NFC-Skimming-Angriffe

Wie Kriminelle die bekannte Funktion „Mit dem Smartphone bezahlen“ ausnutzen, um dein Geld zu stehlen.

Zum Diebstahl von Geld werden direkte und umgekehrte NFC-Relay-Angriffe verwendet

Dank der Bequemlichkeit von NFC und Smartphone-Zahlungen haben viele Menschen keine Brieftasche mehr bei sich und erinnern sich nicht einmal mehr an die PIN ihrer Bankkarte. Alle ihre Karten befinden sich in einer Zahlungs-App, und diese zu verwenden ist schneller, als die physische Karte herauszukramen. Auch mobiles Bezahlen ist sicher – die Technologie wurde vor relativ kurzer Zeit entwickelt und bietet zahlreiche Schutzmaßnahmen zur Bekämpfung von Betrug. Dennoch haben Kriminelle verschiedene Möglichkeiten entwickelt, um NFC zu missbrauchen und an dein Geld zu kommen. Glücklicherweise geht der Schutz deines Geldes ganz einfach: Mache dich mit diesen Tricks vertraut und meide riskante Szenarien der NFC-Nutzung.

Was sind NFC-Relay und NFCGate?

NFC-Relay ist eine Technik, bei der Daten, die drahtlos zwischen einer Quelle (z. B. einer Bankkarte) und einem Empfänger (z. B. einem Zahlungsterminal) übertragen werden, von einem zwischengeschalteten Gerät abgefangen und in Echtzeit an ein anderes weitergeleitet werden. Stelle dir vor, du hast zwei Smartphones, die über das Internet verbunden sind und auf denen jeweils eine Relay-App installiert ist. Wenn du eine physische Bankkarte gegen das erste Smartphone und das zweite Smartphone in die Nähe eines Terminals oder Geldautomaten hältst, liest die Relay-App auf dem ersten Smartphone das Signal der Karte mithilfe von NFC und überträgt es in Echtzeit an das zweite Smartphone, das dieses Signal anschließend an das Terminal überträgt. Aus Sicht des Terminals sieht es so aus, als wäre eine echte Karte daran gehalten worden – auch wenn sich die Karte selbst in einer anderen Stadt oder einem anderen Land befindet.

Diese Technologie wurde ursprünglich nicht zu kriminellen Zwecken entwickelt. Die NFCGate-App erschien 2015 als Forschungstool, nachdem sie von Studenten der Technischen Universität Darmstadt in Deutschland entwickelt wurde. Sie war für die Analyse und Fehlerbehebung des NFC-Datenverkehrs sowie für Bildungszwecke und Experimente mit kontaktloser Technologie vorgesehen. NFCGate wurde als Open-Source-Lösung vertrieben und in akademischen Kreisen und von Technikenthusiasten verwendet.

Fünf Jahre später erkannten Cyberkriminelle das Potenzial von NFC-Relay und begannen, NFCGate zu modifizieren, indem sie Mods hinzufügten, die es ihm ermöglichten, über einen schädlichen Server zu gehen, sich als legitime Software zu tarnen und Social-Engineering-Szenarien auszuführen.

Was als Forschung begann, wurde zur Grundlage für eine ganze Reihe von Angriffen, die darauf abzielten, Bankkonten ohne physischen Zugriff auf eine Bankkarte abzuräumen.

Geschichte des Missbrauchs

Die ersten dokumentierten Angriffe mit einem modifizierten NFCGate ereigneten sich Ende 2023 in der Tschechischen Republik. Bis Anfang 2025 hatte sich das Problem bereits erheblich ausgeweitet: Cybersicherheitsanalysten entdeckten mehr als 80 verschiedene Malware-Beispiele, die auf dem NFCGate-Framework basierten. Die Angriffe entwickelten sich schnell weiter und die NFC-Relay-Funktionen wurden auch in andere Malware-Komponenten integriert.

Bis Februar 2025 tauchten Malware-Bundles auf, die CraxsRAT und NFCGate kombinieren und es Angreifern ermöglichen, das Relay mit minimaler Interaktion des Opfers zu installieren und zu konfigurieren. Im Frühjahr 2025 tauchte eine neue Masche auf, eine sogenannte „umgekehrte“ Version von NFCGate, die die Ausführung des Angriffs grundlegend änderte.

Besonders hervorzuheben ist der Trojaner RatOn, der erstmals in der Tschechischen Republik detektiert wurde. Er kombiniert die Fernbedienung des Smartphones mit NFC-Relay-Funktionen und ermöglicht es Angreifern, die Banking-Apps und Karten der Opfer durch unterschiedliche Kombinationen von Techniken anzugreifen. Funktionen wie Bildschirmaufnahme, Datenmanipulation in der Zwischenablage, SMS-Versand und Diebstahl von Daten aus Krypto-Wallets und Banking-Apps bieten Kriminellen ein umfangreiches Arsenal.

Außerdem haben Cyberkriminelle die NFC-Relay-Technologie auch in MaaS-Angebote (Malware-as-a-Service) gepackt und im Rahmen eines Abonnements an andere Bedrohungsakteure weiterverkauft. Anfang 2025 entdeckten Analysten in Italien eine neue und ausgeklügelte Android-Malware-Kampagne namens SuperCard X. Versuche, SuperCard X einzusetzen, wurden im Mai 2025 in Russland und im August desselben Jahres in Brasilien registriert.

Der direkte NFCGate-Angriff

Der direkte Angriff ist die ursprüngliche kriminelle Masche, die NFCGate ausnutzt. In diesem Szenario übernimmt das Smartphone des Opfers die Rolle des Lesegeräts, während das Telefon des Angreifers als Kartenemulator agiert.

Zunächst bringen die Betrüger den Benutzer dazu, eine schädliche App zu installieren, die als Bankdienst, System-Update, App zur Kontosicherheit oder sogar als beliebte App wie TikTok getarnt ist. Nach der Installation erhält die App Zugriff sowohl auf NFC als auch auf das Internet – oft ohne gefährliche Berechtigungen oder Root-Zugriff anzufordern. Einige Versionen verlangen auch Zugriff auf die Bedienungshilfen von Android.

Dann wird das Opfer unter dem Deckmantel der Identitätsüberprüfung aufgefordert, seine Bankkarte an sein Telefon zu halten. Dabei liest die Malware die Kartendaten per NFC aus und sendet sie sofort an den Server der Angreifer. Von dort werden die Informationen an ein zweites Smartphone weitergeleitet, das einem Geldesel gehört, über den das Geld dann abgehoben wird. Dieses Telefon emuliert dann die Karte des Opfers, um Zahlungen an einem Terminal zu tätigen oder an einem Geldautomaten Bargeld abzuheben.

Die gefälschte App auf dem Smartphone des Opfers fragt außerdem – wie an einem Zahlterminal oder Geldautomaten – nach der Karten-PIN und sendet diese an die Angreifer.

In frühen Versionen des Angriffs standen Kriminelle einfach mit einem Telefon am Geldautomaten, um die Karte des gefälschten Benutzers in Echtzeit zu verwenden. Später wurde die Malware so verfeinert, dass die gestohlenen Daten für Einkäufe in Geschäften in einem verzögerten Offline-Modus und nicht in einem Live-Relay verwendet werden konnten.

Für die Opfer ist der Diebstahl kaum wahrnehmbar: Die Karte wurde nicht aus der Hand gegeben, die Daten wurden nicht manuell eingegeben oder wiederholt und die Benachrichtigungen der Bank über die Abhebungen können verzögert oder sogar von der schädlichen App selbst abgefangen werden.

Zu den Warnsignalen, die einen direkten NFC-Angriff vermuten lassen, gehören:

  • Aufforderungen, Apps aus einem nicht offiziellen Store zu installieren;
  • Aufforderung, die Bankkarte an das Smartphone zu halten.

Der umgekehrte NFCGate-Angriff

Der umgekehrte Angriff ist eine neuere, komplexere Masche. Das Smartphone des Opfers kann die Karte nicht mehr lesen – es emuliert die Karte eines Angreifers. Für das Opfer erscheint alles völlig sicher: Es ist nicht erforderlich, Kartendaten anzugeben, Codes zu teilen oder eine Karte an das Smartphone zu halten.

Genau wie beim direkten Schema beginnt alles mit Social Engineering. Der Benutzer erhält einen Anruf oder eine Nachricht, er solle eine App für „kontaktloses Bezahlen“, „Kartensicherheit“ oder gar zur „Verwendung digitaler Zentralbankwährungen“ installieren. Nach der Installation soll er die neue App als Standardmethode für kontaktloses Bezahlen festlegen – und das ist der entscheidende Schritt. Damit benötigt die Malware keinen Root-Zugriff – nur die Zustimmung des Benutzers.

Anschließend verbindet sich die schädliche App im Hintergrund mit dem Server des Angreifers und die NFC-Daten von der Karte eines der Angreifer werden auf das Gerät des Opfers übertragen. Dieser Schritt ist für das Opfer völlig unsichtbar.

Als nächstes wird das Opfer zu einem Geldautomaten geschickt. Unter dem Vorwand „Geld auf ein sicheres Konto überweisen“ oder „Geld an sich selbst senden“ zu müssen, wird es aufgefordert, sein Telefon an den NFC-Leser des Geldautomaten zu halten. In diesem Moment interagiert der Geldautomat tatsächlich mit der Karte des Angreifers. Die PIN wird dem Opfer zuvor diktiert und als „Neu“ oder „Temporär“ ausgewiesen.

Und so landet am Ende das gesamte Geld, das vom Opfer eingezahlt oder überwiesen wurde, auf dem Konto der Kriminellen.

Folgende Kennzeichen weisen auf einen solchen Angriff hin:

  • Aufforderungen zum Ändern der standardmäßigen NFC-Zahlungsmethode;
  • eine „neue“ PIN;
  • jedes Szenario, in dem du aufgefordert wirst, zu einem Geldautomaten zu gehen und dort Aktionen nach den Anweisungen einer anderen Person auszuführen.

So schützt du dich vor NFC-Relay-Angriffen

Bei einem NFC-Relay-Angriff setzen die Betrüger weniger auf technische Schwachstellen als auf das Vertrauen der Benutzer. Um sich dagegen zu verteidigen, sind einige einfache Vorsichtsmaßnahmen erforderlich.

  • Stelle sicher, dass du nur vertrauenswürdige kontaktlose Zahlungsmethoden (z. B. Google Pay oder Samsung Pay) als Standard beibehältst.
  • Halte niemals deine Bankkarte an dein Smartphone, wenn du von einer anderen Person oder in einer App dazu aufgefordert wirst. Legale Apps verwenden möglicherweise deine Kamera, um die Kartennummer zu scannen, aber sie werden dich nie auffordern, das NFC-Lesegerät für deine eigene Karte zu verwenden.
  • Folge niemals den Anweisungen von Fremden an einem Geldautomaten – ganz gleich, wer sie vorgeben zu sein.
  • Vermeide die Installation von Apps aus inoffiziellen Quellen. Dazu gehören Links, die über Messaging-Apps, soziale Medien, SMS gesendet oder während eines Telefonats empfohlen werden – selbst wenn sie von jemandem stammen, der sich als Kundensupport oder Polizei ausgibt.
  • Verwende umfassende Sicherheit auf deinen Android-Smartphones, um betrügerische Anrufe zu blockieren, den Besuch von Phishing-Sites zu verhindern und die Installation von Malware zu stoppen.
  • Halte dich nur an offizielle App-Stores. Überprüfe beim Herunterladen aus einem Store die Rezensionen, die Anzahl der Downloads, das Veröffentlichungsdatum und die Bewertung der App.
  • Wenn du einen Geldautomaten verwendest, verlasse dich bei der Transaktion auf deine physische Karte und nicht auf dein Smartphone.
  • Mache es dir zur Gewohnheit, regelmäßig die „Standardeinstellung für Zahlungen“ im NFC-Menü deines Telefons zu überprüfen. Wenn verdächtige Apps auftauchen, entferne diese sofort und starte eine umfassende Untersuchung der Sicherheit deines Geräts.
  • Sieh dir die Liste der Apps mit Zugriffsberechtigungen an – diese Funktion wird häufig von Malware ausgenutzt. Entziehe diese Berechtigungen für dubiose Apps oder deinstalliere die Apps vollständig.
  • Speichere die offiziellen Kundendienstnummern deiner Banken in den Kontakten deines Telefons. Rufe beim geringsten Hinweis auf ein faules Spiel umgehend die Hotline deiner Bank an.
  • Wenn du vermutest, dass deine Kartendaten kompromittiert wurden, sperre die Karte sofort.
Tipps
  • Für alle anderen Länder