Der Anteil mobiler Bezahlvorgänge mit dem Smartphone oder der Smartwatch hat im vergangenen Jahr deutlich zugelegt: 5,4 Prozent aller kartengestützten Bezahlvorgänge werden inzwischen mit digital im Smartphone oder der -watch hinterlegter Karte abgewickelt. Ein Jahr zuvor waren es noch knapp drei Prozent (EHI-Studie Zahlungssysteme im Einzelhandel 2023)
Was sind digitale Kredit- und Debitkarten?
Digitale Debit- oder Kreditkarten sind digitale Abbilder einer physischen Karte und als solche oftmals auch an dieselbe gekoppelt. Die digitale Debitkarte wird in den meisten Fällen über die eine sogenannte Wallet der betriebssystem-eigenen Dienste, wie Apple Pay oder Google Pay oder die Apps der Sparkassen- und Genossenschaftsbanken im Smartphone hinterlegt. Der Bezahlvorgang am Terminal im Einzelhandel wird dann mittels Near Field Communication – oder kurz NFC – übertragen.
Wie gelangen die Täter an Kartendaten?
Je nach Bank oder Kreditinstitut und genutztem Gerät, wird die digitale Karte entweder direkt und/oder über den jeweiligen Onlinebanking-Account hinzugefügt und muss abschließend noch z.B. mit einer TAN autorisiert werden.
Für diese Einrichtung ist die physische Karte nicht notwendig. Das machen sich Cyber-Kriminelle zu Nutze: Per Phishing gelangen die Täterinnen und Täter zunächst an die Daten der Debitkarte. In der Folge geben sie zum Beispiel am Telefon als Bankmitarbeiter aus und fordern die angerufene Person unter einem Vorwand auf, eine Push-TAN zu bestätigen, die diese während des Gespräches erhält. Mit der mitgeteilten TAN wird die jeweilige digitale Karte dann sofort auf dem Täterhandy freigeschaltet und die Täterinnen und Täter können fortan mit dem eigenen Smartphone Bezahlen, ohne selbst die physische Debitkarte mit PIN zu besitzen.
So nutzen Sie Ihr Smartphone und ihre Wearables als Zahlungsmittel sicher
Es gibt mehrere Sicherheitsstandards, die das kontaktlose Bezahlen mit dem Smartphone ähnlich sicher machen, wie das Bezahlen mit der regulären Debitkarte (früher EC-Karte). Und auch die Bedienung unterscheidet sich nur unwesentlich. So werden beispielsweise bei Android-Geräten mit NFC-Chip - ähnlich wie bei Zahllungen mit Debitkarten - Beträge bis 25 Euro in der Regel ohne zusätzliche Erkennungsmethode freigegeben. Bei höheren Beträgen werden Fingerabdruck, Geräte-PIN oder die Gesichtserkennung abgefragt.
Bei den Systemen von Google und Apple werden nicht die eigentlichen Kreditkartendaten gespeichert und an den Händler übertragen, sondern nur sogenannte Token, das sind sozusagen virtuelle Kreditkartennummern. Damit können die Daten auch nicht ausgespäht und für Betrugsversuche missbraucht werden.
Sollte das Smartphone gestohlen werden, löscht die Bank nur das virtuelle Gegenstück der Karte und muss nicht die eigentliche Debitkarte sperren.
- Achten Sie beim Onlinebanking stets auf eine sichere Verbindung und nutzen Sie nur vertrauenswürdige Zahlungsplattformen und -Apps.
- Geben Sie niemals eine TAN oder PIN an Dritte weiter – auch nicht an vermeintliche Mitarbeiter Ihrer Bank oder des Kreditinstituts!
- Halten Sie Ihre Software aktuell und nutzen Sie eine Anti-Malware-Software zum Schutz Ihrer Geräte.
- Schützen Sie Ihre Wallet durch eine Zwei-Faktor-Authentifizierung (Geräte-PIN, Gesichtserkennung oder Fingerabdruck).
Betrug mit digitalen Debitkarten
BSI: Kontaktlos bezahlen im Alltag