NFC

NFC-Betrug via Apple Pay und Google Wallet

Cyberkriminelle haben neue Wege gefunden, um Geld von Zahlungskarten zu stehlen. Die passenden Anmeldedaten erbeuten sie im Internet oder per Telefon. Manchmal genügt es aber schon, seine Karte ans Telefon zu halten – schon ist man sein Geld los.

Stan Kaminsky
16 Apr 2025

Es ist ein wahres Wettrennen: Die Sicherheit von Zahlungskarten wird ständig optimiert, und Angreifer erfinden immer neue Diebstahlmethoden. Früher brachten Cyberkriminelle das Opfer dazu, in einem gefälschten Online-Shop seine Kartendaten preiszugeben. Anschließend schrieben sie die gestohlenen Daten auf einen Magnetstreifen und stellten eine physische Kopie der Karte her. Solche Karten funktionierten problemlos in Geschäften und sogar an Geldautomaten. Später machten Chipkarten und Einmalpasswörter (OTPs) Betrügern das Leben deutlich schwerer, aber auch damit wurden sie fertig. Mobile Zahlungen über Smartphones erhöhen inzwischen die Widerstandsfähigkeit gegenüber bestimmten Betrugsarten, eröffnen jedoch auch neue Wege für Gaunereien. Angreifer können jetzt eine Kartennummer durch Phishing in Erfahrung bringen und dann versuchen, die Nummer mit ihrem eigenen Apple Pay- oder Google Wallet-Konto zu verknüpfen. Anschließend verwenden sie dieses Konto auf einem Smartphone, um mit der Karte des Opfers zu bezahlen – entweder in gewöhnlichen Geschäften oder in einer gefälschten Verkaufsstelle mit einem NFC-fähigen Zahlungsterminal.

So funktioniert das Phishing von Kartendaten

Solche Cyberangriffe erfordern Vorbereitungen im großen Stil. Angreifer erstellen Netzwerke aus gefälschten Websites, mit denen Zahlungsdaten durch Phishing abgegriffen werden können. Dies können Lieferdienste, große Online-Shops oder sogar Portale zur Bezahlung von Stromrechnungen oder Strafzetteln sein. Außerdem kaufen die Cyberkriminellen Dutzende Smartphones, richten darauf Apple- oder Google-Konten ein und installieren Apps für kontaktloses Bezahlen.

Nun kommt der interessante Teil. Sobald ein Opfer auf einer Köderseite landet, wird es aufgefordert, seine Karte zu verknüpfen oder eine obligatorische kleine Zahlung vorzunehmen. Hierzu müssen die Kartendaten eingegeben und der Besitz der Karte durch Eingabe eines Einmalcodes bestätigt werden. Zu diesem Zeitpunkt wird nichts von der Karte abgebucht.

Aber was passiert wirklich? Die Daten des Opfers landen postwendend bei den Cyberkriminellen, die dann versuchen, die Karte mit einer mobilen Geldbörse auf dem Opfer-Smartphone zu verknüpfen. Der Einmalcode wird benötigt, um diesen Vorgang zu autorisieren. Um das Ganze zu beschleunigen und zu vereinfachen, verwenden die Angreifer eine spezielle Software, die aus den vom Opfer eingegebenen Daten ein perfektes Abbild der Karte erstellt. Dieses Abbild kann dann einfach mit Apple Pay oder Google Wallet abfotografiert werden. Wie eine Karte mit einer mobilen Geldbörse verknüpft wird, hängt vom jeweiligen Land und der Bank ab. Normalerweise werden dazu jedoch nur Nummer, Ablaufdatum, Name des Karteninhabers, CVV/CVC und ein Einmalcode benötigt. Alle diese Daten können in einem Aufwasch durch Phishing besorgt und sofort verwendet werden.

Cyberkriminelle haben noch weitere Tricks im Ärmel, um Angriffe effektiver zu machen. Erstens: Sollte das Opfer Gefahr riechen und nicht auf „Senden“ tippen, landen dennoch alle bereits in das Formular eingetippten Daten bei den Kriminellen – selbst wenn es nur einige Zeichen sind oder die Eingabe unvollständig war. Zweitens: Möglicherweise meldet die gefälschte Website, dass die Zahlung missglückt ist, und das Opfer wird aufgefordert, es mit einer anderen Karte zu versuchen. Dadurch können die Bösewichte auf einen Streich die Daten von zwei oder drei Karten phishen.

Die Karten werden nicht sofort belastet und oft gerät der Vorfall in Vergessenheit, da auf dem Kontoauszug nichts Verdächtiges auftaucht.

So wird Geld von Karten gestohlen

Cyberkriminelle verknüpfen möglicherweise Dutzende von Karten mit einem Smartphone und versuchen nicht sofort, Geld damit auszugeben. Das Smartphone, das mit Kartennummern geradezu vollgestopft ist, wird dann im Dark Web verscherbelt. Zwischen dem Phishing und einer Abbuchung vergehen oft Wochen oder sogar Monate. Aber eines (nicht so) schönen Tages könnten die Kriminellen beschließen, sich in einem Geschäft mit Luxusartikeln einzudecken und den Kauf kontaktlos über ein Smartphone zu begleichen, das voller gephishter Kartennummern steckt. Oder die Angreifer könnten bei einer legitimen E-Commerce-Plattform einen gefälschten Shop einrichten und Geld für fiktive Waren verlangen. In einigen Ländern kann man mit einem NFC-fähigen Smartphone sogar Bargeld an Geldautomaten abheben. In allen oben genannten Fällen muss die Transaktion nicht per PIN oder Einmalcode bestätigt werden. Die Gauner können also seelenruhig Geld abzweigen, bis das Opfer die Karte sperrt.

Um mobile Geldbörsen schneller an heimliche Käufer zu übertragen und das Risiko für diejenigen zu verringern, die vor Ort in Geschäften bezahlen, verwenden Angreifer mittlerweile die NFC-Relay-Technik Ghost Tap. Zuerst installieren sie eine legitime App (z. B. NFCGate) auf zwei Smartphones. Das erste Telefon enthält die mobile Geldbörse und die gestohlenen Karten, das zweite wird direkt für Zahlungen verwendet. Diese App überträgt in Echtzeit über das Internet die NFC-Daten der Geldbörse vom ersten Telefon an die NFC-Antenne des zweiten, das ein Komplize der Cyberkriminellen (der „Kurier“) auf das Zahlungsterminal legt.

Die meisten Terminals in Offline-Läden und viele Geldautomaten können das weitergeleitete Signal nicht von einem Originalsignal unterscheiden. Der Geldkurier kann also problemlos für Waren bezahlen (oder für Geschenkkarten, die sich auch wunderbar zum Waschen von gestohlenem Geld eignen). Und sollte der Kurier im Laden Verdacht erregen, befindet sich auf dem Smartphone nichts Belastendes, sondern lediglich die völlig legitime NFCGate-App. In dieser App gibt es keine gestohlenen Kartennummern. Die sind nämlich auf dem Smartphone des Drahtziehers gespeichert, und der kann sich überall befinden, sogar in einem anderen Land. Mit dieser Methode können Betrüger schnell und risikolos hohe Summen abheben, da mehrere Kuriere fast gleichzeitig mit derselben gestohlenen Karte bezahlen können.

Karte ans Telefon gehalten – Geld weg

Ende 2024 entwickelten Betrüger ein weiteres NFC-Relay-System und testeten es erfolgreich an Nutzern aus Russland. Und die Methode könnte sich auch im Rest der Welt problemlos ausbreiten. Bei diesem Betrug werden die Opfer gar nicht erst nach ihren Kartendaten gefragt. Die Angreifer verwenden Social Engineering. Die Nutzer werden dazu gebracht, eine vermeintlich praktische App auf ihren Smartphones zu installieren. Als Deckmantel dienen meist Behörden, Banken oder sonstigen Dienste. Da in Russland viele dieser Banking- und Behörden-Apps aufgrund von Sanktionen aus den offiziellen Stores entfernt wurden, sind leichtgläubige Nutzer bereit, sie auf Umwegen zu installieren. Das Opfer wird dann aufgefordert, seine Karte an sein Smartphone zu halten und sich per PIN zu autorisieren oder zu verifizieren.

Und wer hätte das gedacht? Die installierte App hat nichts mit ihrer Beschreibung gemeinsam. Bei der ersten Angriffswelle erhielten die Opfer ein identisches NFC-Relay, das als „praktische App“ verpackt war. Es las die Karte, sobald sie an das Smartphone gehalten wurde, und übermittelte die Daten zusammen mit der PIN an die Angreifer. Und schon war die Bahn frei, um damit Einkäufe zu tätigen oder an NFC-fähigen Geldautomaten Bargeld abzuheben. Die Betrugsschutzsysteme der großen russischen Banken lernten schnell, solche Zahlungen aufgrund von unterschiedlichen geografischen Standorten des Opfers und des Zahlenden zu identifizieren. Darum änderte sich 2025 zwar das Schema, der Betrug ging aber weiter.

Jetzt erhält das Opfer eine App zum Erstellen einer Duplikatkarte, und das Relay wird beim Angreifer installiert. Anschließend wird das Opfer unter dem Vorwand eines Diebstahlrisikos dazu überredet, über einen Geldautomaten Geld auf ein „sicheres Konto“ einzuzahlen und die Zahlung mit seinem Smartphone zu autorisieren. Wenn das Opfer sein Telefon an den Geldautomaten hält, überträgt der Betrüger seine eigenen Kartendaten und das Geld landet auf seinem Konto. Für automatische Betrugsalarmsysteme sind derartige Vorgänge schwer zu durchblicken, da die Transaktion völlig legitim wirkt. – Es sieht aus, als zahle jemand an einem Geldautomaten Bargeld auf seine Karte ein. Das Betrugsschutzsystem weiß nicht, dass die Karte jemand anderem gehört.

So schützt du deine Karten vor Betrügern

Zunächst sollten natürlich Google und Apple zusammen mit den Zahlungssystemen zusätzliche Schutzmaßnahmen in die Infrastruktur implementieren. Aber auch Nutzer können aktiv werden, um sich selbst zu schützen:

Verwende virtuelle Karten für Online-Zahlungen. Bewahre keine größeren Geldbeträge darauf auf und lade die Karte erst unmittelbar vor einem Online-Einkauf auf. Deaktiviere für solchen Karten die Möglichkeit von Offline-Zahlungen und Bargeldabhebungen, sofern der Kartenaussteller dies zulässt.
Lass dir mindestens einmal im Jahr eine neue virtuelle Karte ausstellen und sperre die alte Karte.
Verknüpfe für Offline-Zahlungen eine andere Karte mit Apple Pay, Google Wallet oder ähnlichen Diensten. Verwende diese Karte niemals online und nutze beim Bezahlen im Geschäft möglichst eine mobile Geldbörse auf deinem Smartphone.
Sei sehr vorsichtig, wenn Apps dich auffordern, deine Zahlungskarte an dein Smartphone zu halten oder deine PIN einzugeben. Wenn es sich um eine Banking-App handelt, der du schon lange vertraust, ist es in Ordnung. Geht es jedoch um eine verdächtige App, die du gerade erst über einen obskuren Link außerhalb eines offiziellen App-Stores installiert hast, lass die Finger davon.
Verwende an Geldautomaten nur Plastikkarten und kein NFC-fähiges Smartphone.
Installiere eine umfassende Sicherheitslösung auf allen Computern und Smartphones. Dadurch minimierst du das Risiko, auf Phishing-Websites zu landen und schädliche Apps zu installieren.
Aktiviere die Komponente Sicherer Zahlungsverkehr, die zu allen unseren Sicherheitslösungen gehört. Sie schützt Finanztransaktionen und Online-Käufe.
Aktiviere für alle Zahlungskarten sofortige Transaktionsbenachrichtigungen (SMS und Push-Benachrichtigungen). Sollte dir etwas Verdächtiges auffallen, kontaktiere umgehend deine Bank oder den Kartenaussteller.

Möchtest du mehr darüber erfahren, wie Betrüger Geld von deinen Karten stehlen können? Hier findest du weitere Artikel zu diesem Thema:

Skimmer: Warum sind sie besonders hinterhältig und gefährlich?

So stehlen Cyberkriminelle Geld von Bankkarten – und wie Sie sich vor solchen Diebstählen schützen können

Regeln für sicheres Online-Shopping

Fünf Kaspersky-Technologien zum Schutz Ihrer Finanzen

Was passiert mit deinem Computer, wenn du Raubkopien herunterlädst?

Was passiert, wenn du ein gecracktes Programm herunterlädst?

Spoiler: nichts Gutes. Neben Software-Raubkopien bekommst du dabei wahrscheinlich auch Miner, Stealer oder Backdoors untergejubelt.

KOSTENLOSE TOOLS

NFC-Betrug via Apple Pay und Google Wallet

So funktioniert das Phishing von Kartendaten

So wird Geld von Karten gestohlen

Karte ans Telefon gehalten – Geld weg

So schützt du deine Karten vor Betrügern

E-Mail von Google: Strafverfolgungsbehörden überprüfen dein Konto

Violette Links bedrohen deine Privatsphäre

Was passiert, wenn du ein gecracktes Programm herunterlädst?

Tipps

Violette Links bedrohen deine Privatsphäre

Das Messenger-1×1 für Sicherheit und Datenschutz

Angriff auf den Datenschutz: böse Überraschungen in Chrome, Edge und Firefox

Lehren aus dem Bybit-Hack: Krypto sicher speichern

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie