Mobile Payment Security - Wie sicher ist das Bezahlen mit Mobiltelefon? Opinion Paper
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Opinion Paper Mobile Payment Security Wie sicher ist das Bezahlen mit Mobiltelefon? 2012 / 11 We make ICT strategies work
Mobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
Inhaltsverzeichnis
1 Executive Summary............................................................................................. 3
2 Mobile Payment Security – Einführung ............................................................... 5
3 Bezahlen mit Mobiltelefon ................................................................................... 6
3.1 NFC-fähiges Mobiltelefon im Mobile Payment Oekosystem........................ 6
3.2 Mobile Payment Anwendungen ................................................................... 8
3.3 Authentifizierungsmethoden ...................................................................... 10
4 Bezahlungs- und Sicherheitsoptionen ............................................................... 13
4.1 Mobile Payment Bezahlungsoptionen ....................................................... 13
4.1.1 „Low Value“ und „High Value“ Transaktionen ........................................ 13
4.1.2 Offline PIN Transaktionen ...................................................................... 14
4.1.3 Online PIN Transaktionen ...................................................................... 15
4.2 Mobile Payment Sicherheitsoptionen ........................................................ 15
4.2.1 Online-Autorisierung............................................................................... 15
4.2.2 No-PIN Transaktionenzähler .................................................................. 16
4.2.3 Offline Transaktionenzähler ................................................................... 16
5 Angreifer, Schwachstellen und Bedrohungspotential ........................................ 18
5.1 Der Kreditkartenschwarzmarkt .................................................................. 18
5.2 Malware-Angriffe ....................................................................................... 20
5.3 Man-in-the-Middle Angriffe ........................................................................ 23
5.4 Abhör-Angriffe ........................................................................................... 25
6 Ergänzende Sicherheitsmassnahmen ............................................................... 28
6.1 Technische Sicherheitsmassnahmen ........................................................ 28
6.1.1 Zertifizierung und Härtung der Mobiltelefone ......................................... 28
6.1.2 Authentifizierungsmethoden ................................................................... 28
6.1.3 Deaktivierung der NFC-Funktionalität .................................................... 29
6.2 Funktionale Sicherheitsmassnahmen ........................................................ 29
6.2.1 Anpassung des „Contactless Card Limits” ............................................. 29
6.2.2 „Two Tap“ Verfahren .............................................................................. 29
6.2.3 Anwendungs-Aktivierung........................................................................ 30
7 Schlussfolgerungen ........................................................................................... 31
8 Lektüreempfehlungen ........................................................................................ 33
9 Abbildungsverzeichnis ....................................................................................... 34
10 Der Autor ........................................................................................................... 35
11 Das Unternehmen ............................................................................................. 36
Opinion Paper 2 Detecon (Schweiz) AG
Mobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
1 Executive Summary
Voraussichtlich ab 2013 soll das sogenannte Mobile Payment, die Bezahlungsfunktion mit
Mobiltelefon, in der Schweiz als neue Technologie seitens der grossen Kreditkarten-
herausgeber angeboten werden, nachdem bereits in den Jahren zuvor kontaktlose
Kreditkarten eingeführt worden sind. Erste Pilotprojekte der lokalen Kreditkartenanbieter mit
den Telekommunikations-Unternehmen wurden bereits erfolgreich abgeschlossen. Ebenso
besitzen immer mehr Mobiltelefone eine Schnittstelle für Nahfunktechnologie (Near Field
Communication, NFC) und moderne Zahlungsterminals sind vielfach mit Funktechnologie
ausgestattet. Es scheint, als stehe das mobile Bezahlen in der Schweiz nun kurz vor dem
Durchbruch.
Zu den zahlreichen Vorteilen von Mobile Payment gehören die Durchführung von
Transaktionen innerhalb von Sekundenbruchteilen, die einfache Bedienung durch
kontaktloses Platzieren des Mobiltelefons am Terminal und das Bezahlen von Kleinbeträgen
ohne PIN-Eingabe oder Unterschrift. Jedoch weisen verschiedene Seiten auch auf
sicherheitsrelevante Schwachstellen der Nahfunktechnik hin. Es wird bemängelt, dass sich
durch verschiedene Angriffsarten theoretisch Speicherkarteninhalte vom Mobiltelefon
stehlen oder Malware aufs Mobiltelefon bringen lässt. Bestimmte Malware, wie der auf
Mobiltelefone zugeschnittene ZeuS-in-the-Mobile (ZitMo) Trojaner, können eingehende
Daten abfangen und ebenfalls Transaktions- und Autorisierungsdaten an den Angreifer
weiterleiten. Ebenso besteht ohne entsprechende Sicherheitsvorkehrungen das Risiko, dass
übertragene Kreditkarten-Daten mit einfachen Applikationen abgehört und für weitere
Transaktionen missbraucht werden können.
Wie die Untersuchung aufzeigt, bietet die für Mobile Payment erforderliche zusätzliche
Schnittstelle bei korrekter Umsetzung im Zusammenspiel mit den Bezahlungs- und
Sicherheitsoptionen einen guten Schutz gegen verschiedene Angriffsvektoren wie Malware,
Man-in-the-Middle (MitM) sowie Abhör-Angriffe. Die Analyse potentieller Schwachstellen und
die praktische Umsetzbarkeit von Angriffen zeigen auf, dass das Sicherheitsrisiko durch
Malware Angriffe auf Mobiltelefone im Allgemeinen zunimmt. Dieses Risiko ist jedoch
kalkulierbar und sehr gering, sofern die Mobile Payment Anwendung korrekt umgesetzt,
grundlegende Sicherheitseinstellungen bestehen und vom Benutzer nicht umgangen
werden. Daneben besteht ein geringes Risiko durch Abhör-Angriffe, insbesondere durch
sogenannte Replay-Angriffe, bei denen der Angreifer versucht, Kreditkarten-Daten
abzufangen und wiederzuverwenden. Für den Angreifer ist es jedoch sehr schwierig, die
übertragenen Daten zur Wiederholung einer bestimmten Transaktion zu nutzen, da die
Transaktion unter anderem durch einmalige Kryptogramme geschützt wird. Als
unwahrscheinlich sind MitM-Angriffe einzustufen, bei denen sich der Angreifer zwischen
zwei Kommunikationsteilnehmer stellt und so die zwischen beiden Parteien ausgetauschten
Transaktionsdaten abfängt. Diese Angriffe scheitern daran, dass sie sehr schwierig
durchzuführen sind und die Interaktion des Angreifers durch die legitimen Benutzer leicht
entdeckt werden kann.
Die vorliegende Untersuchung ergibt, dass die Bezahlung mit Mobiltelefonen grundsätzlich
als sicher einzustufen ist. Dies hängt einerseits damit zusammen, dass die
Kreditkartenindustrie hohe Sicherheitsanforderungen stellt.1 Andererseits werden seitens der
1
Dazu gehören: Payment Card Industry Data Security Standard (PCI DSS), Payment Application Data Security
Standard (PA-DSS), Payment Card Industry PIN Transaction Security (PCI PTS).
Opinion Paper 3 Detecon (Schweiz) AG
Mobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
Kreditkartenorganisationen wie MasterCard und Visa umfangreiche Sicherheits-
anforderungen gestellt. Von den Kreditkarten herausgebenden Banken werden zudem
verschiedene Sicherheitsmechanismen zur Reduktion des finanziellen Risikos sowie
Methoden im Bereich des Betrugsmanagements eingesetzt, um die Erfolgsquote von
Angriffen so gering wie möglich zu halten.
Viele der von Sicherheitsexperten als theoretisch möglich eingestuften Angriffe konnten bis
heute unter realen Bedingungen nicht durchgeführt werden. Die Ursache wird im grossen
finanziellen, organisatorischen und zeitlichen Aufwand zur Durchführung vermutet. Bei einer
nüchternen Betrachtung der potentiellen Schwachstellen sowie der technischen
Umsetzbarkeit von Angriffen stellt sich heraus, dass andere Angriffsmethoden
erfolgsversprechender sind. Ein Grossteil der Angreifer automatisiert und rationalisiert ihre
Methoden auf sogenannte „High-Volume/Low-Risk“ Angriffe gegen schwächere Ziele. Sie
zielen auf die schwächsten Glieder der Sicherheitskette ab und umfassen Phishing-Angriffe
sowie Angriffe auf Point of Sale (POS) Systeme und Datenbanken mit Kreditkarten-
Informationen.
Neben der Einhaltung der verbindlichen Standards der Payment Card Industry (PCI) und
den technischen Standard-Sicherheitsmassnahmen, wie sichere Verschlüsselung der
Transaktionsdaten und Authentifizierung nach aktuellstem Standard, bieten die bestehenden
Bezahlungsoptionen des Mobile Payments einen guten Schutz vor Missbrauch:
Karteninhaber-Prüfung durch PIN bei „High Value“ Transaktionen ab 40 SFr.
No-PIN Transaktionenzähler, der die Anzahl der Transaktionen, die ohne PIN-Eingabe
durchgeführt werden können, einschränkt.
Offline Transaktionenzähler, der in regelmässigen Abständen eine Online-Verbindung
zum Kreditkartenherausgeber herstellt, um die Authentizität des Besitzers
sicherzustellen und das Betrugsrisiko zu minimieren.
Zusätzliche Sicherheitsoptionen, welche von den Kreditkartenherausgebern umgesetzt
werden könnten, bergen das Risiko einer verringerten Kundenakzeptanz bei der Einführung
des Mobile Payments:
Reduktion des Transaktionsbetrags, bei dem keine PIN-Eingabe notwendig ist. Dadurch
wird das maximale finanzielle Risiko zwar weiter reduziert, jedoch wird der Kunde
gezwungen, auch bei Kleinbeträgen bis 40 SFr. seine PIN einzugeben.
Durch ein zweistufiges „Two Tap“ Verfahren (Initialisierung und Transaktion) wird die
Sicherheit nochmals erhöht. Dies geht jedoch auf Kosten der Kundenakzeptanz, da der
Transaktionsprozess komplizierter wird als mit klassischer Kreditkarte üblich.
Die Option der Anwendungs-Aktivierung erlaubt dem Benutzer, die Mobile Payment
Anwendung nur dann zu aktivieren, wenn sie für eine Zahlung benötigt wird, und die
übrige Zeit auszuschalten. Da eine wiederholte Aktivierung und Deaktivierung jedoch
das Bezahlen von kleinen Geldbeträgen umständlich macht, birgt diese Option ebenfalls
einen negativen Einfluss auf die Kundenakzeptanz.
Trotz aller bestehenden Sicherheitsmassnahmen ist das Risiko eines erfolgreichen Angriffs
grundsätzlich immer vorhanden. Die Untersuchung zeigt das Spannungsverhältnis zwischen
höchstmöglicher Sicherheit und maximaler Kundenakzeptanz im Bereich mobiler
Bezahlungsmethoden auf. Die Einfachheit und Geschwindigkeit ist sowohl für Händler als
auch Kunden ein zentraler Aspekt des mobilen Bezahlens.
Opinion Paper 4 Detecon (Schweiz) AG
Mobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
2 Mobile Payment Security – Einführung
Mit der stetig steigenden Popularität des bargeldlosen Bezahlens und der Einführung der
Nahfunktechnik im Kreditkartenbereich wächst einerseits das Interesse an einer
Vereinfachung und Verkürzung des Zahlungsvorgangs, während andererseits immer wieder
Stimmen laut werden, die vor möglichen Sicherheitsrisiken warnen. In den Medien werden
potentielle Sicherheitslücken von kontaktlosen Kreditkarten sowie von Mobiltelefonen mit
Nahfunktechnik rege diskutiert. Insbesondere werden die scheinbar unzureichenden
Sicherheitsmechanismen mobiler Bezahlungsmethoden thematisiert:
Sicherheitsexperten warnen davor, dass Kreditkartentransaktionen ohne direkten Zugriff
mitverfolgt werden können, sogar dann, wenn das Smartphone in der Tasche des
Opfers bleibt. Damit liessen sich Kreditkarten nachbilden und ohne Wissen des Opfers
missbrauchen.
Daneben wird von Sicherheitsexperten bemängelt, dass eine Authentifizierung des
Karteninhabers am mit Nahfunktechnik ausgerüsteten Kartenleser bei geringen
Beträgen nicht stattfindet. Dadurch liessen sich Transaktionen aufzeichnen und zu
einem späteren Zeitpunkt über sogenannte Replay-Angriffe wiederholt ausführen.
An verschiedenen Sicherheitskonferenzen haben Experten auf Verkaufsportalen,
sogenannten App Stores, frei zugängliche Applikationen vorgestellt, die es ermöglichen,
Kreditkarten-Daten auszulesen und die für eine Kreditkartentransaktion notwendigen
Informationen zu speichern.
In zahlreichen Ländern wurden bereits Pilotprojekte zum kontaktlosen Bezahlen mit
Mobiltelefonen gestartet und einige Lösungen sind schon im Einsatz. In der Schweiz soll ab
2013 das kontaktlose Bezahlen mit Mobiltelefon als neue Technologie eingeführt werden.
Schweizer Anbieter testen bereits kontaktlose Zahlungssysteme über mit NFC-Chip
ausgestattete Smartphones. Obwohl heute nur wenige Modelle über diese Funktion
verfügen, kündigen alle grossen Mobiltelefon-Hersteller, mit Ausnahme von Apple, NFC-
fähige Geräte an. Zudem haben die meisten Hersteller von Zahlungs-Terminals NFC-fähige
Geräte in ihr Sortiment aufgenommen. Es ist zu vermuten, dass die Händler 2013 allmählich
auf NFC-Terminals umstellen werden. Studien sagen voraus, dass bis 2016 weltweit
85 Prozent aller Zahlungs-Terminals NFC-Transaktionen zulassen werden.2
Bis heute wurde die Mehrheit der potentiellen Angriffsszenarien nur unter Laborbedingungen
durchgeführt. Die Sicherheitsaspekte werden von den Medien und den Verbrauchern
thematisiert, obwohl bis heute noch keine Angriffe unter realen Bedingungen erfolgreich
durchgeführt worden sind. Dies könnte sich jedoch mit dem flächendeckenden Einsatz der
neuen Bezahlungstechnologie in den nächsten Jahren ändern. Hintergrund der Annahme
steigender Angriffe ist, dass es zu einer zunehmenden Professionalisierung der Betrüger
und Cyber-Kriminellen im Bereich des Kreditkartengeschäfts gekommen ist. Es ist eine
Verschiebung der Angriffe auf die schwächsten Glieder in der Kette der Sicherheits-
mechanismen zu beobachten. Die Frage ist, ob Mobile Payment auch dazu gehört.
2
ABI Research Report “NFC MOBILE PAYMENTS“ (2011).
Opinion Paper 5 Detecon (Schweiz) AG
Mobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
3 Bezahlen mit Mobiltelefon
Mobile Payment wird als Zahlung definiert, die mit einem Mobiltelefon oder einem anderen
mobilen Gerät durchgeführt wird. Analog zu kontaktlosen Kreditkarten können auch NFC-
fähige Mobiltelefone Zahlungsverkehrsanwendungen unterstützen und sind kompatibel mit
den bereits installierten Kontaktlos-Terminals. NFC-Geräte (kontaktlose Kreditkarte sowie
NFC-fähige Mobiltelefone) sind geeignet für Umgebungen, in denen Schnelligkeit und
Bequemlichkeit wichtig sind, wie beispielsweise an Tankstellen, Schnellimbiss-Restaurants
oder Verkaufsautomaten. Zurzeit sind in der Schweiz ungefähr 3‘500 NFC-fähige Terminals
in Betrieb. Während das Mobiltelefon die Rolle der kontaktlosen Kreditkarte übernimmt, ist
zusätzlich eine Aufzeichnung aller Transaktionen jederzeit auf dem Mobiltelefon verfügbar.
Für Zahlungsverkehrsanwendungen gelten allerdings strenge Sicherheitsanforderungen, die
unter anderem ein zugelassenes Sicherheitselement, ein sogenanntes Secure Element, im
Gerät erfordern.3
In der Schweiz sind heute ungefähr 40 Prozent aller Transaktionen bargeldlos. Im Vergleich
zu den skandinavischen Ländern hat die Schweiz einen relativ hohen Bargeld-Anteil. In
vielen asiatischen Ländern wird Mobile Payment schon seit längerem eingesetzt. In Japan
waren 2004 bereits über eine Million NFC-fähige Mobiltelefone im Umlauf. In Europa konnte
sich das NFC-Mobiltelefon bis vor kurzem nicht durchsetzen. Experten sagen voraus, dass
in der Schweiz die Reduktion des Bargeld-Anteils ein wichtiger Treiber für die Einführung
mobiler Zahlungsanwendungen ist. In Anbetracht der hohen Mobiltelefon-Nutzungsdichte
kann dieses Gerät als das geeignetste Instrument für bargeldloses Bezahlen betrachtet
werden.4
3.1 NFC-fähiges Mobiltelefon im Mobile Payment Oekosystem
NFC5 ist eine kontaktlose Technologie zum Austausch von Nachrichten über kurze
Distanzen und basiert auf den Standards im Bereich von RFID (Radio Frequency
Identification) und Chipkarten. Es handelt sich hier um eine Nahfunktechnik, die aus der
Kombination von kontaktloser Identifikation nach der Norm ISO/IEC 14443 und drahtloser
Verbindungstechnik besteht. Durch die Nutzung der Kontaktlostechnologie mit der Frequenz
13.56 MHz wird erreicht, dass NFC-fähige Endgeräte bis auf wenige Zentimeter Abstand
aneinander gehalten werden müssen, um eine Datenverbindung aufzubauen und sich
automatisch zu identifizieren.
3
Da in einem NFC-Bezahlungssystem verschiedene sicherheitskritische Daten verwendet und Transaktionen
durchgeführt werden, müssen diese gegen unberechtigte Zugriffe und Manipulation geschützt werden. Als Secure
Element können die SIM Karte, externe Micro-Speicherkarten oder direkt in das Mobiltelefon eingebaute
Smartcard-Chips dienen.
4
ETH Zürich (2010): 6.
5
Near Field Communication (NFC) ist ein internationaler Übertragungsstandard zum kontaktlosen Austausch von
Daten über kurze Strecken von bis zu 4 cm. Bisher kommt diese Technologie vor allem in Lösungen für
bargeldlose Zahlungen kleiner Beträge zum Einsatz.
Opinion Paper 6 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
Grundsätzlich ist der Zahlungsablauf für kontaktbehaftete und kontaktlose Kreditkarten
sowie NFC-fähigen Mobiltelefone identisch. Der Ablauf der Zahlung funktioniert wie folgt:
Prozessor / Kreditkarten-
Vertragsbank herausgeber
3
1 Terminal
2 Master File
4
Händler
Autorisierung Autorisierung
Terminal
5
Clearing Clearing
Abbildung 1: Schematische Darstellung einer Kreditkartentransaktion
1. Ein (NFC-)Terminal liest die Daten der Kreditkarten auf dem Mobiltelefon aus und
sendet diese Daten zur Autorisierung.
2. Das Autorisierungs-System überträgt den Autorisierungs-Antrag zur Vertragsbank.
3. Wenn nicht in der Autorisierungs-Meldung enthalten, ergänzt die Vertragsbank in der
Terminal-Master-Datei, ob das Terminal NFC-fähig ist.
4. Die Vertragsbank kodiert die entsprechende Autorisierungsnachricht unter der
Verwendung von Informationen aus den Terminal-Systemen und der Terminal-Master-
Datei.
5. Die Transaktion wird dann an den Kartenherausgeber über das Autorisierungs-
Netzwerk übertragen.
Im Falle einer Mobile Payment Transaktion legt der Kunde an der Kasse sein Mobiltelefon
mit integriertem NFC-Chip vor, das an ein kontaktloses Zahlungs-Terminal gehalten wird.
Das Terminal liest die Daten des Mobiltelefons, prüft die Kreditkarteninformationen und
überträgt diese im Falle einer Online-Transaktion zur Durchführung der Zahlung an das
Hintergrundsystem des Kreditkartenherausgebers. Wird die Online-Transaktion durch das
POS System nicht unterstützt, kann die Zahlung ohne sofortige Online-Prüfung als
sogenannte Offline-Transaktion durchgeführt werden.
Die verschiedenen Rollen in einem Mobile Payment System werden von unterschiedlichen
Akteuren gespielt, darunter Banken, Betreiber und Dienstleister. Damit ein Mobile Payment
Oekosystem funktionieren kann, müssen diese Akteure zusammenarbeiten. Die
nachfolgende Abbildung zeigt die Beziehung zwischen Mobile Payment Anwendungen und
dem typischen Oekosystem, das die Zahlungen unterstützt.
Opinion Paper 7 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
Mobile Payment Secure Element
Trusted Secure Provided Trusted
Manager Service Manager
Secure Element
Mobile Payment Provider
Herausgeber
Mobiles
Kunde Netzwerk
User
Interface Baseband Processor
UI Applications Over the Air Interface
Secure Element
Mobile Payment
PPSE Anwendung
Contactless Front End (CLF)
NFC Controller
Antenne
NFC Terminal
Abbildung 2: Mobile Payment Oekosystem
In den letzten Jahren wurden von der Privatwirtschaft verschiedene Versuche unternommen,
Mobile Payment einzuführen, mit welchem insbesondere Kleinbeträge (bis 40 SFr.) bezahlt
und somit das Kleingeld ersetzt werden soll. Die Philosophie dieser Bezahlsysteme beruht
auf Einfachheit, es wird deshalb bei geringen Beträgen auf eine PIN-Eingabe verzichtet.
Wenn die Kreditkarte im Mobiltelefon integriert ist, können die Bezahlungen am Display des
Mobiltelefons geprüft werden. Bezahlt werden können Beträge von wenigen Franken, wie
dies bei Automaten der Fall ist, jedoch auch Transaktionen über 40 SFr. sind möglich.
3.2 Mobile Payment Anwendungen
Für die Ausgestaltung von Mobile Payment Anwendungen haben sich verschiedene Modelle
entwickelt. Aufgrund der Vielfalt können im Rahmen dieses Opinion Papers nicht alle Mobile
Payment Verfahren vorgestellt werden. Es wird daher ausschliesslich die sogenannte Mobile
at the Point of Sale (M-POS) Methode besprochen, die dem Kunden ermöglicht, mit einem
Mobiltelefon an einem Zahlungs-Terminal zu bezahlen.6
6
Andere Mobile Payment Verfahren umfassen: Mobile as the Point of Sale (hauptsächlich vom Händler
eingesetzt); Closed Loop Mobile Payment (Händlerspezifisches Modell); Direct Carrier Billing (Kauf von
Klingeltönen, Logos, Spielen, Park-Tickets, etc. und die Verrechnung der Gebühren über die Telefonrechnung)
und Mobile Payment Platform.
Opinion Paper 8 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
In einem NFC-fähigen Mobiltelefon mit Mobile Payment Anwendung können mehrere
Kreditkarten gespeichert und verwaltet werden. Der Kunde kann seine bevorzugte
Kreditkarte auswählen, damit diese bei allen Transaktionen zuerst vorgeschlagen wird. Der
Benutzer hat auch die Möglichkeit, eine andere Kreditkarte, die in seinem Mobiltelefon
gespeichert ist, für die Bezahlung auszuwählen.
1
myWallett
2 BANK 1 BANK 2 BANK 3
Kreditkarte zur
3 Zahlung auswählen
1 2 4
Bank 1 / Wallet Bank 1 / Wallet
BANK 1 BANK 1
3242 xxxx xxxx 8013 3242 xxxx xxxx 8013
BANK 1 3 BANK 1
3242 xxxx xxxx 8013 3242 xxxx xxxx 8013
Mit dieser Zahlung
Kreditkarte zahlen beendet
Multiple Mobile Payment Auswahl der Kreditkarte Kunde hält Mobiltelefon Transaktion
Applikationen (unterschiedliche von der Mobile Payment an das Terminal abgeschlossen
Kreditkartenherausgeber) Applikation
Abbildung 3: Beispiele von Mobile Payment Anwendungen
Um eine Transaktion durchzuführen, müssen Kunden in der Lage sein, mit dem Händler-
system zu kommunizieren. Eine Art von Mobile Payment Lösungen sind sogenannte Mobile
Wallets. Eine elektronische Geldbörse ist ein verschlüsseltes Speichermedium, das
Kreditkarten-Daten enthält, die genutzt werden können, um elektronische Transaktionen
ohne erneute Eingabe der gespeicherten Daten zum Zeitpunkt der Transaktion durch-
zuführen. Ende Mai 2011 hat Google mit Google Wallet eine neue Bezahlungs-
dienstleistung eingeführt, die es ermöglicht, ein Android Mobiltelefon mit NFC-Schnittstelle
für Zahlungen an allen kontaktlosen Terminals einzusetzen. Bei den in Mobiltelefonen
eingebauten NFC-Chips kann die Funktion durch jede beliebige Software auf dem
Mobiltelefon verwendet und angesteuert werden.
Opinion Paper 9 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
1 2 3
Abbildung 4: Mobile Payment Zahlung am NFC-Terminal
In der einfachsten Betriebsart erfolgt die Zahlung durch das Platzieren des Mobiltelefons auf
dem Zahlungs-Terminal und wird als „Tap and Go“-Verfahren bezeichnet. Dabei wird das
NFC-Mobiltelefon in die Reichweite des Lesers geführt und das Terminal kann die für die
Zahlung notwendigen Transaktionsdaten lesen und an das Händlersystem übergeben. Nach
Abschluss der Zahlung ertönt ein akustisches Signal, das den Benutzer über die
abgeschlossene Transaktion informiert. Die Kontaktlosschnittstelle verfügt für
Zahlungsanwendungen gemäss Hersteller Spezifikation aus Sicherheitsgründen über eine
maximale Reichweite von 4 cm.
3.3 Authentifizierungsmethoden
Authentifizierung beschreibt die Überprüfung der Authentizität eines Subjekts anhand von
bestimmten Eigenschaften, über die eine eindeutige Identifizierung möglich ist. Dabei muss
zwischen der Karteninhaber- (mit Unterschrift oder PIN), Zahlungs-Terminal- sowie
Kreditkarten-Authentifizierung unterschieden werden. Während für den Kunden keine
Möglichkeit besteht, die Echtheit eines Terminals zu überprüfen, nutzen Chipkarten im
Gegensatz zu Magnetstreifen-Karten aktive kryptographische Methoden, um die Karte über
ein Challenge-Response-Protokoll zu authentifizieren. Mit der laufenden Entwicklung der
Chipkarten-Technologie haben sich die Authentifizierungsmethoden ständig verbessert,
beginnend mit der Static Data Authentication (SDA), der Dynamic Data Authentication (DDA)
und der Combined Data Authentication (CDA). Dabei sind die Authentifizierungsmethoden
für kontaktbehaftete und kontaktlose Chipkarten identisch. Während einer Transaktion wird
das Terminal versuchen, die jeweils stärkste Authentifizierungsmethode anzuwenden,
beginnend mit CDA als höchste Präferenz, dann DDA, und schliesslich SDA.
Opinion Paper 10 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
Static Data Authentication (SDA): Mit dieser Technologie wird eine statische digitale
Signatur von spezifischen Karten-Daten einer Kreditkarte zugeordnet. Während einer
Transaktion wird die Signatur in einem Zahlungs-Terminal überprüft, um die Kreditkarten-
Daten zu authentifizieren. Obwohl ein Chip verwendet wird und die Daten länger sind als der
Card Validation Code (CVC) des Magnetstreifens, sind die Daten nach wie vor statisch.
STATISCH
Empfängt und überprüft
statische Signatur
Abbildung 5: Static Data Authentication (SDA)
Dynamic Data Authentication (DDA): Diese Technologie bietet Sicherheit bei Offline-
Transaktionen durch die Verwendung eines aktiven Offline Challenge-Response-Protokolls
(d.h. der Chip erzeugt ein neues Kryptogramm für jede Transaktion). Während einer
Transaktion fordert das Zahlungs-Terminal, dass das Mobiltelefon ein Kryptogramm auf
Basis eines nach dem Zufallsprinzip generierten und an das Mobiltelefon gesendeten
Datenelements erstellt. Im Gegensatz zu passiven SDA nutzen die DDA Chips aktiv das
zufällige Datenelement zusammen mit dynamischen Kreditkarten-Daten und einem
kryptographischen Schlüssel im sicheren Karten-Speicherbereich, um eine dynamische
digitale Signatur zu erstellen, die zum Terminal zwecks Validierung gesendet wird.
DYNAMISCH
Empfängt und überprüft
dynamische digitale Signatur
Terminal sendet Challenge an
Mobiltelefon
Mobiltelefon generiert und sendet
Kryptogramm an Terminal
Abbildung 6: Dynamic Data Authentication (DDA)
Opinion Paper 11 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
Combined Data Authentication (CDA): CDA stellt eine Verbesserung zur DDA
Technologie dar, die im Wesentlichen den Zeitpunkt ändert, zu welchem der Chip das
Kryptogramm erzeugt. Genauer gesagt, berechnet der Chip das Kryptogramm vor der DDA-
Authentifizierung und schreibt dieses zusammen mit dem Nachweis, dass die PIN bestätigt
wurde, und weiteren Transaktionsdaten in die digitale Signatur, die vom Terminal überprüft
werden kann. Diese Änderung verhindert beispielsweise MitM-Angriffe. CDA stellt ferner
eine vollständige Transaktions-Integritäts-Lösung zur Verfügung, indem eine digitale
Signatur auf der abgeschlossenen Transaktion generiert wird, die durch das Endgerät
verifiziert werden kann. Derzeit bestehen keine bekannten Angriffsmethoden auf CDA
Chipkarten.
DYNAMISCH
Empfängt und überprüft
dynamische digitale Signatur und
generiert ein Kryptogramm
Terminal sendet
Challenge an Mobiltelefon
Abbildung 7: Combined Data Authentication (CDA)
Opinion Paper 12 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
4 Bezahlungs- und Sicherheitsoptionen
Der folgende Überblick über die unterschiedlichen Mobile Payment Bezahlungs- sowie
Sicherheitsoptionen zeigt auf, dass die bei Kontaktlos-Kreditkarten bestehenden sowie für
Mobile Payment sich in Planung befindenden Bezahlungs- sowie Sicherheitsoptionen einen
guten Schutz gegen potentielle Angriffe bieten.
4.1 Mobile Payment Bezahlungsoptionen
Die Kreditkartenorganisationen bieten den Kreditkartenherausgebern verschiedene
Möglichkeiten, mobile Zahlungsanwendungen zu konfigurieren. Nachfolgend werden die
wichtigsten Optionen vorgestellt, die teilweise bereits eingesetzt werden sowie grundsätzlich
konfigurierbar sind.
4.1.1 „Low Value“ und „High Value“ Transaktionen
Mobile Payment Transaktionen können in zwei Kategorien unterteilt werden:
„Low Value“ Transaktionen, die keine Inhaber-Prüfung benötigen, und
„High Value“ Transaktionen, bei denen eine Inhaber-Prüfung notwendig ist.
Der Schwellwert zwischen den beiden Transaktionsarten wird als „Contactless Card Limit“
bezeichnet. Eine „Low Value“ Transaktion wird vom Kunden nach dem „Tap and Go“-
Verfahren durchgeführt. „High Value“ Transaktionen unterscheiden sich wie folgt:
Offline PIN, bei der das Secure Element im Innern des Mobiltelefons die PIN überprüft,
bevor eine Transaktion durchgeführt wird.
Online PIN, bei der das Zahlungs-Terminal die PIN des Inhabers erfasst und sicher an
den Kartenherausgeber zur Validierung im Rahmen einer Online-Transaktion überträgt.
Grundsätzlich unterstützen Mobile Payment Anwendungen „High Value“ Transaktionen,
selbst wenn eine Offline PIN verwendet wird. Dabei wird dem Benutzer ermöglicht, über die
PIN-Eingabe auf dem Mobiltelefon eine Karteninhaber-Prüfung durchzuführen. Dies kann
zum Zeitpunkt der Transaktion geschehen oder, wenn der Benutzer die PIN bereits vor der
Transaktion eingibt, z.B. beim Warten in einer Schlange.
„Low Value“ „Tap and Go“
Transaktion (unter 40 SFr.)
Pre-Signing
Offline PIN
„High Value“ Two Tap
Transaktion
Online PIN
Abbildung 8: Beispiele von Mobile Payment Bezahlungsoptionen
Opinion Paper 13 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
4.1.2 Offline PIN Transaktionen
Eine Offline PIN „High Value“ Transaktion funktioniert nach einem der folgenden beiden
Abläufen, die als „Pre-Signing“ und „Two Tap“ bezeichnet werden. Optional kann die Mobile
Payment Anwendung für Online- und Offline-Transaktionen so konfiguriert werden, dass der
Benutzer seine PIN eingibt oder eine spezielle „Bezahl“-Taste vor dem Halten an den Leser
oder Terminal betätigt. In diesem Fall funktioniert der Transaktionsfluss analog zum
nachfolgend beschriebenen „Pre-Signing“ und „Two Tap“ Verfahren.
Pre-Signing: Das „Pre-Signing“ Verfahren beinhaltet, dass der Benutzer seine PIN
eingibt, typischerweise während er in der Warteschlange wartet, bevor er das
Mobiltelefon an das Terminal oder Leser zum Zahlen hält.
1 2 3
Kunde hält Mobiltelefon an Transaktion
Kunde gibt PIN ein
das Terminal abgeschlossen
Abbildung 9: Pre-Signing
Two Tap: Das „Two Tap“ Verfahren sieht vor, dass der Benutzer sein Mobiltelefon an
das Terminal oder Lesegerät hält, um die Transaktion zu initialisieren. Danach bewegt er
das Mobiltelefon weg, gibt die PIN ein und hält wieder das Mobiltelefon ans Terminal,
um die Zahlung abzuschliessen.
1 2 3
Kunde hält Mobiltelefon Terminal informiert
Kunde gibt PIN ein
an das Terminal Kunde
4 5 6
Beep!
Transaktionsdaten
Kunde hält Mobiltelefon Transaktion
werden vom
an das Terminal abgeschlossen
Mobiltelefon übertragen
Abbildung 10: Two Tap
Opinion Paper 14 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
4.1.3 Online PIN Transaktionen
Für Online PIN Transaktionen hält der Benutzer sein Mobiltelefon an das Terminal und gibt
seine PIN in das Terminal ein. Dies funktioniert nur in Märkten, in denen Online PIN für
kontaktlose Transaktionen vom Zahlungs-Terminal, dem Zahlungs-Netzwerk und dem
System des Kreditkartenherausgebers, des sogenannten Issuers, unterstützt wird.
1 2 3
Beep!
Transaktionsdaten
Terminal verarbeitet
werden vom Mobiltelefon Kunde gibt PIN ein
Transaktion online
übertragen
Abbildung 11: Online PIN Transaktion
4.2 Mobile Payment Sicherheitsoptionen
Zum Schutz vor Missbrauch von Mobile Payment Anwendungen stehen unter anderem die
in diesem Kapitel beschriebenen Optionen zur Reduktion des finanziellen Schadens bei
Verlust oder Diebstahl des Mobiltelefons zur Verfügung. Nachfolgend werden die wichtigsten
Optionen der Mobile Payment Lösungen vorgestellt.
4.2.1 Online-Autorisierung
Mobile Payment Anwendungen können so konfiguriert werden, dass eine Online-
Autorisierung für alle Transaktionen notwendig ist und diese abgelehnt wird, wenn keine
Online-Autorisierung möglich ist. Eine Kreditkartentransaktion wird als Online-Zahlung
bezeichnet, wenn der Karteninhaber die PIN am Zahlungs-Terminal über ein PIN-
Eingabegerät eingibt und jede Zahlung direkt an das Hintergrundsystem gesendet wird.
Durch die PIN-Eingabe wird die Transaktion durch das Kreditkarten-Netzwerk der
entsprechenden Kreditkartenorganisation geroutet und kann somit sofort auf ihre Korrektheit
geprüft werden. Für Transaktionen mit einem NFC-fähigen Mobiltelefon hält der Benutzer
das Mobiltelefon zum Terminal und gibt seine PIN in das Terminal ein.
Bei den Mobile Payment Anwendungen wird eine Online-Autorisierung mit PIN-Eingabe bei
Beträgen unter 40 SFr. in regelmässigen Abständen (nach 10 Offline Transaktionen unter 40
SFr.) notwendig. Bei Beträgen über 40 SFr. ist immer eine Online-Autorisierung zwingend.
Opinion Paper 15 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
4.2.2 No-PIN Transaktionenzähler
Mobile Payment Anwendungen enthalten ein Set bestimmter Zähler, die den Benutzer in
regelmässigen Abständen zwingen, seine PIN einzugeben. Der sogenannte „No-PIN
Transaktionenzähler“ ist eine lokale PIN-Prüfung in der Zahlungsanwendung. Da Mobile
Payment Anwendungen so konfiguriert sind, dass sie keine PIN unterhalb des „Card
Contactless Limits“ benötigen, könnte ein Angreifer ohne Kenntnis der PIN ein verlorenes
oder gestohlenes Mobiltelefon nutzen, bis der Verlust/Diebstahl gemeldet wird oder das
Mobiltelefon eine Online-Autorisierung durchführt. Der No-PIN Zähler reduziert die Anzahl
der Transaktionen, die ohne Kenntnis der PIN durchgeführt werden können. Daher wird der
No-PIN Zähler auch als „Lost and Stolen“ Zähler bezeichnet.
1 2 3 4
No-PIN
Limite
Transaktion PIN überprüft &
Transaktion OK Transaktion OK überschreitet No-PIN Zähler
No-Pin Limit zurückgesetzt
SFr.
70.00
No-PIN Limite
SFr. SFr.
10.00 40.00 SFr.
0.00
Mobile Payment Mobile Payment Mobile Payment Mobile Payment
Zähler Zähler Zähler Zähler
Abbildung 12: No-PIN Transaktionenzähler
Der No-PIN Transaktionenzähler wird jedes Mal, wenn eine Transaktion (offline und online)
durchgeführt wird, hochgezählt, bis der Benutzer die PIN wieder eingibt. Der No-PIN Zähler
kann so konfiguriert werden, dass der Benutzer eine PIN nach einer bestimmten Anzahl von
Transaktionen eingeben muss, bevor eine weitere Transaktion durchgeführt werden kann.
Wenn die No-PIN-Transaktions-Limite überschritten wurde, wird der Karteninhaber
aufgefordert, seine PIN einzugeben, bevor die nächste Transaktion durchgeführt werden
kann.
4.2.3 Offline Transaktionenzähler
Diese Sicherheitsoption verwendet einen Zähler innerhalb der Zahlungsanwendung, um den
Betrag und die Anzahl der durchgeführten Transaktionen zu verfolgen. Der Zähler wird
während der Transaktionsverarbeitung überprüft, um festzustellen, ob eine Transaktion
offline durch die Mobile Payment Anwendung genehmigt werden kann oder ob sie für die
Zulassung durch den Kreditkartenherausgeber eine Online-Verbindung aufbauen muss. Der
typische Prozess des Offline Transaktionenzählers ist unten dargestellt:
Opinion Paper 16 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
Der Karteninhaber kann Offline Transaktionen durchführen, bis der Offline Zähler ein
bestimmtes Limit erreicht. An diesem Punkt wird der Karteninhaber gezwungen, eine
Zahlung mit PIN-Eingabe durchzuführen. Diese Transaktion wird online durchgeführt. Der
Kartenherausgeber autorisiert die Transaktion und kann über ein bestimmtes Skript den
Offline Transaktionenzähler zurücksetzen.
1 2 3
Zähler Server des
Reset Kreditkarten-
Skript herausgebers
Offline Offline Online Transaktion
& Pin
Online Transaktion
zwingend SFr. 70.00
Online Transaktion
optional
SFr. 40.00
SFr. 10.00 SFr. 0.00
Mobile Payment
Zähler Zähler Zähler
Zähler
Abbildung 13: Offline Transaktionenzähler
Opinion Paper 17 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
5 Angreifer, Schwachstellen und Bedrohungspotential
Während Abhör-Angriffe bei kontaktbehafteten Kreditkarten, besonders in Form von
Skimming, seit einigen Jahren von Angreifern durchgeführt werden, sind im Bereich der
kontaktlosen Kreditkarten, abgesehen von Angriffen unter Laborbedingungen, keine
erfolgreichen Angriffe unter realen Bedingungen bekannt geworden. Bei einem
grossflächigen Einsatz von kontaktlosen Kreditkarten und NFC-fähigen Mobiltelefonen sowie
der kriminellen Energie der Angreifer ist in Zukunft vermehrt mit Angriffen zu rechnen. Um
das Bedrohungspotential für den Leser fassbar zu machen, wird nun in diesem Kapitel eine
Schwachstellen- und Bedrohungsanalyse durchgeführt, um zu untersuchen, wie gross die
Schwachstellen sind und wie schwierig die Umsetzbarkeit der Angriffe ist. Dabei werden die
Sicherheitsaspekte von kontaktlosen Kreditkarten und NFC-fähigen Mobiltelefonen mit
Fokus auf die allgemeinen Sicherheitsmechanismen zum Schutz der Transaktionen
betrachtet:
Verschlüsselung aller Transaktionskanäle gemäss EMV Standard7
Verwendung der Chip-Authentifizierungsmethoden SDA, DDA oder CDA
Mobile Payment Bezahlungs- und Sicherheitsoptionen
Die Bedrohung wird qualitativ beurteilt, wobei die Ausprägung auf Basis folgender
Bewertungstabelle quantifiziert wird:
Kriterium Ausprägung
1: sehr klein
Schwachstelle 2: klein
3: mittel
4: gross
1: sehr aufwändig, kaum umsetzbar
Umsetzbarkeit 2: umsetzbar, relativ aufwändig
3: relativ einfach umsetzbar, geringer Aufwand
1-3: erfolgreicher Angriff unwahrscheinlich
Bewertung der 4-6: erfolgreicher Angriff wenig wahrscheinlich
Bedrohung 7-8: erfolgreicher Angriff wahrscheinlich
9-12: erfolgreicher Angriff sehr wahrscheinlich
Die beschriebenen Angriffsvektoren verstehen sich nicht als abschliessende Aufzählung; es
werden jeweils relevante Beispiele aus jeder Angriffskategorie beschrieben.
5.1 Der Kreditkartenschwarzmarkt
Obwohl keine genauen Daten zum weltweiten Ausmass des Kreditkartenbetrugs vorliegen,
kann angenommen werden, dass sich der Kreditkartenschwarzmarkt trotz der weltweiten
Wirtschaftskrise seit 2008 noch weiter ausgedehnt hat. Die Betrüger und Cyber-Kriminellen
sind in Bezug auf strategische und operative Sicht, Logistik und Bereitstellung hochgradig
organisiert. Es handelt sich hierbei um regelrechte Unternehmungen, die international aus-
7
Die Abkürzung EMV bezeichnet eine Spezifikation für Zahlungskarten, die mit einem Prozessorchip ausgestattet
sind, und für die zugehörigen Chipkartengeräte (POS Terminals und Geldautomaten). Die Buchstaben EMV
stehen für die drei Gesellschaften, die den Standard entwickelten: Europay International (heute MasterCard
Europe), MasterCard und Visa.
Opinion Paper 18 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
gerichtet sind und Vertretungen in verschiedenen Ländern unterhalten. Diese Organi-
sationen haben eine streng hierarchische Struktur, wobei jede Aktion von Experten
durchgeführt wird. Erst dieser hohe Organisationsgrad macht die heutigen Angriffsarten
möglich.
Sobald Cyber-Kriminelle Besitz von Kreditkarten-Daten erlangen, verwenden sie diese
entweder direkt selbst oder verkaufen sie an Interessenten weiter. Ein grosser Teil der so
gestohlenen Kreditkarten-Daten wird über den Schwarzmarkt an die „Endnutzer" verkauft.
Der Grund für dieses Phänomen ist, dass es häufig weniger riskant ist, mit Kreditkarten-
Daten zu handeln als diese zur Durchführung von unberechtigten Transaktionen zu
missbrauchen. Zudem finden der Datendiebstahl und der Einsatz der Kreditkarte in
unterschiedlichen Ländern statt. Je mehr Intermediäre sich in der Betrugskette befinden,
desto schwieriger ist es, die Kriminellen aufzuspüren. Darüber hinaus können die
Untergrundorganisationen neben dem Verkauf von Kreditkarten-Daten auch andere
Dienstleistungen anbieten. Nachfolgend wird ein kurzer Überblick über typische Angebote
auf dem Kreditkartenschwarzmarkt gegeben:
Produkte und Dienstleistungen Preise
Kreditkartendetails (pro Kreditkarte) ab 2 SFr. bis 90 SFr.
Physische Kreditkarte ab 190 SFr. + Kosten für die Kartendetails
Kreditkarten-Kloner ab 200 SFr. bis 1‘000 SFr.
Gefälschte ATM Geldautomaten bis 35‘000 SFr.
Zugriffsdaten für Bankkonten ab 80 SFr. bis 700 SFr.
(mit garantiertem Guthaben)
Bank Transfer und Einlösen von Checks ab 10% bis 40% des Gesamtbetrags
Webshops und Zahlungs-Plattformen Ab 80 SFr. bis 1‘500 SFr. mit garantiertem
Guthaben
Design und Veröffentlichung von gefälschten abhängig vom Projekt
Webshops
Kauf und Weiterleitung von Produkten ab 30 SFr. bis 300 SFr. (abhängig vom Projekt)
Die Trustwave Global Security Reports aus den Jahren 2009 bis 2012 machen deutlich,
dass in den vergangenen Jahren der Grossteil der Angriffe auf schützenswerte Unter-
nehmensdaten im Bereich des Kreditkartengeschäfts aufgetreten ist.8 Nachfolgende
Abbildung verdeutlicht, dass die gezielte Ausrichtung der Angriffe auf Kreditkarten-Daten
und der daraus mögliche Kreditkartenbetrug ein etabliertes Geschäftsmodell ist und dass
diese Daten einfach durch bestehende Netzwerke des Schwarzmarkts verkauft werden
können. Jedes Unternehmen kann Ziel von Angriffen durch Cyber-Kriminelle werden, am
anfälligsten sind jedoch Unternehmen, die zur Durchführung des Geschäfts Kundendaten
verarbeiten und Unternehmen, die häufig von Verbrauchern frequentiert werden, wie
beispielsweise Restaurants, Einzelhandelsgeschäfte oder Hotels. Markennamen und
Handelsketten tragen ein erhöhtes Risiko.
8
Trustwave Global Security Reports (2009-2012).
Opinion Paper 19 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
Kundendaten
Authentifizierungsdaten 2%
2%
Handelsgeheimnisse
3%
Sensitive
Unternehmens-
daten 8%
Datenart
Kreditkarten-
Daten 85%
Abbildung 14: Prozentuale Darstellung von gestohlenen Daten (2010)
In den vergangenen Jahren hat sich der Trend Richtung Diebstahl von Kreditkarten-Daten
verstärkt. Rund 85 Prozent der Angriffe betreffen den Diebstahl von Kreditkarten-Daten.
Cyber-Kriminelle halten weiterhin ihre Bemühungen in diesem Bereich aufgrund der grossen
Anzahl verfügbarer Ziele aufrecht. Ein Grossteil der Angriffe im Bereich von Kreditkarten-
Daten betrifft die Lebensmittel- und Getränkeindustrie, den Handel und das Gastgewerbe.
Obwohl diese Branchen für Angreifer üblicherweise eine geringere Ausbeute als grosse
Banken oder zahlungsverarbeitende Drittunternehmen bieten, sind sie infolge bekannter
Sicherheitslücken und niedriger Sicherheitsstandards beliebte Ziele. Daher konzentrieren
sich Gruppen aus dem Bereich der organisierten Kriminalität auf diese Branchen.
5.2 Malware-Angriffe
Als Schadprogramm oder Malware werden Computerprogramme bezeichnet, die entwickelt
werden, um vom Benutzer unerwünschte oder schädliche Funktionen auszuführen. Malware
wird als Sammelbegriff verwendet, um die grosse Bandbreite an feindseliger, intrusiver oder
unerwünschter Software oder Programmen zu beschreiben. Zu den wichtigsten Arten
gehören Computerviren, Würmer, Trojanische Pferde oder Spionageprogramme. Die
Schadfunktionen sind gewöhnlich getarnt oder die Software läuft unbemerkt im Hintergrund.
Schadfunktionen beinhalten zum Beispiel die Manipulation, das Löschen oder Entwenden
von Dateien oder die technische Kompromittierung der Sicherheitssoftware (z.B. Firewalls
oder Antivirenprogramme).
Im Kreditkartenumfeld werden Schadprogramme gezielt entwickelt, um Kreditkarten-Daten
zu entwenden. Ein speziell auf Mobiltelefone zugeschnittener Trojaner ist der sogenannte
ZeuS-in-the-Mobile (ZitMo) Trojaner. Unbemerkt für den Benutzer fängt das Schad-
programm eingehende Daten ab und leitet diese an den Angreifer weiter. ZitMo ist eine
Variante des erstmals 2007 erschienenen ZeuS Trojaners und kann von einem mit diesem
infizierten Computer auf das Mobiltelefon übertragen werden, zum Beispiel während der
Adressbuch-Synchronisation. ZitMo entfaltet eine ähnliche Wirkung wie die ursprüngliche
ZeuS Malware: Vom Opfer eingegebene Daten, beispielsweise Benutzername, Kennwort
oder Transaktionsdaten werden mit einem Key Logger aufgezeichnet und unbemerkt an den
Opinion Paper 20 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
Angreifer weitergeleitet. Eine Variante dieses ZeuS Trojaners wurde speziell für Android und
Symbian Betriebssysteme entwickelt, tarnt sich als Applikation zur Software-Aktualisierung
und stiehlt Transaktionsdaten. Im Hintergrund schneidet die Malware alle eingehenden
Daten mit und leitet diese an einen Web-Server des Angreifers weiter. Die abgefangenen
Transaktionsdaten werden von Cyber-Kriminellen mit Hilfe des auch von ZitMo genutzten
ZeuS Bot-Netzes verwendet, um Kreditkarten-Daten zu entwenden.
Abbildung 15: Beispiel: Installation von SymbOS/Zitmo.A
Eine spezielle Variante des ZitMo Trojaners ist der sogenannte SpyEye-in-the-Mobile
(SpitMo) Trojaner, der erstmals Mitte September 2011 entdeckt wurde und eine ähnliche
Funktionsweise wie ZitMo aufweist. Der Trojaner filtert alle Daten, inklusive SMS-
Nachrichten und überträgt sie auf den Server des Angreifers. Obwohl das Risikolevel dieses
Trojaners als gering eingestuft wird, zeigt diese Schadsoftware wie leicht sich vertrauliche
Informationen und Transaktionsdaten von einem Mobiltelefon stehlen lassen. Neben
Trojanern stehen Angreifern auch Programme, wie FlexiSpy, MobileSpy und MobiStealth zur
Überwachung von Aktivitäten auf Mobiltelefonen zur Verfügung.
Nachfolgende Bewertungstabelle gibt eine Einschätzung der Bedrohung durch Malware,
insbesondere der Schwachstellen von Mobiltelefonen und der Umsetzbarkeit eines Angriffs:
Angriffsart: Szenario Schwachstelle Umsetzbarkeit
Malware-Angriff: 3: mittel 2: umsetzbar, relativ
ZeuS Trojaner in x Einschleusung bösartiger aufwändig
Applikationen durch App x Umsetzbarkeit abhängig
Mobiltelefon Stores von bestehender
x rasche Entwicklung und Sicherheitsarchitektur
fehlende Standardisierung x rasche Ausnutzung von
von Mobiltelefon- Sicherheitslücken durch
Betriebssystemen und Angreifer
Anwendungen x Zunahme der Komplexität
x dauerhafte der auf Mobiltelefone
Internetverbindung von ausgerichteten Malware
Mobiltelefonen erhöht
Angriffsrisiko
Bewertung der Bedrohung 6: erfolgreicher Angriff wenig wahrscheinlich
Opinion Paper 21 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
Schwachstelle: Aktuelle Smartphones sind in der Lage, ein breites Spektrum von
Anwendungen auszuführen. Neben Instant-Messaging Anwendungen sind Social Media
Applikationen, Spiele, Online-Banking und E-Trading Lösungen in den App Stores verfügbar.
Die Fülle an Anwendungen, deren Funktionalität teilweise zu wenig auf Sicherheit geprüft
wurde, macht Mobiltelefone anfällig auf Schadprogramme. Während kommerzielle Spyware-
Anwendungen für Mobile Security Experten keine Neuerung darstellen, bergen die rasche
Entwicklung, der Vertrieb und die Verbreitung von Anwendungen durch App Stores die
grösste Malware-Gefahr für mobile Betriebssysteme. Heute ist noch ein vergleichsweiser
geringer Prozentsatz der Malware gezielt auf mobile Plattformen ausgerichtet. Es ist jedoch
wahrscheinlich, dass sich deren Anzahl infolge der erhöhten Akzeptanz und Verbreitung von
mobilen Zahlungen für Verbraucher erhöhen wird. Die grössten Schwachstellen für
Mobiltelefon-basierte Transaktionen sind daher:
Betriebssystem und Anwendungen: Während PC-basierte Zahlungsanwendungen
aus dem E-Commerce Bereich auf standardisierter Software wie Microsoft Windows,
MacOS oder Linux-Betriebssystemen basieren, sieht die Welt der Mobiltelefone anders
aus. Mobile Betriebssysteme sind stark fragmentiert, befinden sich in ständiger
Weiterentwicklung und deren (häufig kostenlos) verfügbaren Applikationen sind kaum
standardisiert und unterliegen regelmässigen Änderungen. Zudem ist, wie
beispielsweise beim Betriebssystem Android, eine Vielzahl unterschiedlicher Hardware-
Varianten verfügbar.
Dauerhafte Internetverbindung: Bei Desktop und Laptop Computern im Geschäfts-
wie auch im Privatbereich ist das Risiko eines Angriffs auf den Zeitraum begrenzt, in
dem der Computer eingeschaltet und mit dem Internet verbunden ist. Bei Mobiltelefonen
erhöht sich der Zeitraum stark, da die Geräte in der Regel nie ausgeschaltet werden und
dauerhaft online sind. Dadurch steigt das Risiko eines Angriffs.
Neue Betrugsformen: Betrüger wenden die klassischen Phishing Angriffe auch über
den mobilen Kanal an. Kurznachrichten können verwendet werden, um einen Betrug zu
begehen. Im mobilen Bereich werden diese Angriffe SMiShing (SMS Phishing) und
Vishing (Voice Phishing) genannt.
Umsetzbarkeit: Der Aufwand für die Umsetzung eines Angriffs mit Malware ist abhängig
vom Angriffsziel und kann an dieser Stelle nicht abschliessend beurteilt werden. Trojaner
können speziell für Mobiltelefon-Betriebssysteme angepasst werden, welche dann im
Hintergrund ohne Wissen des Benutzers arbeiten. Jüngste Angriffe zeigen, dass die
Angreifer rasch Sicherheitslücken ausnutzen, gut organisiert sind, mit hoher krimineller
Energie arbeiten und die Schadfunktionen zu ihren Gunsten verwenden. Die explodierende
Zahl neuer Konsumenten, die häufig über ein geringes Sicherheitsbewusstsein verfügen,
macht es Angreifern einfacher, Sicherheitslücken auszunutzen. Während Smartphones nun
die gleichen Funktionen wie klassische Computer ausführen können, verfügt die
überwiegende Mehrheit der mobilen Geräte über keine dedizierten Schutzmechanismen wie
Antivirus Software und andere Endpoint Security Massnahmen. Der geringe
Verbreitungsgrad mobiler Sicherheitsprodukte spielt für die Verwundbarkeit von mobilen
Geräten eine wichtige Rolle.
Bis vor kurzem führte das Nokia Betriebssystem Symbian OS den weltweiten Mobiltelefon-
Markt an und führte zu einer Dominanz von Symbian-spezifischer Malware. Symbian und
Microsoft Windows Mobile sind die etabliertesten und am besten erforschten mobilen
Plattformen. Gleichzeitig sind diese mobilen Betriebssysteme häufig Ziele der effektivsten
Malware Angriffe gewesen. Trotz des späteren Eintritts auf den Mobiltelefon Markt, sind
BlackBerry, Google Android und Apple iOS-Betriebssysteme nicht immun gegen Malware.
Opinion Paper 22 Detecon (Schweiz) AGMobile Payment Security – Wie sicher ist das Bezahlen mit Mobiltelefon?
Ein Angriff ist mit Malware grundsätzlich umsetzbar, aber relativ aufwändig. Unter
Berücksichtigung der bestehenden Sicherheitsarchitektur, die ein Secure Element, Schutz
jeder Transaktion durch ein einmaliges Kryptogramm sowie sichere Authentifizierungs-
methoden beinhaltet, ist ein erfolgreicher Angriff auf Mobile Payment Anwendungen
schwierig umzusetzen.
5.3 Man-in-the-Middle Angriffe
Mit einem sogenannten Man-in-the-Middle (MitM) Angriff bringt der Angreifer zwei
Kommunikationsteilnehmer dazu, über ihn statt direkt miteinander zu kommunizieren. Es
handelt sich um eine Angriffsform, bei der der Angreifer entweder physikalisch oder logisch
zwischen zwei Kommunikationspartnern steht und vollständige Kontrolle über den
Datenverkehr hat. Die Täuschung des Angreifers besteht darin, dass er sich den
Kommunikationspartnern gegenüber als der jeweils Andere ausgeben kann, ohne dass sie
dies bemerken.
Analog zur kontaktlosen Zahlungsabwicklung mit Kreditkarten, hat ein Mobiltelefon auf Basis
der Nahfunktechnik die Fähigkeit, sowohl als ein NFC-Gerät als auch als ein NFC-Terminal
zu agieren. Unter der Annahme, dass zwei Kommunikationsteilnehmer, der Händler und der
Kunde, eine aktive Kommunikation zueinander aufbauen, besteht folgende Situation:
Angreifer X
(Man-in-the Middle)
Händler Kreditkarten-Daten Kunde
Abbildung 16: Man-in-the-Middle (MitM) Angriff
Basierend auf dem in Kapitel 3.1 beschriebenen NFC-Verfahren erzeugt das Terminal des
Händlers ein Hoch-Frequenz-Feld und tauscht mit dem Kunden Daten aus. Der Angreifer
muss zunächst die Übertragung des Händlers stören um sicherzustellen, dass der Kunde die
Daten nicht empfangen kann. An diesem Punkt könnte der Händler die Störung schon
erkennen und das Protokoll beenden. Wenn das Protokoll weiter aufrechtgehalten wird,
sendet der Angreifer im nächsten Schritt Daten an den Kunden. Nun hört auch das Terminal
des Händlers zu, da dieses eine Antwort vom Mobiltelefon des Kunden erwartet. Stattdessen
empfängt es die Nachricht des Angreifers und kann erkennen, dass ein Problem vorliegt und
Opinion Paper 23 Detecon (Schweiz) AGSie können auch lesen
