Folgen Sie ZDNET: Fügen Sie uns als bevorzugte Quelle hinzu auf Google.
Die wichtigsten Erkenntnisse von ZDNET
- Ghost Tapping versucht, Tap-to-Pay auszunutzen, um Ihr Geld zu stehlen.
- Der Betrüger hat es auf physische Zahlungskarten und mobile Geldbörsen abgesehen.
- Der Betrug kann schwer durchzuziehen sein, aber Betrüger bleiben bestehen.
Das Bezahlen eines Artikels mit der mobilen Geldbörse Ihres Telefons durch Antippen ist eine schnelle und bequeme Möglichkeit, einen Kauf zu tätigen. Doch trotz der Bequemlichkeit oder vielleicht gerade deshalb ist mit dem Verfahren ein gewisses potenzielles Risiko verbunden. Eine Betrugsart, über die in letzter Zeit viel berichtet wird, ist das Ghost Tapping. Ein Krimineller – oder sogar ein unehrlicher oder gefälschter Anbieter – kann die Tap-to-Pay-Technologie ausnutzen, um Ihre Kreditkarte oder Zahlungsmethode ohne Ihr Wissen zu belasten.
Wie dieser Betrug funktioniert
„Ghost Tapping bezieht sich auf Versuche von Kriminellen, ohne Wissen des Opfers eine unbefugte kontaktlose Zahlung auszulösen“, sagte Shane Barney, Chief Information Security Officer bei Keeper Security, gegenüber ZDNET. „Tap-to-Pay nutzt Near Field Communication (NFC), die eine sehr große Nähe zur Karte oder zum Gerät erfordert. Obwohl diese Technologie grundsätzlich sicher ist, versuchen Angreifer, Momente auszunutzen, in denen Menschen abgelenkt sind, beispielsweise in überfüllten öffentlichen Bereichen.“
Außerdem: 11 Möglichkeiten, sich aus dem Internet zu löschen oder zu verstecken – und Ihre Privatsphäre zu schützen
Ghost-Tapping-Betrügereien können auf mobile Geldbörsen wie Apple Wallet und Google Wallet sowie auf Tap-to-Pay-Kredit- und Debitkarten abzielen. Typischerweise bietet diese Technologie eine bequeme Möglichkeit, eine breite Palette von Artikeln zu kaufen, von Fahrkarten für den öffentlichen Nahverkehr bis hin zu Lebensmitteln, Benzin und Kleidung. Viele Kleinunternehmer und Verkäufer verwenden tragbare Tap-to-Pay-Lesegeräte, mit denen Sie Artikel ganz einfach über Ihr Telefon oder Ihre Kreditkarte kaufen können.
Ein Ghost-Tapping-Betrug umfasst normalerweise drei Schritte, erklärte Barney.
- Sich dem Opfer nähern: Mit einem NFC-Lesegerät bewaffnet, kommt der Betrüger seinem Zielopfer sehr nahe, stößt manchmal mit ihm zusammen oder stellt sich in einem überfüllten Bereich an ihn gepresst. Die Beschaffung eines NFC-Lesegeräts ist der einfache Teil, da Sie eines bei jedem Online-Händler kaufen können.
- Auslösen einer Transaktion: Wenn sich die Zahlungskarte des Opfers lose in einer Tasche oder Tasche befindet und nicht geschützt ist, könnte der Betrüger mit dem Lesegerät versuchen, eine Tap-to-Pay-Transaktion einzuleiten.
- Bearbeitung der Gebühr: Selbst wenn sie ihre Transaktionen überprüfen, bemerken die Opfer die Belastung möglicherweise nicht, insbesondere wenn der Betrüger den Betrag niedrig hält.
Wie schwierig ist es, diese Art von Betrug durchzuziehen? Laut Barney ist die eigentliche Ausführung der schwierige Teil. Der Betrüger muss nahe genug am Opfer bleiben, um unbemerkt eine Reaktion von der Karte aus einzuleiten. Aus diesem Grund treten diese Betrügereien häufig in überfüllten Bereichen oder in Umgebungen auf, in denen sich der Angreifer als legitimer Anbieter ausgeben kann.
Obwohl sowohl physische Zahlungskarten als auch Mobiltelefone angegriffen werden können, sollen moderne Sicherheitsmethoden verhindern, dass Angreifer vertrauliche Zahlungsinformationen stehlen. Die heutigen kontaktlosen EMV-Karten (Europay, Mastercard und Visa) schützen vor dem Diebstahl von Kartennummern, CVV-Codes und anderen Daten.
Smartphones sind noch sicherer als physische Zahlungskarten. Apple Wallet und Google Wallet umfassen biometrische Daten auf Geräteebene zur Authentifizierung, speichern Token anstelle von Kartennummern und verlassen sich auf in die Hardware integrierte Sicherheit. Da für eine Transaktion eine Face ID, Touch ID oder eine PIN erforderlich sei, sei ein Geisterabgriff auf ein Smartphone praktisch unmöglich, sagte Barney.
Hüten Sie sich vor dem gefälschten Anbieter
Der Drive-by-NFC-Diebstahl ist schwieriger durchzuführen, als viele Leute annehmen, und die verfügbaren Daten sind begrenzt. Allerdings machen Angreifer weiter, weil der Einstiegspunkt so niedrig ist. Doch wenn die Herausforderungen groß sind, warum stellt Ghost Tapping eine Bedrohung dar? Nun, ein Angreifer muss sich nicht an Ihre Seite schleichen, um den Betrug zu begehen, schon gar nicht, wenn Social Engineering so gut funktioniert.
Außerdem: So entfernen Sie Ihre persönlichen Daten aus der Google-Suche – schnell und einfach
„Erfolgreiche Betrügereien basieren oft eher auf Social Engineering als auf echtem Funkdiebstahl“, sagte Barney. „Die effektivste Methode, die Kriminelle anwenden, besteht darin, sich als seriöser Verkäufer auszugeben, beispielsweise an einem Pop-up-Stand oder an einem Straßenkiosk, und jemanden dazu zu überreden, mit seiner Karte auf ein betrügerisches Lesegerät zu tippen. In solchen Szenarien genehmigt das Opfer die Belastung, weil der Angreifer eine glaubwürdige physische Umgebung geschaffen hat.“
In einer aktuellen Betrugswarnung hat das Better Business Bureau (BBB) einige der Tricks enthüllt, mit denen Betrüger einen Ghost-Tapping-Betrug durchführen, wie man sich vor ihnen in Acht nimmt und wie man sich schützt.
Hier sind einige Anzeichen für einen möglichen Betrug:
- An überfüllten, öffentlichen Orten in Ihrer Nähe sein. Der Betrüger könnte Sie treffen, während er heimlich Ihr Telefon oder Ihre Kreditkarte mit Abhörfunktion auflädt.
- Ein skrupelloser oder falscher Verkäufer, der Ihnen etwas verkauft. Tap-to-Pay ist eine beliebte Zahlungsmethode auf Flohmärkten, Festivals, Kongressen und anderen Zusammenkünften. Aber bei so viel Aktivität könnte sich ein Betrüger einschleichen, einen Tisch oder einen Stand aufbauen und Ihnen einen exorbitanten Betrag für einen Artikel in Rechnung stellen, der möglicherweise legitim ist oder nicht.
- Wohltätigkeitsbetrug. Eine Person, die behauptet, Spenden für eine Wohltätigkeitsorganisation anzunehmen, könnte Ihre Karte oder Ihr mobiles Portemonnaie mit einem viel höheren Betrag belasten, als Sie erwarten.
- Den Prozess beschleunigen. Betrüger verlassen sich darauf, dass Sie es eilig haben oder abgelenkt werden. In diesem Fall können Sie die Transaktion genehmigen, ohne den Firmennamen oder den berechneten Betrag zu überprüfen.
Wie können Sie feststellen, ob Sie betrogen werden oder bereits betrogen wurden? Hier sind drei Hinweise.
- Bankbenachrichtigungen, die geringe Gebühren anzeigen. Betrüger testen manchmal das Wasser, indem sie Ihnen einen kleinen Betrag in Rechnung stellen, um zu sehen, ob es funktioniert. Wenn ja, können sie auf größere Beträge ausgeweitet werden.
- Keine Bestätigung des berechneten Betrags. Seien Sie vorsichtig, wenn ein Einzelhändler Ihnen per Tap-to-Pay eine Rechnung berechnet, Ihnen aber weder den Gesamtbetrag zeigen noch eine Quittung ausstellen möchte.
- Verdächtige Anschuldigungen. Achten Sie auf verdächtige Gebühren, nachdem Sie sich in einem überfüllten Bereich wie einem Flohmarkt, einem Festival oder einer Haltestelle aufgehalten haben.
5 Möglichkeiten, sich zu schützen
Wie kann man sich letztendlich vor Ghost Tapping schützen? Hier ein paar Vorschläge der BBB.
- Nutzen Sie einen RFID-Schutz. Wenn Sie Ihr Telefon nicht verwenden, bewahren Sie es in einer RFID-blockierenden Brieftasche oder Hülle auf, um zu verhindern, dass das NFC-Signal es erreicht.
- Bestätigen Sie die Zahlungsdetails. Bevor Sie auf Ihr Telefon oder Ihre Karte tippen, überprüfen Sie den Namen des Verkäufers und den auf dem Bildschirm des Lesegeräts angezeigten Betrag.
- Richten Sie Transaktionswarnungen ein. Melden Sie sich bei Ihrer Bank an, um Echtzeitbenachrichtigungen für jede eingehende Belastung zu erhalten.
- Überprüfen Sie Ihre Bank- und Kreditkonten. Überprüfen Sie Ihre Bank- und Kreditkartengebühren auf Anzeichen von Betrug.
- Beschränken Sie die Nutzung von Tap-to-Pay. Wenn Sie in einem ungewöhnlichen oder potenziell risikoreichen Szenario davor zurückschrecken, Tap-to-Pay zu verwenden, sollten Sie stattdessen Ihre Kreditkarte durchziehen oder einstecken.
