Sicherheitsaspeke bei Kreditkarten und Banking

ANZEIGE

wizzard

Erfahrenes Mitglied
09.03.2009
10.106
4.592
ANZEIGE
Ich kann mir nicht vorstellen, dass sich diese Masche lange hält. Der Aufwand für die Täter ist relativ zum Ertrag doch viel zu hoch. Es fliegt immer ziemlich schnell auf und viel rum kommt dabei auch nicht (maximal 50€ pro Vorgang).
 

knauserix

Erfahrenes Mitglied
25.02.2024
1.487
963
Ich kann mir nicht vorstellen, dass sich diese Masche lange hält. Der Aufwand für die Täter ist relativ zum Ertrag doch viel zu hoch. Es fliegt immer ziemlich schnell auf und viel rum kommt dabei auch nicht (maximal 50€ pro Vorgang).

Die Geräte sehen professionell aus, möglicherweise irgendwo in Asien in Serienproduktion hergestellt und für ein paar Euro pro Stück zu haben (über die entsprechenden dunklen Kanäle). Davon dann 20, 50 oder 100 einer fake-Identität zugeordnet, je nach Frequenz des Parkautomaten können da pro Stück immer ein paar hundert Euro pro Gerät dabei herauskommen.
Auf dem Schaden bleiben dann (wohl) die Banken/Kreditkartenunternehmen sitzen, und deren Taschen sind tief.
 

wizzard

Erfahrenes Mitglied
09.03.2009
10.106
4.592
Ich denke, den Schaden muss der Parkhausbetreiber bezahlen, weil er für die einwandfreie Nutzung seiner Automaten verantwortlich ist. Die Karten ausgebende Bank trifft kein Verschulden; der Betrug hat ja mit deren Systemen nichts zu tun.
 

geos

Erfahrenes Mitglied
23.02.2013
15.422
9.369
Bei Zahlung mit Kreditkarte sollte ein Chargeback problemlos möglich sein, bei Debitkarten vermutlich auch (abgebuchter Betrag wurde nicht angezeigt, Zahlung daher nicht autorisiert). Mit Girocard wird es vermutlich nur mit Co-Badge funktionieren. Die Zahlung geht ja an einen Händler über einen Acquirer; da muss grundsätzlich feststellbar sein, worüber das läuft.
Vermutlich ist bei dem Chargeback der Betreiber des eigentlichen Automaten gar nicht involviert, da er selbst ja auch kein Geld einzieht.
Beitrag automatisch zusammengeführt:

Wobei ich bislang dachte das sowas daran scheitert daß der Inhaber eines Kartenterminals ja bekannt ist - die Polizei da also wohl schnell jemanden festnehmen könnte.
Das Kartenterminal wird mit Sicherheit nicht in Deutschland registriert sein.

Läuft das ganze denn über ein registriertes Terminal, oder geht es hier mit NFC-Verlängerung, und am Ende zahlt ein Betrüger an einem Terminal eines Dritten, der gar nicht weiß, dass hier gerade ein Betrug stattfindet?
 

eham

Erfahrenes Mitglied
22.03.2023
1.748
1.954
NRW
[...]

Das Kartenterminal wird mit Sicherheit nicht in Deutschland registriert sein.

[...]
Das wäre auf jeden Fall ein Chargeback-Grund! So ein Betrug sollte eigentlich schnell auffallen: das originale Parkticket wurde ja nicht bezahlt, ggf. kann der Fahrer gar nicht ausfahren.
Und ansonsten muss das Terminal und dahinterliegende Geschäftskonto ja registriert sein, und sei es auf einen Strohmann. Ist am Ende dann nicht viel anders als ein Lastschriftbetrug.
 

geos

Erfahrenes Mitglied
23.02.2013
15.422
9.369
Falls es wie gesagt über ein Kartenterminal mit hinterlegtem Konto und nicht etwa über "NFC-Verlängerung" läuft.
Gibt's in manchen Ländern vielleicht Geldautomaten, wo man via NFC ohne PIN Bargeld abheben kann?
 
Zuletzt bearbeitet:

geos

Erfahrenes Mitglied
23.02.2013
15.422
9.369
Heise hat nun auch festgestellt, dass viele Banken ihre Kunden auf unsicheres Verhalten hin konditionieren:

 

ali2

Aktives Mitglied
28.04.2024
192
187
Falls es wie gesagt über ein Kartenterminal mit hinterlegtem Konto und nicht etwa über "NFC-Verlängerung" läuft.
Gibt's in manchen Ländern vielleicht Geldautomaten, wo man via NFC ohne PIN Bargeld abheben kann?
Siehe PN
Girocard geht auch und beim Terminal gibt es zwei Verfahren die beide gehen.
 

ali2

Aktives Mitglied
28.04.2024
192
187
Das wäre auf jeden Fall ein Chargeback-Grund! So ein Betrug sollte eigentlich schnell auffallen: das originale Parkticket wurde ja nicht bezahlt, ggf. kann der Fahrer gar nicht ausfahren.
Und ansonsten muss das Terminal und dahinterliegende Geschäftskonto ja registriert sein, und sei es auf einen Strohmann. Ist am Ende dann nicht viel anders als ein Lastschriftbetrug.
Doch es gibt Verfahren wo beides erfolgt. Der Geschädigte sieht also zwei Buchungen ein offizielles und ein weiteres.
 

eham

Erfahrenes Mitglied
22.03.2023
1.748
1.954
NRW
Doch es gibt Verfahren wo beides erfolgt. Der Geschädigte sieht also zwei Buchungen ein offizielles und ein weiteres.
Das kann m.E. keine Kartentransaktion sondern nur eine Online-Buchung mit den abgegriffenen Daten sein.
Hast du eine Quelle dafür?
 

rmol

Erfahrenes Mitglied
06.01.2010
3.800
823
das beschriebene bzw. gezeigte Gerät sieht allerdings eher nach einer modernen 'Parkuhr' am Straßenrand aus.
im Artikel war vom "Parkplatz am Hauptbahnhof" die Rede - aber "Parkuhr"-artig scheint dennoch richtig zu sein, also nicht zwingend eine Schranke die man nur nach Scannen eines Belegs öffnen kann. Darauf deutet auch die Zahlungsmöglichkeit per App hin, die seitlich auf dem Automaten zu sehen ist.

Ich denke, den Schaden muss der Parkhausbetreiber bezahlen, weil er für die einwandfreie Nutzung seiner Automaten verantwortlich ist.
Abgesehen davon, dass es nicht um ein Parkhaus geht - ich habe Zweifel, ob man den "Parkuhr"-Betreiber für Manipulationen an seinem Gerät verantwortlich machen und die Begleichung des Schadens von ihm verlangen kann.
Der wird sich eher auf mangelnde Sorgfalt des Users berufen, siehe auch die Polizei-Empfehlung im Artikel:
Daher empfiehlt die Polizei Köln:

-Überprüfen Sie Parkautomaten vor dem Bezahlen auf bauliche Veränderungen oder Manipulationen. Achten Sie auf ungewöhnliche Aufsätze, lockere Bauteile oder Klebereste.
 
  • Like
Reaktionen: ali2 und knauserix

Hermann

Erfahrenes Mitglied
13.08.2015
376
478
Wobei der (NFC-)Kartenleser an solchen Automaten relativ oft wie ein "ungewöhnlicher Aufsatz" aussieht, besonders dann, wenn "NFC" nachgerüstet wurde...
 

eham

Erfahrenes Mitglied
22.03.2023
1.748
1.954
NRW
Bitteschön hier wird eine Kartentransaktion beschrieben :

Ja, danke. Das kenne ich ebenso wie das EMV Protokoll über NFC. Aber praktisch kannst du damit kein "wildes Shopping" machen. Dazu müsste im selben Moment, in dem ein argloser Kunde seine Karte an den Fake-Leser hält, jemand Drittes das passende Relay-Gerät an ein Kartenterminal irgendwo auf der Welt halten und etwas unter 50€ kaufen...
 

geos

Erfahrenes Mitglied
23.02.2013
15.422
9.369
Deswegen habe ich ja oben gefragt, ob es Länder gibt mit NFC-fähigen Geldautomaten, die keine PIN verlagen.
 

ali2

Aktives Mitglied
28.04.2024
192
187
*Ok, jetzt habe ich es verstanden.*
Ihr versteht den technischen Ablauf, fragt euch aber, wie ein Betrüger das ausnutzen kann.

Weil: Am Geldautomaten ohne PIN geht es nicht.

Ganz einfach: Das Terminal an der Ladesäule fürs E-Auto nutzen, automatische Tankstellen nutzen, Prepaid-Handy aufladen usw.
Geht alles am Terminal kontaktlos ohne PIN bis 50€.
 

Hermann

Erfahrenes Mitglied
13.08.2015
376
478
Wenn ich von solchen Betrügereien höre, frage ich mich immer: Wie schwer ist es für die Ermittlungsbehörden heraus zu finden, wohin das Geld gegangen ist?
Wenn mir Jemand einen Geldschein aus der Tasche zieht, dann ist der weg.
Aber der Betrag, der von meinem Konto verschwunden ist, ist ja nicht bei einem anonymen Betrüger gelandet, sondern auf irgendeinem Konto, das irgendeinem gehört.
Mir ist bewusst, dass nicht immer der eigentliche Empfänger ausfindig gemacht werden kann, aber der Aufwand für einen "Betrüger per NFC" ist deutlich höher, als für den klassischen Taschendieb, und Ermittlungsbehörden haben im Gegensatz zum Taschendiebstahl zumindest einen ersten Hinweis, wohin das Geld gegangen ist.
 
Zuletzt bearbeitet:
  • Love
Reaktionen: SeltenFliegerHH

knauserix

Erfahrenes Mitglied
25.02.2024
1.487
963
und Ermittlungsbehörden haben im Gegensatz zum Taschendiebstahl zumindest einen ersten Hinweis, wohin das Geld gegangen ist.
Es ist aber nur ein erster Hinweis. Und bis die Auskünfte von Banken (auch im EU-Ausland) eintrudeln, kann das Geld z.B. via Echtzeit -Überweisung schon über dutzende Konten weitergeschickt worden sein.
Und einer der Konteninhaber kann dann auch z.B. ein Asylbewerber sein, der Monate später schon nicht mehr greifbar ist, weil z.B. abgeschoben, wenn die Ermittlungsbehörden dann die Spur bis dorthin verfolgen konnten. Und der hat es Monate vorher in bar abgehoben und den Auftraggebern ausgehändigt.

Der übliche Begriff der Ermittlungsbehörden für solche Beteiligte nennt sich: 'Finanzagenten'.
 
  • Like
Reaktionen: eham und Hermann

eham

Erfahrenes Mitglied
22.03.2023
1.748
1.954
NRW
Es ist aber nur ein erster Hinweis. Und bis die Auskünfte von Banken (auch im EU-Ausland) eintrudeln, kann das Geld z.B. via Echtzeit -Überweisung schon über dutzende Konten weitergeschickt worden sein.
[...]
Alles richtig - kann mir als Kunde aber egal sein. Ich hab zwar den Ärger mit Betrugsanzeige und Chargeback - bekomme aber mein Geld zurück. Hier haftet im Zweifel der Acquirer, der einen so unzuverlässigen "Händler" aquiriert hat. Deshalb gibts meistens auch Sicherheitsleistungen bei größeren Umsätzen etc.
 
  • Like
Reaktionen: knauserix und Hermann

geos

Erfahrenes Mitglied
23.02.2013
15.422
9.369
Wenn ich von solchen Betrügereien höre, frage ich mich immer: Wie schwer ist es für die Ermittlungsbehörden heraus zu finden, wohin das Geld gegangen ist?
Nein, das ist nicht schwer, das steht ja auf der Kreditkartenabrechnung. Schwer ist, es wieder zurückzubekommen (vermutlich dank Chargeback nicht wirklich)

Aber der Betrag, der von meinem Konto verschwunden ist, ist ja nicht bei einem anonymen Betrüger gelandet, sondern auf irgendeinem Konto, das irgendeinem gehört.

Korrekt, wobei es hier nicht um Überweisungen geht.

Mir ist bewusst, dass nicht immer der eigentliche Empfänger ausfindig gemacht werden kann, aber der Aufwand für einen "Betrüger per NFC" ist deutlich höher, als für den klassischen Taschendieb, und Ermittlungsbehörden haben im Gegensatz zum Taschendiebstahl zumindest einen ersten Hinweis, wohin das Geld gegangen ist.
Wichtig ist doch für den Betrüger, dass er das Geld schnell genug abzieht/ausgibt. Das Konto, auf das es geht (bei Überweisungsbetrug), ist ja nicht seines und/oder befindet sich in einem Land, in dem der rechtliche Durchgriff sehr begrenzt ist.
Beitrag automatisch zusammengeführt:

Alles richtig - kann mir als Kunde aber egal sein. Ich hab zwar den Ärger mit Betrugsanzeige und Chargeback - bekomme aber mein Geld zurück. Hier haftet im Zweifel der Acquirer, der einen so unzuverlässigen "Händler" aquiriert hat. Deshalb gibts meistens auch Sicherheitsleistungen bei größeren Umsätzen etc.
Stimmt; es ist den Betrügern allerdings recht egal, wer letztlich haftet, also die Zeche zahlt.
 
  • Like
Reaktionen: knauserix und Hermann

Hermann

Erfahrenes Mitglied
13.08.2015
376
478
Eigentlich wollte ich keine Diskussion (trotzdem Danke für weitere Meinungen und Informationen), sondern wollte nur dem "ali2", der gemeint hatte, so ein Abgreifen einer NFC-Zahlung sei "ganz einfach", den Wind aus den Segeln nehmen. ;)
 

ali2

Aktives Mitglied
28.04.2024
192
187
Eigentlich wollte ich keine Diskussion (trotzdem Danke für weitere Meinungen und Informationen), sondern wollte nur dem "ali2", der gemeint hatte, so ein Abgreifen einer NFC-Zahlung sei "ganz einfach", den Wind aus den Segeln nehmen. ;)
Na dann schönen Dank dafür.
Es gab hier fragen wie so etwas funktioniert und die wollte ich ganz einfach beantworten.
Habe es leider zu spät kapiert das die Fragen rhetorisch waren.

Kein Problem, in Zukunft werde ich mich da einach heraushalten.

Übrigens meine Fragen die ich stelle bzw. stellen werde könnt ihr mir ruhig besntworten. Ich stelle Fragen weil ich die Antworten hören will!
 
  • Like
Reaktionen: eham

eham

Erfahrenes Mitglied
22.03.2023
1.748
1.954
NRW
  • Like
Reaktionen: penamba