Apple Pay: Sicherheitsspezialisten äußern Bedenken

Sicherheitsspezialisten kritisieren die bisherigen Vorkehrungen bei Apple Pay, um den Einsatz gestohlener Kreditkartendaten zu verhindern. Sie drängen zu besseren Methoden, um bei Apple Pay und anderen angekündigten mobilen Bezahldiensten wie Samsung Pay die tatsächliche Identität des Nutzers sicherzustellen.

Die Bedenken fasst der Sicherheitsexperte Brian Krebs in einem Blogeintrag zusammen. Er moniert insbesondere, dass es Apple Pay Cyberdieben ermöglicht, hochpreisige Waren in stationären Ladengeschäften zu ergaunern mit gestohlenen Debit- und Kreditkartennummern, die sich bislang nur für Onlinebetrug eigneten.

Für Einkäufe in einem Elektromarkt auf Kosten anderer müssen Betrüger gewöhnlich „Dumps“ erwerben, die von den Magnetstreifen der Karten abgelesenen Daten. Diese Daten werden meist mittels Malware aus Kassensystemen von Einzelhandelsketten abgegriffen – bei Target beispielsweise waren bis zu 110 Millionen Kunden von einem solchen Hack betroffen. Die Dump-Käufer übertragen die Daten auf eine neue Karte und gehen damit auf Einkaufstour. Der durchschnittliche Preis eines Datensatzes liegt zwischen 10 und 30 Dollar, kann aber Kriminellen den vielfachen Wert an gut wiederverkäuflicher Ware einbringen.

Für Online-Betrügereien kommen hingegen bevorzugt gestohlene Karteninformationen aus gehackten Online-Stores zum Einsatz, die noch deutlich günstiger zu bekommen sind. Sie werden in einschlägigen Kreisen als „CVVs“ bezeichnet, einer Abkürzung für Card Verification Value, die dreistellige Prüfnummer auf der Rückseite von Kreditkarten. Betrüger erhalten die CVVs einschließlich Kartennummer, Gültigkeitsdatum sowie den Adressdaten des Karteninhabers. Sie kosten laut Brian Krebs jeweils nur zwischen 1 und 5 Dollar, weil sie weniger vielseitig einsetzbar sind.

„Mit Apple Pay wird diese Beschränkung von CVVs ausgehoben, weil es Anwendern erlaubt, sich online für eine in Läden nutzbare Bezahlmethode zu registrieren, wofür wenig mehr als ein gehacktes iTunes-Konto und CVVs erforderlich sind“, führt der Sicherheitsexperte aus. „Das ist deshalb so, weil die meisten Banken, die Apple Pay für ihre Kunden freigeben, wenig bis gar nichts unternehmen, um von ihren Kunden einen Beweis dafür zu erhalten, dass sie tatsächlich die Karte in ihrem Besitz haben.“

Inzwischen sind die US-Banken, die Apple Pay unterstützen, über die umfangreichen Betrugsfälle mit diesem Bezahldienst überrascht. Laut Guardian summieren sich die Verluste bereits auf Millionen Dollar. Apple sieht die Schuld jedoch bei den Finanzinstituten selbst und verweist darauf, dass seine Sicherheitsmechanismen für die Bezahlung mit auf dem iPhone gespeicherten Kartendaten nicht kompromittiert wurden.

Um mit Apple Pay zu bezahlen, müssen Anwender ihr iPhone lediglich in die Nähe eines kontaktlosen Lesegeräts halten und den Zahlvorgang über den Fingerabdruckscanner TouchID autorisieren. Apple Pay unterstützt Kredit- und Bankkarten der großen Zahlungsorganisationen American Express, Mastercard und Visa. Das Bezahlverfahren ist seit Oktober in den USA nutzbar.

Als Schwachstelle entdeckten Betrüger das Ausgabeverfahren der Banken. „Wenn Sie eine Kredit- oder Debitkarte zu Apple Pay hinzufügen wollen, schickt Apple die verschlüsselten Daten zusammen mit anderen Informationen über Ihre iTunes-Kontoaktivitäten und das Gerät (wie den Namen Ihres Geräts, seinen gegenwärtigen Standort, und ob Sie einen langen Verlauf von Transaktionen innerhalb von iTunes haben) an Ihre Bank”, heißt es in Apples Supportseiten. “Mit dieser Information wird Ihre Bank bestimmen, ob sie das Hinzufügen Ihrer Karte zu Apple Pay genehmigt.”

„Das sind alles nützliche Datenpunkte, solange Betrüger nicht das iTunes-Konto gehackt haben, auf dem all diese Informationen basieren“, gibt Brian Krebs zu bedenken und verweist dabei auf den umfangreichen Handel im Cybercrime-Untergrund mit erbeuteten iTunes-Konten. Der übliche Preis für ein solches Konto betrage rund 8 Dollar. „Die Ironie besteht darin, dass Apple Pay als sicherere Alternative zur Bezahlung mit einer Kreditkarte beworben wird. Aber durch die Art und Weise, wie Apple und die Banken es implementiert haben, macht es den Kartenbetrug tatsächlich billiger und einfacher.“

Laut Cherian Abraham, der US-Finanzorganisationen hinsichtlich mobiler Finanzdienste berät, sind weitere Betrugsserien nicht zu verhindern, solange sich die Kartenaussteller auf leicht zu umgehende Maßnahmen verlassen. Auch die Gartner-Analystin und Sicherheitsexpertin Avivah Litan legt den Banken dringend nahe, nicht die Zeit und den Aufwand zu scheuen, „robustere, durchdachtere und besser skalierbare Lösungen für die Identitätsprüfung ihrer Kunden zu entwickeln“.

[mit Material von Natalie Gagliordi, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.