Kritik an den Sicherheitsvorkehrungen bei Apple Pay nimmt zu
Die derzeit bekannten Sicherheitsvorkehrungen bei Apple Pay, die den Einsatz gestohlener Kreditkartendaten verhindern sollen, halten Experten für unzureichend. Allerdings sei das nicht nur bei Apple Pay der Fall, sondern auch bei anderen, bereits angekündigten mobilen Bezahldiensten, etwa Samsung Pay. Im Mittelpunkt der Kritik steht das aus Sicht der Spezialisten unzureiochend gelöste Problem, die tatsächliche Identität der Nutzers festzustellen.
Der Sicherheitsexperte Brian Krebs fasst die Bedenken in einem Blog zusammen. Er bemängelt dort insbesondere, dass es Apple Pay Kriminellen ermöglicht, hochpreisige Waren in stationären Ladengeschäften mit gestohlenen Debit- und Kreditkartennummern, die sich bislang nur für Onlinebetrug eignen, zu ergaunern.
Für Einkäufe in einem Elektromarkt auf Kosten anderer müssen Betrüger gewöhnlich “Dumps” erwerben, die von den Magnetstreifen der Karten abgelesenen Daten. Diese Daten werden meist mittels Malware aus Kassensystemen von Einzelhandelsketten abgegriffen. Die Käufer übertragen die Daten auf eine neue Karte und gehen damit einkaufen. Der durchschnittliche Preis eines Datensatzes liegt zwischen 10 und 30 Dollar, kann aber Kriminellen den vielfachen Wert an gut wiederverkäuflicher Ware einbringen.
Für Online-Betrügereien kommen hingegen bevorzugt gestohlene Karteninformationen aus gehackten Online-Stores zum Einsatz. Die sind noch deutlich günstiger zu bekommen. Sie werden in einschlägigen Kreisen als “CVVs” bezeichnet, einer Abkürzung für Card Verification Value, die dreistellige Prüfnummer auf der Rückseite von Kreditkarten. Betrüger erhalten die CVVs einschließlich Kartennummer, Gültigkeitsdatum sowie den Adressdaten des Karteninhabers. Sie kosten laut Brian Krebs jeweils nur zwischen 1 und 5 Dollar, weil sie bislang weniger vielseitig einsetzbar sind.
“Mit Apple Pay wird diese Beschränkung von CVVs ausgehoben, weil es Anwendern erlaubt, sich online für eine in Läden nutzbare Bezahlmethode zu registrieren, wofür wenig mehr als ein gehacktes iTunes-Konto und CVVs erforderlich sind”, führt der Sicherheitsexperte aus. “Das ist deshalb so, weil die meisten Banken, die Apple Pay für ihre Kunden freigeben, wenig bis gar nichts unternehmen, um von ihren Kunden einen Beweis dafür zu erhalten, dass sie tatsächlich im Besitz der Karte sind.”
Inzwischen sind die US-Banken, die Apple Pay unterstützen, über die hohe Zahl an Betrugsfällen mit dem Bezahldienst überrascht. Laut Guardian summieren sich die Verluste bereits auf mehrere Millionen Dollar. Apple sieht die Schuld jedoch bei den Finanzinstituten und verweist darauf, dass seine Sicherheitsmechanismen für die Bezahlung mit auf dem iPhone gespeicherten Kartendaten sicher seien.
Um mit Apple Pay zu bezahlen, müssen Anwender ihr iPhone lediglich in die Nähe eines kontaktlosen Lesegeräts halten und den Zahlvorgang über den Fingerabdruckscanner TouchID autorisieren. Apple Pay unterstützt Kredit- und Bankkarten der großen Zahlungsorganisationen American Express, Mastercard und Visa. Das Bezahlverfahren ist seit Oktober in den USA nutzbar.
Als Schwachstelle entdeckten Betrüger das Ausgabeverfahren der Banken. “Wenn Sie eine Kredit- oder Debitkarte zu Apple Pay hinzufügen wollen, schickt Apple die verschlüsselten Daten zusammen mit anderen Informationen über Ihre iTunes-Kontoaktivitäten und das Gerät (wie den Namen Ihres Geräts, seinen gegenwärtigen Standort, und ob Sie einen langen Verlauf von Transaktionen innerhalb von iTunes haben) an Ihre Bank”, heißt es in Apples Supportseiten. “Mit dieser Information wird Ihre Bank bestimmen, ob sie das Hinzufügen Ihrer Karte zu Apple Pay genehmigt.”
“Das sind alles nützliche Datenpunkte, solange Betrüger nicht das iTunes-Konto gehackt haben, auf dem all diese Informationen basieren”, gibt Brian Krebs zu bedenken und verweist dabei auf den umfangreichen Handel im Cybercrime-Untergrund mit erbeuteten iTunes-Konten. Der übliche Preis für ein solches Konto betrage rund 8 Dollar. “Die Ironie besteht darin, dass Apple Pay als sicherere Alternative zur Bezahlung mit einer Kreditkarte beworben wird. Aber durch die Art und Weise, wie Apple und die Banken es implementiert haben, macht es den Kartenbetrug tatsächlich billiger und einfacher.”
Laut Cherian Abraham, der US-Finanzorganisationen hinsichtlich mobiler Finanzdienste berät, sind weitere Betrugsserien nicht zu verhindern, solange sich die Kartenaussteller auf leicht zu umgehende Maßnahmen verlassen. Auch Gartner-Analystin und Sicherheitsexpertin Avivah Litan empfiehlt den Banken dringend,”robustere, durchdachtere und besser skalierbare Lösungen für die Identitätsprüfung ihrer Kunden zu entwickeln”.
[mit Material von ZDNet.de]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.