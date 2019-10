Betrügern ist es in den USA gelungen, mit Apple Pay und geklauten Kreditkartendaten Waren im Wert von über 1,5 Millionen US-Dollar zu erwerben. Der Anführer des Betrügerrings, ein 30-Jähriger aus Miami, wurde von einem Gericht nun zu einer viereinhalbjährigen Haftstrafe wegen Computerbetrugs (wire fraud) und Identitätsdiebstahls verurteilt, wie die Staatsanwaltschaft im US-Bundesstaat Florida mitteilte.

477 geklaute Kreditkarten in Apple Pay eingerichtet

Ein weiteres Mitglied des Betrügerrings wurde bereits Ende 2018 zu einer vierjährigen Gefängnisstrafe verurteilt, bei zwei weiteren Beschuldigten steht das Urteil noch aus. Im Rahmen von "Plea Deals" haben sich alle Angeklagten – drei Männer und eine Frau – für schuldig befunden.

Die Betrüger nutzten die "betrügerisch erschlichenen" Daten von mindestens 477 Kreditkarten, um diese in Apples kontaktlosem Bezahldienst Apple Pay zu hinterlegen, wie die Staatsanwaltschaft erklärte. Mit ihren iPhones sei die Gruppe dann auf Einkaufstour im Einzelhandel gegangen und konnte so die Kreditkartendaten nutzen, ohne eine physische Kreditkarte vorweisen zu müssen. Weitere Details zum Vorgehen hat die Staatsanwaltschaft nicht genannt.

Kritik an geringen Schutzmaßnahmen

Die Betrüger dürften sich zunutze gemacht haben, dass das Hinzufügen von Kreditkarten zu Apple Pay meist einfach ist. Je nach ausgebender Bank reicht dafür beispielsweise neben den Kartendaten der CV-Code (Card Validation Code). Dieser Code fehlt bei geklauten Kreditkartendaten zwar gewöhnlich, doch war es ursprünglich möglich, die nur dreistellige Ziffernkombination solange durchzuprobieren, bis die richtige gefunden war, wie ein Sicherheitsforscher 2016 kritisierte. Diese Schwachstelle bei Apple Pay sollte längst geschlossen sein.

Banken können zur Verifizierung der Karte verschiedene Methoden einsetzen und dem Nutzer beispielsweise einen Code an E-Mail-Adresse, per Banking-App oder per Telefon senden. Apple prüft bei der Zulassung einer Karte für Apple Pay nach eigener Angabe "Daten über die Aktivierung bestimmter Geräte-Einstellungen und das Nutzungsmuster Ihres Geräts, etwa wie oft das Gerät in Bewegung ist und die ungefähre Anzahl der von Ihnen pro Woche getätigten Anrufe". Nach Berichten über eine hohe Betrugsquote mit Apple Pay betonten Banken und Apple im Jahr 2015, es handele sich um ein seltenes Phänomen.

