• Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.

    Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
    Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.

    Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.

    User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.

Forscher hacken Visas 50-Euro-Limit

ANZEIGE
K

kmak

Erfahrenes Mitglied
12.03.2016
1.366
914
ANZEIGE
https://www.heise.de/security/meldu...scher-hacken-VISAs-50-Euro-Limit-4484956.html

Bislang dachte ich das die ohne CVM Grenze im Terminal liegt. Die Karte kann ja nicht wissen wie sie aktuell im jeweiligen Einsatzland ist. Und ich ging eigentlich auch davon aus, daß CDCVM abgesichert ist und nicht jeder aus einer normalen Karte ein "CDCVM-Device" basteln kann. Hat eventuell hier jemand weitere Infos? Ist das tatsächlich so möglich oder doch nur heiße Luft? Und was machen Master- und Amex anders - oder haben die das Problem auch?
 
B

bindannmalweg

Erfahrenes Mitglied
08.12.2015
786
46
Offensichtlich sind die Limits zumindest bei UK-Karten auch im Chip gespeichert. Damit wären dann potentiell auch Offline Zahlungen mit NFC möglich.

Soweit ich weiß werden zumindest in Deutschland fast alle Zahlungen mit NFC Online-Authorisiert. Im Backend der Bank könnte dann ein zusätzlicher Check des Limits erfolgen.

Der Angriff ist allerdings schon recht aufwendig. Es stellt sich auch die Frage wie ein Betrüger davon profitieren will. Eine Terminal samt Konto und Geschäftsbeziehung mit einem Accquirer sind ja trotzdem notwendig um an das Geld zu kommen.
 
Langstrecke

Langstrecke

Erfahrenes Mitglied
31.08.2013
10.080
8.654
LEJ
kmak meinte:
Die Karte kann ja nicht wissen wie sie aktuell im jeweiligen Einsatzland ist.
Zum Vergrößern anklicken....
Das weiß zwar die Karte nicht, aber beim aktivieren des Umsatzes des Vertragsunternehmens erkennt die Karte das Land und andere Daten des Unternehmens. Akzeptierende Unternehmen haben analog der Kartennummer eine ähnliche Vertragsnummer und Terminalnummer
 
K

kmak

Erfahrenes Mitglied
12.03.2016
1.366
914
Mr. Hard meinte:
Genau so, und dann so viele Waschmaschinen kaufen wie man tragen kann.
Zum Vergrößern anklicken....

Na ja. Folgendes Szenario: Ein Mobiltelephon kommuniziert kontaktlos mit einer Kreditkarte. Diese Daten werden über das Netz an ein anderes Telephon weitergeleitet, welches dann zum Bezahlen a la Google-Pay genutzt wird. Das fällt nicht auf - und wenn man dann es noch schafft den Höchstbetrag zu umgehen kann man beliebige Karten komfortabel ohne lästige PIN-Eingabe nutzen.

Mit einer eigenen Karte wäre das durchaus praktisch und -zumindest wenn man unter der 25/50€ Grenze bleibt- vermutlich auch legal. Eigentlich kann ich mir nicht vorstellen daß das noch niemand probiert und eventuell auch im Quellcode verfügbar gemacht hat.

Mit einer fremden (egal ob gestohlen oder einfach lange genug im Nahbereich befindlichen) Karte ist es natürlich klar illegal. Wenn man so z.B. Apfeltelephone und -uhren oder andere kleine, teure und leicht zu verkaufende Dinge erwirbt dürfte das äußerst lukrativ sein.

Da das "Remoteing" von Karten so naheliegend ist meine ich mal gelesen zu haben, daß das durch Laufzeitmessungen unterbunden wird. Dem scheint aber in der Praxis wohl nicht so zu sein - ansonsten hätten die Forscher mit ihrer Methode kaum Erfolg haben können.
 
K

Knight

Aktives Mitglied
28.03.2018
185
0
The only form of offline static data authentication defined is Static Data Authentication (SDA) that verifies the data identified by the Application File Locator (AFL) and by the optional Static Data Authentication Tag List.
Zum Vergrößern anklicken....


Two forms of offline dynamic data authentication exist:

• Dynamic Data Authentication (DDA) executed before card action analysis, where the ICC generates a digital signature on ICC-resident/generated data identified by the ICC Dynamic Data and data received from the terminal identified by the Dynamic Data Authentication Data Object List (DDOL).

• Combined Dynamic Data Authentication/Application Cryptogram Generation (CDA) executed at issuance of the first and second GENERATE AC commands. In the case of a Transaction Certificate (TC) or Authorisation Request Cryptogram (ARQC), the ICC generates a digital signature on ICC-resident/generated data identified by the ICC Dynamic Data, which contains the TC or ARQC, and an Unpredictable Number generated by the terminal10.
Zum Vergrößern anklicken....

Also wenn ich es richtig verstehe, sie EMVco eine Überprüfung der Daten anhand Crypto nur vor wenn die Transaktion offline durchgeführt wird?
https://www.emvco.com/wp-content/up...rity_and_Key_Management_20120607061923900.pdf
 
R

RayJo

Erfahrenes Mitglied
13.01.2018
711
250
Die Sicherheitslücke ist zwar theoretisch mit viel Aufwand technisch real, aber in der Praxis ist die Gefahr größer, dass einem jemand das Auto klaut.
 
B

bindannmalweg

Erfahrenes Mitglied
08.12.2015
786
46
blackdragon4 meinte:
Mit einer gestohlenen Karte beliebig hohe Beträge ohne PIN bezahlen?
Zum Vergrößern anklicken....

Nach den neuen EU-Regeln (PSD2) ist das dann anscheinend ausschließlich ein Problem der Bank.

Hier ein Auszug aus dem AGB der DKB (gütlig ab dem 13. September):

7) Abweichend von den Absätzen 1, 3 und 4 ist der Karteninhaber nicht zum Schadensersatz verpflichtet, wenn die DKB AG vom Karten-inhaber eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 Zahlungsdiensteaufsichtsgesetz (ZAG) nicht verlangt hat oder der Zahlungsempfänger oder sein Zahlungsdienstleister diese nicht akzep-tiert hat, obwohl die DKB AG zur starken Kundenauthentifizierung nach § 55 ZAG verpflichtet war. Eine starke Kundenauthentifizierung erfor-dert die Verwendung von zwei voneinander unabhängigen Authentifi-zierungselementen aus den Kategorien Wissen (etwas, das der Karten-inhaber weiß, z. B. PIN), Besitz (etwas, das der Karteninhaber besitzt, z. B. Kreditkarte) oder Seinselement (etwas, das der Karteninhaber ist, z. B. Fingerabdruck).
Zum Vergrößern anklicken....
 
  • Like
Reaktionen: JFI
B

blackdragon4

Erfahrenes Mitglied
28.04.2017
278
24
ANZEIGE
Rechtlich ist es ein Problem der Bank, ja.
Der Kunde muss sich aber erstmal darum kümmern, sein Geld zurückbuchen zu lassen. Außerdem werden die Kosten für Fraud sicher auf die Allgemeinheit umgelegt.

Mir wäre es lieber, das System wäre von Anfang an sicher. Geht ja bei MC und AMEX scheinbar auch.
 
Um antworten zu können musst
du eingeloggt sein.
Oben Unten