Sicherheitslücken in digitalen Wallets – Betrug mit fremden Karten möglich

Forscher haben schwerwiegende Schwachstellen in digitalen Geldbörsen (Wallets) wie Apple Pay, Google Pay und PayPal entdeckt, die es ermöglichen, gestohlene und gesperrte Kreditkarten weiterhin für Transaktionen zu nutzen. Diese Schwachstellen, die teilweise seit der verantwortungsvollen Offenlegung im letzten Jahr behoben wurden, erlauben es Angreifern, eine gestohlene Kreditkartennummer dennoch zu einer digitalen Geldbörse hinzuzufügen und Einkäufe zu tätigen, selbst wenn die Karte nachträglich gesperrt oder ersetzt wird.

Ein Forscherteam bestehend aus Raja Hasnain Anwar (UMass Amherst), Syed Rafiul Hussain (Penn State) und Muhammad Taqi Raza (UMass Amherst) präsentierte diese Erkenntnisse letzte Woche auf der Usenix Security 2024. In ihrem Papier mit dem Titel “In Wallet We Trust: Bypassing the Digital Wallets Payment Security for Free Shopping” beschreiben die Wissenschaftler kritische Schwächen in den Authentifizierungs- und Zugriffskontrollmechanismen großer digitaler Geldbörsen und US-amerikanischer Banken.

Die Forscher zeigen, wie Angreifer mit begrenzten persönlichen Informationen gestohlene Karten zu ihren digitalen Geldbörsen hinzufügen und im Nachgang unautorisierte Transaktionen durchführen können. Dabei könnte das Angriffsszenario folgenermaßen aussehen: Ein Angreifer stiehlt eine Kreditkarte und ermittelt über Online-Datenbanken die Adresse des Opfers. Anschließend versucht der Angreifer, die Karte zu verschiedenen digitalen Geldbörsen hinzuzufügen. Da unterschiedliche Wallets unterschiedliche Authentifizierungsmethoden verwenden, ist jeder Wallet-Dienst, der eine Adresse oder Postleitzahl zur Authentifizierung verlangt, für den Angriff geeignet.

In Deutschland funktioniert ein solcher Trick allerdings beileibe nicht bei allen Banken, sondern nur bei solchen, die, wenn etwa eine Debitcard bereits bei Google Pay auf dem einen Konto des tatsächlichen Inhabers freigeschaltet wurde, auch für andere Google-Konten hinzufügbar ist, ohne dass eine weitere Nachfrage erfolgt. Im Falle einer großen Direktbank sollen hierfür die auf der Kreditkarte oder Debitkarte hinterlegten Informationen reichen – es erfolge dann laut Kundenservice nur ein Hinweis an den Kontoinhaber, dass die Karte erfolgreich in die Wallet übernommen wurde. Im Falle einiger Banken dürfte nicht einmal eine solche Nachricht ausgesandt werden.

Nicht immer schützt die 2FA vor Missbrauch mit virtuellen Karten

Besonders problematisch ist, dass die Authentifizierungsprozesse zwischen Banken und digitalen Geldbörsen von Angreifern manipuliert werden können. Denn zahlreiche Banken ermöglichen es den Nutzern, zwischen einer weniger sicheren, rein wissensbasierten Authentifizierung (KBA) und einer sichereren Zwei-Faktor-Authentifizierung (2FA) zu wählen. Angreifer könnten laut dem Forscherteam das System austricksen, indem sie die Bank dazu bringen, auf KBA zurückzugreifen, indem sie beispielsweise die automatisierte Telefonhilfe der Bank nutzen.

Ein weiteres Problem besteht darin, dass wiederkehrende Transaktionen wie Abonnements unter Umständen weiterhin mit einer gesperrten Karte durchgeführt werden können. Angreifer können Händler täuschen, indem sie eine Transaktion als wiederkehrend klassifizieren, sodass diese auch nach Sperrung der Karte akzeptiert wird. Einmal im Besitz der gestohlenen Karte und der persönlichen Daten des Opfers, kann der Angreifer somit die Karte zu seiner Wallet hinzufügen und uneingeschränkt Einkäufe tätigen. Das könne selbst dann funktionieren, wenn der rechtmäßige Karteninhaber die Karte sperrt oder eine Ersatzkarte erhält. In einem Fall mit besagter Direktbank in Deutschland trat aber genau das nicht auf, der Kunde konnte noch während der Beschwerde und Sperrung der Karte am Telefon beobachten, wie die Karte auch aus seiner (korrekten) Google Wallet verschwand. Entsprechend dürfte sie auch bei einem potenziellen Angreifer aus der Wallet entfernt worden sein. Wichtig ist dabei natürlich, dass eine Bank den alten Token unbrauchbar macht und nicht mit der neuen Karte verknüpft.

Wir stellen fest, dass das Ökosystem des digitalen Zahlungsverkehrs die dezentrale Delegation von Autoritäten unterstützt, die für eine Reihe von Angriffen anfällig ist. Die Auswirkungen dieser Angriffe sind schwerwiegend, da der Angreifer mit der Bankkarte des Opfers Einkäufe in beliebiger Höhe tätigen kann, obwohl diese Karten gesperrt sind und der Bank als gestohlen gemeldet wurden.”

Aus dem Abstract der Studie

Problematisch ist außerdem die Vielzahl an Banken und Sparkassen, die im Rahmen der Vorgaben nicht einheitlich mit der Einbindung von Kredit- und Debitkarten umgehen – insbesondere, wenn diese im jeweiligen Payment-Universum (Google Pay oder Apple Pay) schon einmal eingebunden waren. Umgekehrt können auf diese Weise, wenn es einem Angreifer gelingt, eine Karte erstmalig in ein Payment-Konto einzubinden, aber auch Nutzer betroffen sein, die gar nicht über ein Smartphone in der entsprechenden Betriebssystemwelt (Android oder iOS) verfügen.

Push-Benachrichtigungen der Banken nur eine Möglichkeit zum Schutz

Die Forscher haben ihre Entdeckungen bereits im April 2023 an betroffene US-Banken und Anbieter digitaler Wallets weitergeleitet. Während einige, wie Google, bereits daran arbeiten, die Probleme zu beheben, haben andere, darunter Apple und PayPal, bisher keine Stellungnahme abgegeben. Zur Vermeidung solcher Sicherheitslücken empfehlen die Forscher den Banken die Einführung von Push-Benachrichtigungen, die Verwendung von kontinuierlicher Authentifizierung bei der Token-Verwaltung und eine sorgfältigere Überprüfung von wiederkehrenden Transaktionen durch Banken.

Möglich wäre aber auch ein weiterer Schritt, der Banking mit virtuellen Kreditkarten in Wallets sicherer machen würde: Wenn Banken bei jedem Hinzufügen in eine App eine 24-Stunden-Karenzpflicht einhalten würden, bevor die Karte dort voll genutzt werden kann (und währenddessen den Kontoinhaber hierüber informieren würden), würde das deutlich mehr Schutz bringen. Denkbar wäre auch, dass eine solche Frist verkürzt werden kann, wenn der Kunde explizit per App erklärt, dass er dies veranlasst hat und gegebenenfalls mit der Mailadresse des Kontos gegenzeichnet. So oder so zeigen solche Schwachstellen auf, wie wichtig eine sichere und sorgfältige Implementierung von Authentifizierungsprozessen in digitalen Geldbörsen ist, um die Sicherheit der Nutzer zu gewährleisten.

Die vollständige Studie kann hier heruntergeladen werden, eine Angabe persönlicher Daten ist nicht notwendig. tw