicken des Online-Antrages nicht Inhaber eines Kreditkartenkontos bei der Hanseatic Bank gewesen sind.