{"id":32069,"date":"2025-04-16T11:13:59","date_gmt":"2025-04-16T09:13:59","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32069"},"modified":"2025-04-16T11:13:59","modified_gmt":"2025-04-16T09:13:59","slug":"apple-google-nfc-carding-theft-2025","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/apple-google-nfc-carding-theft-2025\/32069\/","title":{"rendered":"NFC-Betrug via Apple Pay und Google Wallet"},"content":{"rendered":"

Es ist ein wahres Wettrennen: Die Sicherheit von Zahlungskarten wird st\u00e4ndig optimiert, und Angreifer erfinden immer neue Diebstahlmethoden. Fr\u00fcher brachten Cyberkriminelle das Opfer dazu, in einem gef\u00e4lschten Online-Shop seine Kartendaten preiszugeben. Anschlie\u00dfend schrieben sie die gestohlenen Daten auf einen Magnetstreifen und stellten eine physische Kopie der Karte her. Solche Karten funktionierten problemlos in Gesch\u00e4ften und sogar an Geldautomaten. Sp\u00e4ter machten Chipkarten und Einmalpassw\u00f6rter (OTPs) Betr\u00fcgern das Leben deutlich schwerer, aber auch damit wurden sie fertig<\/a>. Mobile Zahlungen \u00fcber Smartphones erh\u00f6hen inzwischen die Widerstandsf\u00e4higkeit gegen\u00fcber bestimmten Betrugsarten, er\u00f6ffnen jedoch auch neue Wege f\u00fcr Gaunereien. Angreifer k\u00f6nnen jetzt eine Kartennummer durch Phishing in Erfahrung bringen und dann versuchen, die Nummer mit ihrem eigenen Apple Pay- oder Google Wallet-Konto zu verkn\u00fcpfen. Anschlie\u00dfend verwenden sie dieses Konto auf einem Smartphone, um mit der Karte des Opfers zu bezahlen\u00a0\u2013 entweder in gew\u00f6hnlichen Gesch\u00e4ften oder in einer gef\u00e4lschten Verkaufsstelle mit einem NFC-f\u00e4higen Zahlungsterminal.<\/p>\n

So funktioniert das Phishing von Kartendaten<\/h2>\n

Solche Cyberangriffe erfordern Vorbereitungen im gro\u00dfen Stil. Angreifer erstellen Netzwerke aus gef\u00e4lschten Websites, mit denen Zahlungsdaten durch Phishing abgegriffen werden k\u00f6nnen. Dies k\u00f6nnen Lieferdienste, gro\u00dfe Online-Shops<\/a> oder sogar Portale zur Bezahlung von Stromrechnungen oder Strafzetteln sein. Au\u00dferdem kaufen die Cyberkriminellen Dutzende Smartphones, richten darauf Apple- oder Google-Konten ein und installieren Apps f\u00fcr kontaktloses Bezahlen.<\/p>\n

Nun kommt der interessante Teil. Sobald ein Opfer auf einer K\u00f6derseite landet, wird es aufgefordert, seine Karte zu verkn\u00fcpfen oder eine obligatorische kleine Zahlung vorzunehmen. Hierzu m\u00fcssen die Kartendaten eingegeben und der Besitz der Karte durch Eingabe eines Einmalcodes best\u00e4tigt werden. Zu diesem Zeitpunkt wird nichts von der Karte abgebucht.<\/strong><\/p>\n

Aber was passiert wirklich? Die Daten des Opfers landen postwendend bei den Cyberkriminellen, die dann versuchen, die Karte mit einer mobilen Geldb\u00f6rse auf dem Opfer-Smartphone zu verkn\u00fcpfen<\/strong>. Der Einmalcode wird ben\u00f6tigt, um diesen Vorgang zu autorisieren. Um das Ganze zu beschleunigen und zu vereinfachen, verwenden die Angreifer eine spezielle Software, die aus den vom Opfer eingegebenen Daten ein perfektes Abbild der Karte erstellt. Dieses Abbild kann dann einfach mit Apple Pay oder Google Wallet abfotografiert werden. Wie eine Karte mit einer mobilen Geldb\u00f6rse verkn\u00fcpft wird, h\u00e4ngt vom jeweiligen Land und der Bank ab. Normalerweise werden dazu jedoch nur Nummer, Ablaufdatum, Name des Karteninhabers, CVV\/CVC und ein Einmalcode ben\u00f6tigt. Alle diese Daten k\u00f6nnen in einem Aufwasch durch Phishing besorgt und sofort verwendet werden.<\/p>\n

Cyberkriminelle haben noch weitere Tricks im \u00c4rmel, um Angriffe effektiver zu machen. Erstens: Sollte das Opfer Gefahr riechen und nicht auf \u201eSenden\u201c tippen, landen dennoch alle bereits in das Formular eingetippten Daten bei den Kriminellen\u00a0\u2013 selbst wenn es nur einige Zeichen sind oder die Eingabe unvollst\u00e4ndig war. Zweitens: M\u00f6glicherweise meldet die gef\u00e4lschte Website, dass die Zahlung missgl\u00fcckt ist, und das Opfer wird aufgefordert, es mit einer anderen Karte zu versuchen. Dadurch k\u00f6nnen die B\u00f6sewichte auf einen Streich die Daten von zwei oder drei Karten phishen.<\/p>\n

Die Karten werden nicht sofort belastet und oft ger\u00e4t der Vorfall in Vergessenheit, da auf dem Kontoauszug nichts Verd\u00e4chtiges auftaucht.<\/p>\n

So wird Geld von Karten gestohlen<\/h2>\n

Cyberkriminelle verkn\u00fcpfen m\u00f6glicherweise Dutzende von Karten mit einem Smartphone und versuchen nicht sofort, Geld damit auszugeben. Das Smartphone, das mit Kartennummern geradezu vollgestopft ist<\/a>, wird dann im Dark Web verscherbelt. Zwischen dem Phishing und einer Abbuchung vergehen oft Wochen oder sogar Monate. Aber eines (nicht so) sch\u00f6nen Tages k\u00f6nnten die Kriminellen beschlie\u00dfen, sich in einem Gesch\u00e4ft mit Luxusartikeln einzudecken und den Kauf kontaktlos \u00fcber ein Smartphone zu begleichen, das voller gephishter Kartennummern steckt. Oder die Angreifer k\u00f6nnten bei einer legitimen E-Commerce-Plattform einen gef\u00e4lschten Shop einrichten und Geld f\u00fcr fiktive Waren verlangen. In einigen L\u00e4ndern kann man mit einem NFC-f\u00e4higen Smartphone sogar Bargeld an Geldautomaten abheben. In allen oben genannten F\u00e4llen muss die Transaktion nicht per PIN oder Einmalcode best\u00e4tigt werden. Die Gauner k\u00f6nnen also seelenruhig Geld abzweigen, bis das Opfer die Karte sperrt.<\/p>\n

Um mobile Geldb\u00f6rsen schneller an heimliche K\u00e4ufer zu \u00fcbertragen und das Risiko f\u00fcr diejenigen zu verringern, die vor Ort in Gesch\u00e4ften bezahlen, verwenden Angreifer mittlerweile die NFC-Relay-Technik Ghost Tap<\/a>. Zuerst installieren sie eine legitime App (z.\u00a0B. NFCGate) auf zwei Smartphones. Das erste Telefon enth\u00e4lt die mobile Geldb\u00f6rse und die gestohlenen Karten, das zweite wird direkt f\u00fcr Zahlungen verwendet. Diese App \u00fcbertr\u00e4gt in Echtzeit \u00fcber das Internet die NFC-Daten der Geldb\u00f6rse vom ersten Telefon an die NFC-Antenne des zweiten, das ein Komplize der Cyberkriminellen (der \u201eKurier\u201c) auf das Zahlungsterminal legt.<\/p>\n

Die meisten Terminals in Offline-L\u00e4den und viele Geldautomaten k\u00f6nnen das weitergeleitete Signal nicht von einem Originalsignal unterscheiden. Der Geldkurier kann also problemlos f\u00fcr Waren bezahlen (oder f\u00fcr Geschenkkarten, die sich auch wunderbar zum Waschen von gestohlenem Geld eignen). Und sollte der Kurier im Laden Verdacht erregen, befindet sich auf dem Smartphone nichts Belastendes, sondern lediglich die v\u00f6llig legitime NFCGate-App. In dieser App gibt es keine gestohlenen Kartennummern. Die sind n\u00e4mlich auf dem Smartphone des Drahtziehers gespeichert, und der kann sich \u00fcberall befinden, sogar in einem anderen Land. Mit dieser Methode k\u00f6nnen Betr\u00fcger schnell und risikolos hohe Summen abheben, da mehrere Kuriere fast gleichzeitig mit derselben gestohlenen Karte bezahlen k\u00f6nnen.<\/p>\n

Karte ans Telefon gehalten\u00a0\u2013 Geld weg<\/h2>\n

Ende 2024 entwickelten Betr\u00fcger ein weiteres NFC-Relay-System und testeten es erfolgreich an Nutzern aus Russland. Und die Methode k\u00f6nnte sich auch im Rest der Welt problemlos ausbreiten. Bei diesem Betrug werden die Opfer gar nicht erst nach ihren Kartendaten gefragt. Die Angreifer verwenden Social Engineering. Die Nutzer werden dazu gebracht, eine vermeintlich praktische App auf ihren Smartphones zu installieren. Als Deckmantel dienen meist Beh\u00f6rden, Banken oder sonstigen Dienste. Da in Russland viele dieser Banking- und Beh\u00f6rden-Apps aufgrund von Sanktionen aus den offiziellen Stores entfernt wurden, sind leichtgl\u00e4ubige Nutzer bereit, sie auf Umwegen zu installieren. Das Opfer wird dann aufgefordert, seine Karte an sein Smartphone zu halten und sich per PIN zu autorisieren oder zu verifizieren.<\/p>\n

Und wer h\u00e4tte das gedacht? Die installierte App hat nichts mit ihrer Beschreibung gemeinsam. Bei der ersten Angriffswelle erhielten die Opfer ein identisches NFC-Relay, das als \u201epraktische App\u201c verpackt war. Es las die Karte, sobald sie an das Smartphone gehalten wurde, und \u00fcbermittelte die Daten zusammen mit der PIN an die Angreifer. Und schon war die Bahn frei, um damit Eink\u00e4ufe zu t\u00e4tigen oder an NFC-f\u00e4higen Geldautomaten Bargeld abzuheben. Die Betrugsschutzsysteme der gro\u00dfen russischen Banken lernten schnell, solche Zahlungen aufgrund von unterschiedlichen geografischen Standorten des Opfers und des Zahlenden zu identifizieren. Darum \u00e4nderte sich 2025 zwar das Schema, der Betrug ging aber weiter.<\/p>\n

Jetzt erh\u00e4lt das Opfer eine App zum Erstellen einer Duplikatkarte, und das Relay wird beim Angreifer installiert. Anschlie\u00dfend wird das Opfer unter dem Vorwand eines Diebstahlrisikos dazu \u00fcberredet, \u00fcber einen Geldautomaten Geld auf ein \u201esicheres Konto\u201c einzuzahlen und die Zahlung mit seinem Smartphone zu autorisieren. Wenn das Opfer sein Telefon an den Geldautomaten h\u00e4lt, \u00fcbertr\u00e4gt der Betr\u00fcger seine eigenen Kartendaten und das Geld landet auf seinem Konto. F\u00fcr automatische Betrugsalarmsysteme sind derartige Vorg\u00e4nge schwer zu durchblicken, da die Transaktion v\u00f6llig legitim wirkt. \u2013 Es sieht aus, als zahle jemand an einem Geldautomaten Bargeld auf seine Karte ein. Das Betrugsschutzsystem wei\u00df nicht, dass die Karte jemand anderem geh\u00f6rt.<\/p>\n

So sch\u00fctzt du deine Karten vor Betr\u00fcgern<\/h2>\n

Zun\u00e4chst sollten nat\u00fcrlich Google und Apple zusammen mit den Zahlungssystemen zus\u00e4tzliche Schutzma\u00dfnahmen in die Infrastruktur implementieren. Aber auch Nutzer k\u00f6nnen aktiv werden, um sich selbst zu sch\u00fctzen:<\/p>\n