Debit Mastercard in Deutschland

[fynn]

ANZEIGE

Die (meine) Volksbank Braunschweig bietet auch eine hochgeprägte MasterCard Debit an. Leider finde ich zu der Karte kein Preisverzeichnis und habe sie auch im Alltag noch nie gesehen. Ist auch wenig verwunderlich bei der überzogenen Jahresgebühr (24€).

Gut gedacht aber schlecht umgesetzt.


EDIT: Sorry, eben erst gesehen, dass der Thread alt ist. Schande auf mein Haupt.

 

[Atze]

Die OLB gibt jetzt auch eine Debit MC heraus.

https://www.olb.de/privatkunden/konten-und-karten/bezahlen-mit-karten/debit-mastercard

 

[Amic]

Die OLB gibt jetzt auch eine Debit MC heraus.

https://www.olb.de/privatkunden/konten-und-karten/bezahlen-mit-karten/debit-mastercard

Offensichtlich schon eine Weile. War heute zufällig in der Presse:

https://www.heise.de/newsticker/mel...uro-von-Konten-der-OLB-gestohlen-4507877.html

Wie sagte Escorpio oben noch?

Was könnte da alles passieren?

 

[geos]

Kann jemand erläutern, was hier bei der OLB schief gelaufen ist? Und wie sollen die Kriminellen die PINs bestimmt haben?
Wie erfolgt benn die PIN-Verifikation (bei Magnetstreifennutzung)? Nur als reiner Online-PIN?

 

[sir_hd]

Kann jemand erläutern, was hier bei der OLB schief gelaufen ist? Und wie sollen die Kriminellen die PINs bestimmt haben?
Wie erfolgt benn die PIN-Verifikation (bei Magnetstreifennutzung)? Nur als reiner Online-PIN?

Kartennummern soll (mutmaßlich) laut brute force gelaufen sein. Scheinbar ist das Betrugssystem der OLB mangelhaft. Da wurden teilweise 1000/2000 Versuche je Kartennummer durchgeführt.

Mehr Infos gibt's auf Finanz-Szene.de, aber keine bestätigten Infos der OLB außer das hier: https://www.olb.de/olb/presse/190827-olb-debit-mastercard-missbrauch

Noch interessant: https://www.it-finanzmagazin.de/olb-bankraub-brute-force-debit-mastercard-dmc-fake-pos-94109/

 

[geos]

ich versteh's immer noch nicht: die Betrüger generieren potentielle KK-Nummern und probieren diese am (eigenen/gefälschten) POS aus, wohl automatisiert. Das Fraud-System erkennt das nicht.
Nur wie kommen sie an die PIN, die sie zum Geldabheben benötigen, wenn sie valide KK-Nummern identifiziert haben?

 

[justAnotherUser]

Eventuell in dem sie die Kreditkartennummern am manipulierten POS mit PIN ausprobiert haben.

 

[penamba]

Ziemlich besorgniserregend.

Wäre interessant zu wissen, woher die Kartennummern gekommen sind. Vielleicht werden die bei der OLB ja in aufsteigender Folge vergeben oder ähnliches?

Selbst bei bekannter PAN bräuchte man aber immer noch CVC, Ablaufdatum (eventuell auch vorhersagbar) und PIN, was insgesamt doch einige tausend bis Millionen Kombinationen ergeben sollte.

Da sollte selbst ein rudimentäres Betrugserkennungssystem in der Lage sein zu sperren, bevor es zur Auszahlung kommt...

 

[mattes77]

Das zeigt doch mal wieder wie in einem Brennglas die Gefahren der "Kartengläubigkeit". Das Verhalten der OLB ist typisch für Banken in solchen Fällen. Man will den Kunden ein Zahlungsmittel als "sicher" anpreisen. Wenn dann doch mal was schief geht, redet man nicht daüber. Man schweigt. Msn veruscht, die Vorfälle kleinzureden!

 

[unregistered]

Nur wie kommen sie an die PIN, die sie zum Geldabheben benötigen, wenn sie valide KK-Nummern identifiziert haben?

Ich denke, sie haben einfach eine Schwachstelle in der PIN-Übermittlung beim EMV-Protokoll mit einem eigenen POS-Terminal ausgenutzt und darüber Geld generiert. Ich vermute, die waren gar nicht an einem ATM. Das Problem wurde bereits vor so 10 Jahren u.a. von der Uni Cambridge aufgedeckt: Man startet einen MITM-Attacke und kann dann jede beliebige PIN eingeben. Das Problem liegt darin, dass EMV die Verifizierung der PIN ja auch der Karte offline überlässt, wenn dies mit dem POS-Terminal vorher ausgehandelt wurde. Die im Protokoll unverschlüsselt übermittelte Rückantwort signalisiert dem Terminal damit ein OK. Den Angriff gibt es in verschiedenen Ausprägungen, ist aber bis heute nicht behoben (einfach mal nach sowas wie "emv no-pin attack" googlen).

Wer's nicht ganz verstanden hat sieht in diesem Vortrag von 2011, wie die Uni Cambridge das damals mit einem selbst gebauten Device nachgewiesen hat (so ab Minute 27 kommt ein TV-Beitrag für das französische Fernsehen):
https://www.youtube.com/watch?v=PWnH_yblgTc&t=26m30s

Edit: Hier auch nochmal im UK Fernsehen (vom gleichen Prof, der ziemlich viel in dem Bereich Kartensicherheit macht): https://www.youtube.com/watch?v=u0HL6gGZSos

Damals noch etwas umständlicher und es ging noch nicht ohne eine original gestohlene Kreditkarte, aber in Brasilien ist mittlerweile ein Tool namens "daphne" im Umlauf. Dort kann man IIRC auf Blanko-Karten ganze Kreditkartenlisten aufspielen, wenn ich mich recht erinnere. Die Karte wird in ein POS gesteckt und spielt dann die Nummern durch, die PIN wird mit dem o.g. Trick übersprungen, die Verschlüsselungskeys werden ausgesetzt (ein weitere EMV-Schwachstelle). Dann läuft das durch und bucht ab, was die Limits hergeben...

Klar, man braucht erst mal ein POS, mit dem man das durchführen und irgendwie schnell wegtransferieren kann, aber mich würde nicht wundern, wenn das da in großem Stil passiert ist... ist genug Geld im Spiel, kann das schon eine attraktive Masche sein... Vielleicht haben sie auch einfach teure Ware irgendwo gekauft und hatten nen Shop-Mitarbeiter als Komplizen. Meine Vermutung ist so ein wenig, dass die Betrüger bemerkt haben, dass gerade die OLG da wohl Lücken in der Fraud Protection hatte und deswegen gerade diese Kreditkartennummern attraktiv waren.

Edit 2: Securelist hat den Angriff im Detail (mit Screenshots): https://securelist.com/goodfellas-the-brazilian-carding-scene-is-after-you/84263/

Edit 3: Okay, laut NDR waren sie am Geldautomaten. Ob das wirklich stimmt, muss sich dann erst noch zeigen. Wenn sie wirklich die PIN irgendwie rausgefunden haben, dann wäre das auch für mich erst mal schleierhaft. Ich glaube eher weiterhin an die oben genannte Lösung Marke Eigenbau - möglicherweise dann in Kombination mit einem infizierten ATM. Vielleicht gibt's da ja irgendeine Möglichkeit, baugleiche POSs durchzuschleifen...

 

[unregistered]

Frage, die vielleicht halbwegs hier rein passt, weil ich keinen besseren Thread gefunden habe:

Kann man sich irgendwo in Deutschland eine kostenfreie, konto-ungebundene Debit Karte (MC oder VISA, wäre egal) besorgen? Kann auch rein virtuell sein.
Konkret suche ich eine Kreditkarte, die mittels Lastschrift von einem deutschen IBAN-Konto einzieht - aber eben nicht monatlich sondern möglichst zeitnah - zur Not auch wöchentlich. Ich vermute, sowas in der Art gibt es derzeit nicht, oder?

 

[Amic]

Konkret suche ich eine Kreditkarte, die mittels Lastschrift von einem deutschen IBAN-Konto einzieht - aber eben nicht monatlich sondern möglichst zeitnah - zur Not auch wöchentlich. Ich vermute, sowas in der Art gibt es derzeit nicht, oder?

Klarna.

Macht genau das.

(Visa-Kreditkarte mit zeitnahem Lastschrift-Einzug von einem separat geführten Zahlungskonto. Bei mir bis jetzt 4 oder 5 Tage nach Transaktionstag, mit dazwischenliegendem Wochenende)

 

[unregistered]

Danke, dann diskutier ich dem Thread weiter, da ja VISA.

 

[unregistered]

Ich denke, sie haben einfach eine Schwachstelle in der PIN-Übermittlung beim EMV-Protokoll mit einem eigenen POS-Terminal ausgenutzt und darüber Geld generiert.

Mehr Details jetzt hier: https://www.finanz-szene.de/payment...-bank-verlag-ermoeglichte-den-olb-kontenraub/

 

[Atze]

Habe das Thema mal nach vorne geholt. Es könnte ja sein das es in den nächsten Monaten dazu etwas Bewegung gibt. Hier der dazu bekannte Link. Danke an den VFT User der es öffentlich gemacht hat.

https://www.f-i.de/News/ITmagazin/A...esungen-Praxis/Eine-Karte-ueberall-einsetzbar

 

[saluton]

Moin,

Habe das Thema mal nach vorne geholt. Es könnte ja sein das es in den nächsten Monaten dazu etwas Bewegung gibt. Hier der dazu bekannte Link. Danke an den VFT User der es öffentlich gemacht hat.

Und vermutlich - nicht nur hier - völlig unbrauchbar, wenn es um Auslandsumsätze - vor allem im Nichteuroraum - geht...

Kai

 

[Hannoveraner]

Habe das Thema mal nach vorne geholt. Es könnte ja sein das es in den nächsten Monaten dazu etwas Bewegung gibt. Hier der dazu bekannte Link. Danke an den VFT User der es öffentlich gemacht hat.

https://www.f-i.de/News/ITmagazin/A...esungen-Praxis/Eine-Karte-ueberall-einsetzbar

Ich glaube, dass es auch Sinn macht, darauf hinzuweisen, dass möglicherweise nicht alle Sparkassen diesen Weg gehen werden oder wie saluton schon geschrieben hat, dass die Bedingungen schlecht wären. Bei der Sparkasse hier sieht es so aus:

Kapitel B.I.3.2
f) Einsatz der Sparkassen-Card (Debitkarte) zum Bezahlenin Fremdwährung42 im EWR43 siehe Kapitel B.I.1. Preismodelle für Privatkonten und B.I.2. Preismodelle für Geschäftskontenzzgl. 1 %, mind. 1,00 €, max. 5,00 €
g) Einsatz der Sparkassen-Card (Debitkarte) zum Bezahlen in Fremdwährung42 außerhalb des EWR43 siehe Kapitel B.I.1. Preismodelle für Privatkonten und B.I.2. Preismodelle für Geschäftskontenzzgl. 1 %, mind. 1,00 €, max. 5,00 €

3.4. Bargeldauszahlung
a) Bargeldauszahlung an eigene Kunden am Schalter am Geldautomaten
–mit unserer Sparkassen-Card (Debitkarte) siehe Kapitel B.I.1. Preismodelle Privatkonten und B.I.2. Preismodelle Geschäftskonten
–mit unserer Mastercard/Visa Card (Kreditkarte) kein Angebot 2 % vom Umsatz, mind. 5,00 €
–mit unserer Mastercard/Visa Card Basis (Debitkarte) kein Angebot 2 % vom Umsatz, mind. 5,00 €
–mit unserer Business Card (Kreditkarte) kein Angebot 2 % vom Umsatz, mind. 5,00 €

Bargeldauszahlung mit der Sparkassen-Card (Debitkarte) bei fremden Zahlungsdienstleistern (ZD) an eigene Kunden:
Verfügungen im Maestro/Cirrus-System in Euro zzgl. 1 % mind. 5,00 €
bei ZD im EWR44 in Fremdwährung46 im Maestro/Cirrus- oder V PAY/Plus-System zzgl. 1 % mind. 5,00 €
bei ZD außerhalb des EWR44 in Fremdwährung46 im Maestro/Cirrus- oder V PAY/Plus-System zzgl. 1 % mind. 5,00 €

c)Bargeldauszahlung mit Mastercard/VisaCard Kartenprodukten(Kredit-undDebitkarte) bei fremden ZD an eigene Kunden im Inland und Ausland am Schalter am Geldautomaten
–mit unserer Mastercard/Visa Card (Kreditkarte)–Komfortpakete (im Inland), Business Cards (im In- und Ausland) 3 % vom Umsatz, mind. 5,00 € 2 % vom Umsatz, mind. 5,00 €*
–Komfortpaket Silber (im Ausland) 3 % vom Umsatz, mind. 5,00 € 2 % vom Umsatz, mind. 5,00 €*/**
–Reise- und Komfortpaket Gold (im Ausland) 3 % vom Umsatz, mind. 5,00 € 0,00 €*/**
–mit unserer Mastercard/Visa Card Basis (Debitkarte)
–Basis Karte (im Inland) 3 % vom Umsatz, mind. 5,00 € 2 % vom Umsatz, mind. 5,00 €*
–Basis Karte (im Ausland) 3 % vom Umsatz, mind. 5,00 € 2 % vom Umsatz, mind. 5,00 €*/**
* Gegebenenfalls werden Sie durch den Geldautomatenbetreiber mit einem Entgelt belastet.
** zuzüglich 1 % vom Umsatz für Transaktionen im EWR44 in ausländischer Währung und für Transaktionen außerhalb des EWR46 keine Berechnung für Schweden und Liechtenstein, keine Berechnung bei Business Cards.

Quelle: https://www.sparkasse-hannover.de/c...load/de/preis-leistungsverzeichnis.pdf?n=true
Es steht da teilweise zzgl., weil im günstigeren Kontomodel für 3,50 €/Monat kosten Überweisungen, Lastschriften, Gutschriften, Geldabhebungen, Daueraufträge, Bargeldein- und auszahlungen 0,35 € pro Vorgang.

Sollte Maestro auch nicht mehr zur Verfügung stehen, weil z.B. MC den Produkt einstellen würde, kann man sich auch vorstellen, dass entweder eine Karte mit Cirrus oder eine reine Girocard angeboten wird.

 

[thermometer]

Habe das Thema mal nach vorne geholt. Es könnte ja sein das es in den nächsten Monaten dazu etwas Bewegung gibt. Hier der dazu bekannte Link. Danke an den VFT User der es öffentlich gemacht hat.

https://www.f-i.de/News/ITmagazin/A...esungen-Praxis/Eine-Karte-ueberall-einsetzbar

Also ändert sich effektiv nichts, da man die Karte aufgrund von AAE sowieso nur in EUR verwendet und online verwendet jeder Deutsche PayPal?

Prinzipiell natürlich eine positive Entwicklung, aber imho ist jedes Konto, mit dem man nicht überall "gebührenfrei" bezahlen kann, noch nicht im Jahr 2020 angekommen. (Die Bank verdient natürlich trotzdem an Transaktionsgebühren und am Wechselkurs)

 

[thermometer]

Das zeigt doch mal wieder wie in einem Brennglas die Gefahren der "Kartengläubigkeit". Das Verhalten der OLB ist typisch für Banken in solchen Fällen. Man will den Kunden ein Zahlungsmittel als "sicher" anpreisen. Wenn dann doch mal was schief geht, redet man nicht daüber. Man schweigt. Msn veruscht, die Vorfälle kleinzureden!

Schwachsinn. Der Kunde bekommt sowieso alles erstattet. In diesem Fall geschah der Betrug über die Magnetstreifentechnologie und diese Kosten werden von den Ländern getragen, die sich weigern das Verfahren abzuschaffen.

Einen Schaden hatte aber niemand, da die erzwungene Einführung von Chips (statt auf den langsamen Technologiewandel zu warten) mehr gekostet hätte als der Betrug.

Mittlerweile kostet uns der Sicherheitswahn inkl. PSD2 Milliarden (nach Abzug des andernfalls möglichen Betrugs), aber das interessiert im sicherheitsfanatischen Deutschland natürlich niemanden.

 

[krxx]

Also ändert sich effektiv nichts, da man die Karte aufgrund von AAE sowieso nur in EUR verwendet und online verwendet jeder Deutsche PayPal?

Ich sehe es aber schon kommen - girocard wird onlinefähig und man wird mit viel Energie versuchen Leute von zb Paypal auf die girocard online umzustellen mit iwelchen Aktionen etc.

Prinzipiell natürlich eine positive Entwicklung, aber imho ist jedes Konto, mit dem man nicht überall "gebührenfrei" bezahlen kann, noch nicht im Jahr 2020 angekommen. (Die Bank verdient natürlich trotzdem an Transaktionsgebühren und am Wechselkurs)

Da kann ich dir auch einen Gegenbeispiel bieten: Kroatien.

Alle Banken dort verlangen kein AEE, egal bei welcher Währung. Dafür gibt es fast 0 kostenlose Girokonten. Bei allen zahlt mein zwischen 1-3€ für ein Konto, zusätzlich dazu zahlt man 0,30€ pro Überweisung. Da finanziert man sich ja direkt.

 

[Amic]

und man wird mit viel Energie versuchen Leute von zb Paypal auf die girocard online umzustellen mit iwelchen Aktionen etc.

So wie man auf paydirekt umgestellt hat, meinst du?

 

[krxx]

So wie man auf paydirekt umgestellt hat, meinst du?

Das war wohl ein Desaster. Es ist nicht von Anfang in das Konto integriert gewesen, man musste sich zusätzlich anmelden, fast gar keine Akzeptanzstellen. Hoffentlich lernen die daraus. Außerdem, es ist viel einfacher für die Payment processor ein weiteres Kartenscheme zu integrieren als zb Paydirekt.

 

[thermometer]

Ich sehe es aber schon kommen - girocard wird onlinefähig und man wird mit viel Energie versuchen Leute von zb Paypal auf die girocard online umzustellen mit iwelchen Aktionen etc.


Da kann ich dir auch einen Gegenbeispiel bieten: Kroatien.

Alle Banken dort verlangen kein AEE, egal bei welcher Währung. Dafür gibt es fast 0 kostenlose Girokonten. Bei allen zahlt mein zwischen 1-3€ für ein Konto, zusätzlich dazu zahlt man 0,30€ pro Überweisung. Da finanziert man sich ja direkt.

Das klingt für mich alles genau andersrum

- Eher will man, dass die Kunden die Mastercard verwenden (0,3% Transaktionsgebühr statt 0,2%)

- Ein winziges nicht-EUR Land kann man ja wohl nicht als Vergleich heranziehen. Da ist grundsätzlich alles an Bankprodukten teuer (sicher auch Fonds usw). Kein AAE ist bei so einer Winzigwährung eine Notwendigkeit, aber trotzdem verwenden Banken wie gesagt nicht die mid-market-rate beim Wechselkurs (möglicherweise sogar schlechter als VISA/MC Kurs) und verdienen kräftig.


Außerdem ist es irgendwo egal, ob 90% oder 30% der Banken eine Kontogebühr oder AAE erheben. Man geht sowieso zur besten Bank. (Schon klar, dass sich viele trotzdem ohne Not die Sparkasse antun.)

 

[krxx]

- Eher will man, dass die Kunden die Mastercard verwenden (0,3% Transaktionsgebühr statt 0,2%)

Die Transaktionagebühr ist 1:1 die gleiche wie bei Maestro und zwar 0,2%, da es sich um Mastercard Debit und nicht Mastercard Credit handelt.
Anscheinend gibt es noch viel Aufklärungsbedarf bzgl. der Tatsache, dass Mastercard ≠ Credit.

 

[tcu99]

ANZEIGE

Interchange != Transaktionsgebühr.
Diese 0,2% - 0,3% ist letztendlich nur die Gebühr, die bei der ausgebenen Bank noch ankommt.