Hacker-Kinderspiel

RFID-Kreditkarten durch Kleidung hindurch geknackt

Eine Hackerin hat am Wochenende in den USA bewiesen, wie einfach es ist, Kreditkarten mit RFID-Chip zur kontaktlosen Bezahlung zu knacken. Ein Lesegerät für umgerechnet 40 Euro reicht aus, um vom Besitzer völlig unbemerkt - durch Kleidung und Geldbörse hindurch - dessen Daten zu stehlen und für eine Transaktion zu nutzen.

RFID (Radio Frequency Identification) wird immer beliebter, in den USA sind die zugehörigen Chips auf Kreditkarten bereits weit verbreitet. Der Durchbruch in Europa lässt bisher auf sich warten, doch auch hier soll sich das System bald etablieren. Schließlich lassen sich so Einkäufe tätigen, ohne die Karte aus der Geldbörse holen und eine Unterschrift leisten zu müssen. Der Chip überträgt die nötigen Daten stattdessen per Funk an die Lesestation. Diese Bequemlichkeit birgt allerdings Risiken, vor denen seit Jahren gewarnt wird.

Die Sicherheitslücken eindrücklich aufgedeckt hat nun Kristin Paget auf der Shmoocon-Hackerkonferenz in Washington. Nötig für den digitalen Diebstahl ist lediglich ein RFID-Kreditkartenleser, der für etwa 40 Euro zu haben ist. Der Datenklau ist binnen Sekunden erledigt. Durch Kleidung und Geldbörse hindurch konnte Paget die nötigen Daten stehlen: Kreditkartennummer, Verfallsdatum sowie einen für jede Transaktion nötigen, zufällig generierten Code.

Rohlinge werden mit gestohlenen Daten zu Kreditkarten
Um diese Informationen zu nutzen, braucht es schließlich ein etwa 230 Euro teures Schreibgerät, das legal erhältliche Kreditkartenrohlinge mit den gestohlenen Daten versieht. Die so erstellten Kreditkarten können anschließend zum Beispiel mit einem mobilen Lesegerät verwendet werden, der sich aufs iPhone aufstecken lässt. Bei ihrer Demonstration konnte Paget 15 Dollar eines Freiwilligen von dessen Konto auf ihres überweisen - natürlich, um ihm das Geld anschließend zurückzugeben.

Die Kreditkartenunternehmen wollen trotz der Vorführung keine Gefahr für ihre Systeme sehen. Noch habe es keine Missbrauchsfälle gegeben, hieß es etwa, zudem könnten nur zertifizierte Lesegeräte die Daten abrufen.