Ist Apple Pay wirklich sicher?

Meinem Bruder wurden im Sommer 900 Euro unberechtigt von seiner MasterCard der Deutschen Bank (ja ja, die…) abgebucht. Die Abbuchung erfolgte von Wyre, einem Krypto Start-up in den USA. Die Dt. Bank behauptet steif und fest, die Zahlung sei über Apple Pay autorisiert worden und weigert sich den Schaden zu ersetzen. Mein Bruder hatte keine Autorisierungsanfrage bekommen und ich habe damals auf seinem Gerät auch nichts dergleichen gefunden.

Bei Apple scheint es außer FAQs keinen Support fuer Apple Pay zu geben, ich habe weder auf deutschen noch englischen Seiten etwas gefunden. Apple verweist nur auf die kartenausgebende Bank.

Soweit hat dies nichts mit Tomorrow zu tun, aber ich frage mich, ob Apple Pay wirklich so sicher ist wie ich bislang dachte. Ich nutze es sehr selten, weil die Gebühren bei Tomorrow statt bei Apple hängen bleiben sollen, aber offenbar ist es schon problematisch, es überhaupt eingerichtet zu haben:

  • auf den Kreditkartenabrechnungen sieht man nicht ob Apple Pay benutzt wurde oder nicht
  • in der iOS Wallet gibt es keine TAN history ausser den letzten zehn erfolgreichen Buchungen (also auch keine abgelehnten Anfragen)
  • die Bank kann sich rausreden und irgendwas behaupten
  • Apple hat keinen Support

Ich überlege inzwischen, im Freundes- und Familienkreis von Apple Pay abzuraten, zumal die Abwicklung so intransparent ist, dass man schwer nachvollziehen kann, was überhaupt passiert ist.

Hat jemand von euch mehr Hintergrundwissen oder einen ähnlichen Fall erlebt?

Ich kenne eigentlich nur zwei Angriffsmethoden in Bezug zu Apple Pay. Die Relay-POS-Attacke trifft im Fall deines Bruders vermutlich nicht zu. Aber denkbar ist vielleicht, dass Betrüger an die Kartendaten der physischen Karte deines Bruders geraten sind, und die Karte auf einem neuen Gerät für Apple Pay haben registrieren können. Dafür mussten sie die Sicherheitsvorkehrungen der Deutschen Bank aushebeln. Vielleicht ging dem ein Phishing-Versuch voraus.

Jedes Gerät, iPhone, Mac oder Watch, wird bei Apple Pay eindeutig identifiziert. Rufe die Wallet-App auf, wähle eine Karte, und dann „Kartennummer“. Dort siehst du die „verlinkte“ Kartennummer und eine gerätespezifische Nummer, mit der man im System der Bank die Transaktion eindeutig einem spezifischen Gerät zuordnen kann. – Das würde ich versuchen herauszufinden: Von welchem Gerät ist die Autorisierung gekommen? War es das Gerät, das im Sommer überprüft wurde?

1 „Gefällt mir“

Super, vielen Dank! Ich werde nachforschen und berichten wenn ich etwas interessantes finde.

An das zweite Szenario hatte ich gar nicht gedacht. Demnach wäre man ohne Apple Pay selbst eingerichtet zu haben auch nicht besser dran.

Zumindest nicht bei den beiden Betrugs-Maschen, über die ich bisher gelesen habe.

Dieser Punkt hier irritiert mich. Wenn ich mit Google Pay zahle, bekomme ich - zusätzlich zur Benachrichtigung von Google Pay - eine Benachrichtigung von der Bank über die Transaktion auf der Karte.

Triggert denn die Mastercard der Deutschen Bank normalerweise eine Benachrichtigung, wenn man sie benutzt? Egal ob mit oder ohne Apple Pay? Das hier wäre nämlich der springende Punkt. Ohne diese Benachrichtigung ist es mega merkwürdig.

Habt ihr schonmal versucht, das direkt bei Mastercard als Betrug zu melden? Die Deutsche Bank also zu umgehen?

Genau das irritiert mich auch. Er hat keine Autorisierungsanfrage von Apple bekommen und in der Wallet wurde die Transaktion auch nicht angezeigt. — Er hat allerdings eine Push Nachricht von der Dt. Bank erhalten, in dem Sinne „du hast gerade fuer 900 Euros Krypto gekauft“. Wir haben innerhalb von wenigen Minuten die Hotline der Bank angerufen und die Karte sperren lassen.

Die Hotline sagte, es wäre eine Online-Transaktion gewesen und er bräuchte sich um nichts weiter kümmern, weil er schnell genug angerufen hatte. Erst nach einigen Wochen hat er ein Schreiben bekommen, dass es eine Apple Pay Transaktion sei und somit sein Problem.

Er hat es danach direkt bei MasterCard versucht, aber die haben den Vorgang wieder an die Bank weitergeleitet.

Die Autorisierungsanfrage für eine Zahlung kommt nicht bei allen Banken. Bei meiner Sparkassen-Karte kam sie nie. Bei FINOM & Monese kommt sie (fast) immer. Bin noch nicht ganz durchgestiegen, wann die Autorisierung nicht notwendig ist. Durch der fehlende Autorisierungsanfrage kann mensch also nichts ableiten.

Ich habe tatsächlich bisher nur gehört, dass Apple Pay vergleichsweise besonders sicher sein soll, weil darüber wohl auch keine vollständigen Karten- oder Zahlungsdaten rausgegeben werden, sondern nur verschlüsselte Informationen weitergegeben werden - keine eigene Erfahrung, nur Hörensagen.

Ich bin ehrlich gesagt skeptisch, dass es hier wirklich um Apple Pay geht. Mir kommt es eher so vor, als seien die Kartendaten irgendwie geleakt (egal wie). Es gibt nur die Behauptung von der Deutschen Bank, dass das so sei, aber keinen Nachweis.

Laut Bei Betrugsverdacht | Mastercard ist man für genau solche Transaktionen nicht verantwortlich, wenn man das sofort meldet. Ich würde die Deutsche Bank um einen Nachweis bitten, dass es sich um eine Transaktion per Apple Pay handelt - die Behauptung reicht ja offenbar nicht aus, um Apple in Bewegung zu setzen. So würde ich es zumindest verargumentieren. Entweder nämlich stimmt die Info nicht, oder du brauchst einen echten Beweis. In jedem Fall muss dich die Bank hier unterstützen, statt mit dem Finger auf jemand anderen zu zeigen.

Deswegen wäre der nächste Schnitt meines Erachtens, die geräteeigene Kartennummer zu identifizieren. Apple Pay funktioniert ja mit individuellen, gerätespezifischen virtuellen „Karten“. Die Deutsche Bank muss in der Lage sein, diese Transaktion einer solchen virtuellen Karte zuzuordnen. Man kann diese virtuellen Karten auch nicht übertragen.

(In jedem Fall bei solchen Beträgen auch immer Anzeige erstatten. Das zeigt den Banken, dass man es eine Idee ernster meint. In vielen Regionen geht das bei Kartenbetrug online und echt schnell.)

Für diese Beschreibung der Sachlage fehlen mir die Belege.

Ich bin Mac-Nutzer. Das ist mein Kenntnisstand: Nativ (auf dem Mac) funktioniert Apple Pay nur, wenn es sich um einen Mac mit Fingerabdrucksensor handelt, da gehören z.B. die neuen Geräte mit M1/M2-Prozessor dazu. Die haben, so wie das iPhone, einen speziellen Chip, in dem verschlüsselt die digitale Karte abgelegt wird. Zahlungsfreigaben beim Online-Shopping erfolgen dann durch den Fingerabdrucksensor.

Bei Macs gibt es zwei weitere Optionen zur Freigabe: Wenn man keine digitalen Karten auf dem Mac selbst eingerichtet hat, kann man die Freigabe ans iPhone weiterreichen. Dann schließt man die Zahlung mit Face-ID oder Fingerabdruck auf dem iPhone ab. Es kommt dann die digitale Karte zum Einsatz, die auf dem iPhone gespeichert ist. Noch eine Option: Man kann auch eine verknüpfte Apple-Watch für die Freigabe verwenden. Da popt dann auf der Uhr ein Hinweis auf, und mit doppeltem Drücken des Buttons auf der Uhr gibt man die Zahlung frei. Funktioniert natürlich nur, wenn die Uhr vorher entsperrt ist, was eine PIN erfordert oder ein entsperrtes verknüpftes iPhone in unmittelbarer Nähe.

Anders als z.B. Google Pay gibt es bei Apple am POS (fast) nie eine Zahlung, die nicht per SCA freigegeben wird. Auch nicht unterhalb der Grenze, die für kontaktlose Zahlungen vom Gesetzgeber freigegeben ist. Das ist der Grund, warum die meisten in der Branche Apple Pay bei der Sicherheit eine Nase vorne sehen im Vergleich zu konkurrierenden Verfahren. Und es ist hier evtl. der Grund, warum man als Kunde den schwierigeren Stand hat.

(Ich schrieb „fast“, weil es mit der Funktion „Express-ÖPNV“ auch bei Apple-Pay eine Option gibt, für registrierte, ausgewählte Händler, auf die Freigabe zu verzichten. Das muss aber von Apple explizit freigegeben werden. Nur Anbieter wie z.B. die U-Bahn in London oder New York bekommen von Apple die Möglichkeit dafür.)

Noch zur Ergänzung: Das hat sich nicht Apple ausgedacht. Das ist Industrie-Standard. Wenn die Autorisierung auf dem Gerät des Nutzers erfolgt, entfällt die Strong-Customer-Authentication am POS-Terminal. Gilt auch für Google-Pay, oder die App „Mobiles Bezahlen“ der Sparkassen … Mobile Payment allgemein eben. Und selbst für die Karten mancher Anbieter, die einen Fingerabdrucksensor auf der Karte integriert haben.

Apple-Pay ist auf Geräte beschränkt, die Touch-/Face-ID haben. Regulatorisch gilt der Zugriff auf ein entsperrtes iPhone als SCA-Faktor „Wissen“, nicht Biometrie, was vielleicht ein bisschen verwirrt. Das liegt am Funktionsprinzip von Touch-ID. Das kann man sich wie einen Passwort-Manager vorstellen. Apps bekommen nie biometrische Daten, sondern nur ein „okay“ von iOS, das hier z.B. eine PIN ersetzt.

2 „Gefällt mir“

Ehrlich, für diese steile These fehlen mir Belege.

Du schreibst nun selbst, dass Touch-ID SCA ersetzt. Das ist halbrichtig. Es ersetzt es nicht, es ist ein Teil davon. Und zwar aus Sicht des Regulators der Faktor „Wissen“, analog zu einer PIN. (Besitzt des kryptografischen Einmaltokens zum Zahlen ist Faktor „Besitzt“.)

Apple hat die Zahlweise ja nicht erfunden. Sie basiert auf dem EMV-Standard, und auf der Tokenisierungstechnik, die von Visa und Mastercard entwickelt worden ist. Natürlich erfolgt bei Apple-Pay eine Autorisierung. Ich nutze Apple Pay regelmäßig. Deine Beschreibung, man könnte z.B. über Safari ohne Autorisierung zahlen, ist meiner Ansicht nach schlicht falsch und entspricht in keinem Fall meiner eigenen Erfahrung.

Auch die Verlagerung von SCA auf das Gerät des Kunden ist durch den Industriestandard für Mobile Payment beschrieben. Keine Apple-Erfindung. Google ist hier zum Beispiel viel laxer. Hier wird die vom Regulator vorgesehene Schwelle für SCA-freie Zahlungen je nach Konfiguration durch Nutzer voll ausgenutzt. Diese Option gibt es bei Apple Pay nicht.

Fun fact: Manche Händler wollen trotz Apple Pay eine PIN am POS. Apple will das freilich nicht, ist aber außerhalb ihrer Kontrolle. Es gibt dazu auf der Website von Apple einen eigenen FAQ-Eintrag dazu.

Natürlich ist Touch-ID und Face-ID hier relevant! Ohne klappt kein Apple Pay. Während der Pandemie hat Apple aufgrund der Gesichtsmasken eine Lockerung dafür eingeführt. Als Fallback kann die Geräte-PIN genutzt werden, ganz ohne Form der expliziten Autorisierung keine Zahlungsfreigabe.

Nee nee, ich selbst habe diese mögliche Angriffsmethode hier das erste Mal ins Spiel gebracht. Ich bin wie du der Meinung, dass es wahrscheinlicher ist, dass hier z.B. ein Phishing-Angriff stattfand (und nicht, dass die Autorisierung einer Apple-Pay-Zahlung ausgehebelt wurde).

Du beschreibst nun richtig, dass bei Apple Pay die Autorisierung auf dem Gerät stattfindet. Aber sie entfällt nicht. CDCVM, wie gesagt, ist keine Erfindung von Apple. Das ist ein Industriestandard, den Apple hier nutzen kann. Noch einmal, wo deine Aussage meines Erachtens schlicht falsch war: Wenn Apple Pay bei E-Commerce eigesetzt wird, z.B. beim Shoppen in Safari, erfolgt SCA ebenfalls auf dem Gerät mittels CDCVM. Sie entfällt nicht.

Tut es, ja. Das ist die Fallback-Methode, die ich übrigens selbst erwähnt habe! Der Zusammenhang ist dieser: Beide Technologien setzen die Secure Enclave voraus. Nur auf Geräten mit Secure Enclave lässt sich Apple Pay nutzen, ergo, alle Geräte, die Apple Pay beherrschen, haben entweder Touch- oder Face-ID an Bord.

Vor Corona gab es die PIN als Fallback nicht. Entscheidend ist: Jede Apple-Pay-Zahlung muss explizit erneut freigegeben werden. Es reicht nicht, dass das iPhone entsperrt ist. Man muss die PIN noch einmal eingeben.

Hier schließt sich dann der Kreis: Ich habe geschrieben, dass man sich Touch-ID wie einen Passwortmanager vorstellen kann. Touch-ID ist ein Baustein in iOS, den App-Entwickler einsetzen können, um Passwörter zu ersetzten. Deswegen gelten die Verfahren aus Sicht der Regulatoren auch nicht als biometrische Verfahren, sondern werden wie Passwörter oder PINs betrachtet. Im Zusammenhang mit Apple Pay also als Faktor „Wissen“, ganz als wäre es eine PIN. Eine PIN als Fallback zu nutzen ist dann auch kein Problem.

1 „Gefällt mir“

Das ist glaube ich so nicht richtig. Schon mindestens 2019 war der Gerätecode als Fallback möglich WebArchive.
Wäre ja auch sehr komisch, weil man mit dem Gerätecode die hinterlegte Biometrie ändern kann. Secure Enclave wird aber vorausgesetzt, deshalb ist TouchID/FaceID indirekt notwendig.

2 „Gefällt mir“

Danke fürs Aufstöbern! (Knackpunkt ist ja eh: keine Zahlung ohne Autorisierung, egal, wie.)

2 „Gefällt mir“

So, nach euren Hinweisen habe ich nochmal mit meinem Bruder gesprochen und die Schreiben der Bank gelesen.

Wir haben die Karten im Sommer sofort aus der Wallet/Apple Pay entfernt, sodass ich die virtuellen Kartennummern nicht mehr sehen kann. Da die nirgendwo anders benutzt werden (in den Kartenabrechnungen stehen ja nur die Nummern der physikalischen Karte) würde das im Moment sowieso nicht weiterhelfen.

Wie bereits gesagt gab es in der Wallet keine Spuren der unberechtigten €900 Transaktion. Ich habe dann in die App „Meine Karte“ der DBK geschaut. Dort gibt es die Seite „Push-Nachrichten“ und dort ist die €900 Transaktion mit „Internet“ gekennzeichnet. Alle Apple Pay Transaktionen werden jedoch als „PayPass“ bezeichnet. Wir haben also vermutet, dass das gar keine Apple Pay Buchung war und wieder bei der DBK reklamiert. Diese Antwort kam gestern:

Die beschreiben es also genau umgekehrt wie es in der App dargestellt ist.

Mein Bruder wird morgen selbst Strafanzeige erstatten. Ich denke, er sollte die DBK nochmal anschreiben und nach den Details der €900 Buchung fragen, also DeviceID, virtuelle Kartennummer, etc. Diese könnte man mit den Details der letzten, vorangegangenen, legitimen Buchung vergleichen. Keine Ahnung ob die Bank die Daten herausrücken wird, oder ob das ueber Anwalt, Verbraucherschutz, Schlichtungsstelle etc. gehen muss.

Weiss jemand, welche Details gespeichert werden? Bei Internetbuchungen z.B. IP-Adresse, oder vielleicht Geo Location vom Telefon? Ausserdem muss es doch eine Historie geben, welches Gerät wann fuer Apple Pay eingerichtet worden ist?

Eigentlich ist nur noch eine Phishing Attacke plausibel wie @Frnk sie oben beschrieben hat, also um Apple Pay auf einem anderen Gerät einzurichten. Oder die DBK verwechselt Internet- mit Apple Pay Buchung, absichtlich oder aus Luschigkeit.

Jetzt bin ich verwirrt…

Meine Schreibfaulheit und mein Abkürzungsfimmel:

Deutsche Bank => Dt. Bank => DBK

DBK ist das Kürzel der Deutschen Bank Aktie. DB wäre noch kürzer aber das verbinde ich so mit der Bahn.

Danke für die Aufklärung, jetzt passt es wieder für mein Verständnis :blush: