Vorsicht vor kontaktlosem Diebstahl mit NFC- und RFID-Technologien

Near Field Communication (NFC)- und Radio Frequency Identification (RFID)-Technologien ermöglichen die drahtlose Kommunikation zwischen Geräten und erleichtern kontaktlose Zahlungsvorgänge, Produktverfolgung und Zugangskontrolle.

Diese Technologien sind Teil des Alltags geworden; Sie können jedoch auch zum Diebstahl wichtiger Daten verwendet werden , und dies kann unbemerkt an alltäglichen Orten wie Sportveranstaltungen, Konzerten, öffentlichen Verkehrsmitteln oder Supermärkten geschehen.

Laut David González, einem Cybersicherheitsspezialisten bei ESET Lateinamerika, sind RFID-Systeme in Logistikumgebungen nützlich, um Ladungen, Pakete und Lagerbestände zu organisieren und Statistiken und relevante Informationen zusammenzustellen. Sie werden auch in Bekleidungsgeschäften verwendet, um Kleidungsstücke und ihren Standort zu identifizieren, wodurch die täglichen Abläufe rationalisiert und ein zusätzliches Maß an Sicherheit geboten wird.

Im Falle von NFC-Systemen bilden sie die Grundlage für Proximity-Geräte, die so weit verbreitet sind wie Mobiltelefone und kontaktlose Zahlungskarten. Gleiches gilt für die Karten, die autorisierten Personen den Zutritt zu Gebäuden durch Zutritts- und Zeitkontrollsysteme ermöglichen.

(Wir empfehlen: So teilen Sie Ihren Standort auf Reisen auf Google )

NFC-Proximity-Karten werden auch zum Öffnen elektronischer Schlösser in Hotelzimmern, Ferienwohnungen und Ferienhäusern verwendet. So können Gäste bequem auf ihre Zimmer zugreifen, indem sie ihre Karte einfach an das Lesegerät halten. Der Chip mit den Identifikationsinformationen kann in andere Gegenstände wie Armbänder oder Schlüsselanhänger integriert werden, wodurch das Gästeerlebnis noch persönlicher wird.

„ NFC-Systeme sind also eigentlich Teil der RFID-Technologie und können als eine Untergruppe dieser Techniken betrachtet werden. Der Hauptunterschied besteht darin, dass RFID-Komponenten über viel größere Entfernungen hinweg miteinander kommunizieren und kommunizieren können. Daher finden sie in vielen Bereichen breite Anwendung“, bemerkt González.

Mit der Weiterentwicklung beider Technologien haben Diebe neue Formen des kontaktlosen Betrugs erkundet, indem sie Karteninformationen abgreifen oder nicht autorisierte Transaktionen durchführen.

Eine davon ist Skimming, eine Betrugsart, bei der Kriminelle die Kartendaten des Opfers kopieren. Sobald die Daten erfasst sind, ist ein weiterer Schritt erforderlich, beispielsweise das Klonen der Karte oder die Verwendung gestohlener Daten bei Online-Transaktionen, um Betrug zu begehen.

Laut dem Spezialisten „ verwendet ein Betrüger ein verstecktes NFC- oder RFID-Lesegerät, um die Daten einer kontaktlosen Zahlungskarte abzufangen, wenn jemand diese zu nah an die Karte hält . Obwohl die gestohlenen Daten in der Regel nicht die PIN enthalten, können manche Angreifer diese für Online-Einkäufe in Geschäften mit geringer Sicherheit verwenden.“

Als vorbeugende Maßnahme können Sie RFID-blockierende Geldbörsen verwenden oder die Karte sogar in Aluminiumfolie einwickeln . Es wird empfohlen, Kaufbenachrichtigungen in Echtzeit zu aktivieren, virtuelle oder temporäre Karten für Online-Käufe zu verwenden und Transaktionen zu überwachen.

Eine andere Art von Angriff ist ein Relay-Angriff: In diesem Fall fängt ein Angreifer das Signal zwischen einer NFC-Karte und einem Zahlungsterminal ab und verstärkt es, um den Anschein zu erwecken, als sei die Karte woanders vorhanden. Dadurch können Zahlungen erfolgen, ohne dass der Eigentümer etwas davon merkt.

Um dies zu vermeiden, empfiehlt es sich, eine geschützte NFC/RFID-Geldbörse zu verwenden, kontaktlose Einkäufe auf Ihrem Telefon zu deaktivieren, wenn es nicht verwendet wird, und für Zahlungen eine biometrische Authentifizierung (Fingerabdruck oder Face ID) zu verwenden.

Cybersicherheitsexperten sprechen auch vom E-Wallet-Hacking oder dem Diebstahl mobiler Zahlungsdaten: Bei dieser Methode nutzen Cyberkriminelle Schwachstellen in Zahlungs-Apps (wie Apple Pay oder Google Pay) aus oder fangen Daten in öffentlichen WLAN-Netzwerken ab. So können sie, wenn sie Zugriff auf das Konto des Benutzers erhalten, nicht autorisierte Zahlungen tätigen.

In diesem Zusammenhang erklärt das Cybersicherheitsunternehmen Kaspersky, dass Cyberkriminelle mehrere Smartphones kaufen, darauf Apple- oder Google-Konten erstellen und kontaktlose Zahlungs-Apps installieren. Wenn ein Opfer eine gefälschte Website besucht, wird es aufgefordert, seine Karte zu verknüpfen oder eine kleine obligatorische Zahlung zu leisten. Dazu müssen Sie die Kartendetails eingeben und den Kartenbesitz durch Eingabe eines Einmalkennworts (OTP) bestätigen.

Auch wenn die Karte nicht sofort Belastungen registriert, werden die Daten nahezu augenblicklich an Cyberkriminelle übertragen, die dann versuchen, die Karte mit einer mobilen Geldbörse auf ihrem Smartphone zu verknüpfen. „Um den Vorgang zu beschleunigen und zu vereinfachen, verwenden Angreifer spezielle Software, die aus den vom Opfer bereitgestellten Daten eine perfekte Kopie der Karte erstellt. Anschließend machen sie einfach ein Foto von diesem Bild mit Apple Pay oder Google Wallet.

Um dieser Masche entgegenzuwirken , wird empfohlen, sichere Passwörter festzulegen und die Zwei-Faktor-Authentifizierung zu aktivieren, niemals Zahlungen in öffentlichen WLAN-Netzwerken vorzunehmen und für Online-Transaktionen virtuelle Karten zu verwenden , bei denen die Karte vor der Verwendung aufgeladen wird. Es empfiehlt sich außerdem, keine großen Geldbeträge auf virtuellen Karten zu speichern und diese erst unmittelbar vor einem Online-Kauf aufzuladen. Wenn Ihr Kartenaussteller es zulässt, deaktivieren Sie Offline-Zahlungen und Bargeldabhebungen für diese Karten. Achten Sie außerdem stets auf die Überwachung der Transaktionen.

Eine weitere Form des Diebstahls ist die Installation gefälschter NFC-Lesegeräte: Dabei platziert ein Betrüger an Bezahlterminals oder Geldautomaten ein modifiziertes NFC-Lesegerät, das beim Durchziehen der Karte oder des Mobiltelefons die Daten des Benutzers erfasst.

In diesem Fall ist es immer wichtig zu überprüfen, dass am Zahlungsterminal nichts Verdächtiges angebracht oder verändert wurde. Wenn möglich, können anstelle von NFC auch Chip- und PIN-Karten verwendet werden. Auf unbekannten Geräten können keine NFC-Zahlungen akzeptiert werden.

Eine weitere Gefahr stellt in diesem Zusammenhang NFC-Phishing dar: Dabei handelt es sich um eine Technik, bei der ein Betrüger oder Cyberkrimineller versucht, den Benutzer dazu zu verleiten, sein Telefon in die Nähe eines gefälschten NFC-Chips zu halten, der ihn auf eine bösartige Seite umleitet.

Kaspersky warnt diesbezüglich, dass Benutzer, sobald sie ihr Gerät in die Nähe des manipulierten NFC-Lesegeräts bringen, möglicherweise auf Phishing-Sites umgeleitet werden, auf ihren Geräten unerwünschte Aktionen ausgeführt oder sogar Schadsoftware gesendet werden könnte. In seiner Warnung erklärte das Unternehmen, dass Diebe in stark frequentierten Bereichen wie Verkehrsknotenpunkten, Cafés oder Einzelhandelsgeschäften ein echtes Lesegerät gegen ein Lesegerät austauschen könnten, das schädliches Verhalten auslöst.

Es wird empfohlen, NFC-Tags nicht an verdächtigen Orten zu scannen und Ihr Telefon so einzustellen, dass vor dem Öffnen von NFC-Links eine Bestätigung verlangt wird.

„Die Zahl der Opfer dieser Art von Angriffen ist von Land zu Land unterschiedlich. Tatsache ist jedoch, dass es einen Anstieg von Betrugsfällen im Zusammenhang mit Karten ohne Chip gibt, insbesondere in den umsatzstärksten Zeiten wie Weihnachten, Valentinstag und Neujahr, um nur einige zu nennen“, so David González, IT-Sicherheitsspezialist bei ESET Lateinamerika.

Diego Barrio de Mendoza (*)

(*) Mit zusätzlichen Informationen von EL TIEMPO.