11.02.2015

Silent Spy: Kreditkartendaten im Vorbeigehen klauen

NFC und Kreditkarten

NFC (Near Field Communication) ist eine Datenschnittstelle zwischen elektronischen Geräten ähnlich wie die Infrarot-Schnittstelle oder Bluetooth. NFC arbeitet auf Funkbasis (im Frequenzbereich von 13,56 MHz), überträgt maximal 424 kBit/s und ist für eine Reichweite von wenigen Zentimetern spezifiziert.

Die Schnittstelle kann für die unterschiedlichsten Einsatzbereiche verwendet werden, kommt aber bisher vor allem in Lösungen für Micropayment – das bargeldlose Zahlen kleiner Beträge – zum Einsatz. So sind viele Kreditkarten heute mit einem Funkchip mit NFC ausgestattet (erkennbar an einem Symbol auf der Karte), über den kontaktlos Zahlungen geleistet werden können. Der Bezahlvorgang ist dabei maximal komfortabel: Sowie man die Karte auf das Lesegerät legt, wird über das elektrische Feld Strom übertragen (Induktion), der Chip in der Karte wacht auf und die für den Bezahlvorgang benötigten Daten werden übertragen. Auf eine Authentifizierung des Zahlenden via PIN, Kartenprüfnummer oder Unterschrift wird dabei bis zu einem bestimmten Betrag (meistens € 20,- bis € 50,-) ganz bewusst verzichtet.

NFC ist natürlich nicht auf Kreditkarten beschränkt, sondern kann in beliebigen Geräten eingesetzt werden. Bereits 2007 kam z.B. das erste NFC-fähige Handy auf den Markt (das 6131 NFC von Nokia) und heute gehört NFC zumindest bei den etwas besseren Smartphones zum guten Ton. Die Smartphones können – die entsprechende App vorausgesetzt – Kreditkarten emulieren und so zur digitalen Geldbörse werden.

Kreditkarte – alles ist standardisiert

Kreditkarten müssen weltweit mit Lesegeräten der unterschiedlichsten Herstellern zusammenarbeiten. Dafür ist die Struktur der auf dem NFC-Chip abgelegten Daten und die für den Zugriff benötigten Protokolle im EMV-Standard festgelegt. Das Kürzel EMV steht für die drei großen Kartenanbieter Europay International (heute: MasterCard Europe), MasterCard und VISA. Der EMV-Standard ist frei verfügbar und kann von der Webseite EMVCo heruntergeladen werden.

NFC + EMV = Desaster

Betrachtet man NFC und EMV aus Sicht der Informationssicherheit, sträuben sich einem die Nackenhaare. Die Kombination beider Standards bedeutet nämlich eines: die auf dem NFC-Chip gespeicherten Daten können ausgelesen werden ohne das sich das Lesegerät autorisieren muss. Dabei werden – quasi als kleines Sahnehäuchen – die Daten unverschlüsselt übertragen. Darunter befinden sich:

  • die ausstellende Bank
  • die Kreditkarten-Nummer
  • das Verfallsdatum der Kreditkarte und
  • häufig auch der Name des Kreditkarteninhabers

Klartext: Jedes beliebige Lesegerät und jedes NFC-fähige (Android-)Smartphone kann genau Daten im Vorübergehen auslesen, die bei vielen Online-Shops zum Bezahlen ausreichen.

Silent Spy für unter € 200,-

In einer kurzen Session habe ich mir ein mobiles Lesegerät gebastelt (die gibt es zwar auch fertig im Netz, aber man möchte ja auch Spaß haben). Benötigt wird dafür:

  • ein Raspberry Pi (inkl. SD-Karte und WLAN-Karte)
  • ein Akku-Pack
  • ein NFC-Reader mit USB-Anschluss (z.B. von der Firma ubisys) für ca. € 100,- und
    *eine handelsübliche NFC-Antenne und
  • frei verfügbare Tools wie z.B. Cardpeek

Das einzige Problem: die geringe Reichweite

Mit einem herkömmlichen Lesegerät kann man Kreditkarten durch Stoff und Geldbörse hindurch auslesen, die Reichweite ist aber auf wenige Zentimeter beschränkt. Man muss dem Opfer in der Praxis schon gehörig dicht auf den Pelz rücken. Mit einer entsprechenden (aktiven) Antennentechnik für wenige hundert Euro sind aber auch Entfernungen bis zu 50cm machbar. Dazu (hoffentlich) später mehr.