NFC card skimming and stripping

Skimming-Betrug mit NFC-Karten

Diese Geschichte handelt von Rob, der an einem schwülen Sommerabend bei Anbruch der Nacht zum Tanzen in die Disco ging. Pulsierende Musik, eine attraktive Tanzpartnerin, viel Körperkontakt und ein sehr später Heimweg: Es war ein durchaus gelungener Abend, bis wenige Wochen später auf seinem Kontoauszug drei Abbuchungen in Höhe von je 19,99 Euro auftauchten – datiert auf diesen Disco-Tag. Da Rob alle Getränke im Club bar bezahlt hatte, musste hier etwas anderes passiert sein.

Skimming-Abzocke auf der Tanzfläche

Dieser Albtraum beginnt bei Robs Portemonnaie – genauer gesagt bei seiner EC-Karte. Robs Bank hatte ihm kurz zuvor eine neue EC-Karte mit NFC-Technologie für kontaktloses Bezahlen zugeschickt. Mit NFC-fähigen Karten ist das Bezahlen so einfach wie nie: Dazu die Karte mit einer Entfernung von wenigen Zentimetern an das Kartenlesegerät halten – ohne Eingabe einer PIN. Zudem können über NFC maximal 20 Euro pro Transaktion abgebucht werden. Was sollte also schiefgehen? Aber an Robs Abend im Tanzclub ging etwas schief. Die Frage ist, wie wahrscheinlich solch ein Szenario ist, und ob das auch Ihnen passieren kann – in der Disco, in der U-Bahn oder inmitten einer Menschenmenge.

Eine schnelle Einführung in NFC

NFC card skimming and stripping - in-post

Fangen wir zunächst vorn an: NFC steht für Near Field Communication. Mittels NFC-Technologie werden kleine Datenpakete mit einer Frequenz von 13,56 MHz ausgetauscht. Kann ein Gerät Informationen senden und empfangen, beispielsweise vom Bezahlsystem Google Pay oder dem NFC-Kartenlesegerät an der Kasse, ist es aktiv. Kann es nur bestimmte Kontodaten senden, wie beispielsweise NFC-fähige EC-Karten, ist das Gerät passiv.

Die drei Faktoren, die zu Robs Albtraum geführt haben, gibt es tatsächlich: NFC-Karten, billige NFC-Kartenleser und längere Übertragungsentfernungen bei NFC-Transaktionen.

  1. NFC-fähige Karten: Robs EC-Karte war mit der NFC-Technologie für kontaktloses Bezahlen ausgestattet – wie Ihre vermutlich auch. Dieser Kartentyp setzt sich immer mehr durch. Laut der Deutschen Bundesbank haben die meisten der Bezahlkarten von internationalen Anbietern eine Funktion für kontaktloses Bezahlen, und bis 2019 soll auch der Großteil der neuen Girocards (im Volksmund immer noch als EC-Karte bezeichnet) diese Funktion erhalten.
  2. NFC-Kartenlesegeräte: Diese Kartenleser sind deutlich kleiner als eine durchschnittliche Ladenkasse. Die neuesten Modelle haben etwa die Größe eines Smartphones. Und tatsächlich könnte Ihr Smartphone nach etwas technischer Optimierung und mit zusätzlicher Software auch als NFC-Kartenlesegerät fungieren.
  3. Übertragungsentfernung: Offiziell dürfen laut NFC Forum höchstens vier Zentimeter zwischen der Karte und dem Kartenleser liegen. Laut Forschern kann diese Entfernung jedoch auf 80 cm erweitert werden, das ist also ein deutlich größerer Abstand als beispielsweise beim Tangotanzen.

Wie real ist die Gefahr durch NFC-Skimming?

Es gibt unzählige potenzielle Sicherheitsbedrohungen, die sich aber nie wirklich manifestieren. Auf den ersten Blick gehört NFC-Betrug dazu. Das Internet ist voll mit Artikeln, die darin die nächste große Betrugsmasche sehen. Eine entsprechende Kriminalitätswelle hat sich bisher aber auf sich warten lassen, und The Register beschreibt das Abgreifen von Daten mittels NFC-Technologie sogar als „einfach und sinnlos“.

Ein Blick auf die Statistik ermöglicht jedoch eine differenziertere Beurteilung der Situation. Laut Financial Fraud Action UK haben 2016 sowohl die Transaktionen als auch die Betrugsfälle mit der NFC-Technologie zugenommen. 2016 wurden mit NFC-Betrug fast 7 Millionen Pfund erbeutet – im Vergleich zu 2,8 Millionen Pfund im Vorjahr. Gleichzeitig stieg die über NFC gezahlte Gesamtsumme von 7,75 Milliarden Pfund im Vorjahr auf 25,2 Milliarden Pfund an. Diese Daten aus Großbritannien zeigen, dass die Betrugsquote nahezu unverändert ist, die NFC-Technologie aber durchaus für kriminelle Machenschaften missbraucht wird.

Noch gibt es Hindernisse für den ganz großen NFC-Coup

Es scheint zwei wesentliche Gründe dafür zu geben, dass sich der Betrug mit kontaktlosem Bezahlen noch nicht zur neuen Betrugsmasche entwickelt hat:

  1. Begrenzte Optionen, Daten in Bargeld umzusetzen: Betrüger müssten ein offizielles Unternehmen gründen, um die illegal erbeuteten Kartendaten bei der Bank in Geld umzuwandeln. Damit würden sie sich einem erheblichen Risiko aussetzen.
  2. Geringe Ausbeute: Zudem ist das Limit für NFC-Transaktionen mit 20 bis 30 Euro sehr niedrig und die potenzielle Ausbeute im Verhältnis zum Risiko damit sehr gering.

Aber kein Grund für eine Entwarnung!

Eine Änderung einer dieser beiden Faktoren könnte aber jederzeit eine Betrugswelle auslösen. Entweder gelingt es Hackern, NFC-Zahlungen ähnlich unkompliziert von der Bank einzustreichen, wie sie einst an Geld für Premium-SMS gekommen sind. Oder die Banken beschließen, dass das Limit mit 20 Euro deutlich zu niedrig angesetzt ist, und erhöhen es auf 150 Euro. Tritt eines dieser beiden Szenarien ein, sollten Sie vielleicht in Erwägung ziehen, sich einen RFID-Blocker beziehungsweise eine RFID blockierende Schutzhülle zu besorgen.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.