Girocard kontaktlos

[superbug2]

ANZEIGE

Attacken, bei denen das Signal für die Karte eines anderen in der Schlange verstärkt wird, sind lange bekannt:

https://www.schneier.com/blog/archives/2006/04/rfid_cards_and.html


Selbst wenn die Banken tatsächlich alle Schadensfälle übernehmen, hat der Kartenbesitzer immer noch den Zeitaufwand.

 

[KvR]

Attacken, bei denen das Signal für die Karte eines anderen in der Schlange verstärkt wird, sind lange bekannt:

https://www.schneier.com/blog/archives/2006/04/rfid_cards_and.html

Hier geht es um ein mögliches Szenario für eine Attacke, nicht um tatsächliche Attacken. Gibt es sie?

 

[Droggelbecher]

Kleiner Vergleich:
Ergebnis der Suchanfrage nach kontaktlos
Ergebnis der Suchanfrage nach Bargeld entwendet

 

[superbug2]

Hier geht es um ein mögliches Szenario für eine Attacke, nicht um tatsächliche Attacken. Gibt es sie?

http://modsec.zimmerle.org/wireless...Relay Attack on ISO 14443 Proximity Cards.pdf

"We successfully executed the relay attack ... up to a distance of 50 m".


Tatsächlich von Kriminellen ausgeführt? Ich weiß nicht, als Bank würde ich solche Fälle schnellstens stillschweigend mit Kulanz abhandeln -- unter der Annahme, daß die Banken pro-NFC sind.

 

[Droggelbecher]

Es ist viel zu unattraktiv für Kriminelle. Und aufwendig ist es außerdem.

 

[akku5]

@superbug2
Das stammt von 2005 und es geht da um RFID und nicht um NFC.
Banken hätten das allergeringste Interesse an Stillschweigen, wenn Diebstahl von Kreditkartendaten in großem Umfang auf diese Weise erfolgt. Sie tragen nämlich den ganzen materiellen Schaden. Und sowas käme früher oder später immer raus.

 

[superbug2]

@superbug2
Das stammt von 2005 und es geht da um RFID und nicht um NFC.
Banken hätten das allergeringste Interesse an Stillschweigen, wenn Diebstahl von Kreditkartendaten in großem Umfang auf diese Weise erfolgt. Sie tragen nämlich den ganzen materiellen Schaden. Und sowas käme früher oder später immer raus.

Der zweite link, den ich hier nochmal poste ...

http://modsec.zimmerle.org/wireless...Relay Attack on ISO 14443 Proximity Cards.pdf

... behandelt ISO14443.


Laut Wikipedia umfasst das Kreditkartensysteme, z.B. PayPass.

 

[Droggelbecher]

Auf dem/der Easter(H)egg wurde das auch gezeigt mit zwei Smartphones gerootet und mit Spezialanpassungen. Wie soll das in der Praxis gehen? Da sind andere Betrugsmaschen deutlich einfacher und pro Vorgang ertragreicher.

 

[superbug2]

Skimming ist vermutlich ertragreicher, solange die Lücke nicht geschlossen wird. Ich hätte ja auch nichts gesagt, wenn die Sparkasse es in dem besagten Zeitungsartikel so formuliert hätte: "Da unsere Magnetstreifen unsicherer sind, halten wir trotz möglicher NFC Exploits letztere Methode zur Zeit für die bessere."

 

[Appe]

Die ganzen NFC-Exploits sind ja bis jetzt eher theoretischer Natur. Wenn ich es richtig verstanden habe, kann man so die normalen Kartendaten außer CVC auslesen. Damit kann man dann so lange bei Amazon einkaufen, bis die Fraud-Protection anspringt, weil Amazon das ja immer noch für zu kompliziert für die Kunden erachtet den Code anzugeben. Andere Möglichkeit wäre, wenn der Angreifer quasi selbst via NFC abbucht, aber dazu braucht man einen Acquirer. Bleibt noch das Datenschutzproblem, mit den letzten 10 Transaktionen...
Girocard kontaktlos und mögliche Lastschriften mal nicht berücksichtigt.

 

[Droggelbecher]

Und es gibt genug Quellen für Kriminelle an CVC zu kommen.

Edit: An Daten inkl. CVC.

 

[Amino]

Was ist eigentlich bei Zahlung über 25.- EUR? Auch ein undefinierter Zustand zwischen Unterschrift oder PIN?

Bei Girocard? Girocard kennt doch keine Unterschrift. (Von ELV mal abgesehen.)

 

[Amino]

Der zweite link, den ich hier nochmal poste ...

http://modsec.zimmerle.org/wireless...Relay Attack on ISO 14443 Proximity Cards.pdf

... behandelt ISO14443.


Laut Wikipedia umfasst das Kreditkartensysteme, z.B. PayPass.

Es gibt 2 Arten von NFC.

Magstripe-NFC und Chip-NFC. Also mit dem ersten ist gemeint, dass die Magstripe-Daten per NFC übertragen werden. Das ist natürlich unsicher, aber nicht aktieller Stand der Technik.

 

[DerSimon]

https://twitter.com/holimuk/status/856821008799588353

 

[Amino]

In AT wirbt der Handel sogar mit Tap&Go. Hier ein Bild von einem SPAR:




Aber der Handel in DE will lieber Tap&ELV, anstatt sich zu freuen, wenn es an der Kasse schneller geht.

Der Girocard-Kunde in DE kann sich auch nie sicher sein, ob er unter 25€ nur hinhalten muss oder noch ein ELV-Mandat unterschreiben muss. Aus Tap&Go wird dann Tap&warten-ob-noch-ein-Zettel-kommt-den-man-unterschreiben-muss.

 

[Toms]

Die Banken könnten das ganz einfach umgehen indem sie einfach PayWave oder PayPass auf die Karte packen würdeb

 

[Amino]

Die Banken könnten das ganz einfach umgehen indem sie einfach PayWave oder PayPass auf die Karte packen würdeb

Die meisten Direktbanken machen das bereits. Bei DiBa, DKB, Consors, Comdirect usw. wird die Girocard bewusst ohne NFC ausgegeben, stattdessen setzt man schon seit Jahren auf Visa payWave.

 

[gowest]

Mal sehen welche Händler darauf setzen werden.

 

[Amino]

https://twitter.com/holimuk/status/856821008799588353

Mich wundert ja, dass sich die Deutsche Kreditwirtschaft das gefallen lässt. Immerhin hat die DK jahrelang getestet, um Tap&Go mit der Girocard zu ermöglichen, und jetzt kommt der Handel und macht alles wieder kaputt.

Der Kunde kann nämlich auch bei unter 25€ nie wissen, ob die Zahlung nun mit Girocard-Kontaktlos ohne CVM funktioniert oder mit ELV-Kontaktlos, wo man erst unterschreiben muss.

In den Läden mit ELV-Rückseite wird man die Kassenfee im Zweifel so schulen, dass sie sicherheitshalber immer eine Unterschrift verlangt unter 25€.

Wenn sich mal in Deutschland herumgesprochen hat, dass auch bei kontaktlosen Zahlungen unter 25€ oft eine ELV-Unterschrift nötig ist, dann werden sich die Kunden damit abfinden und irgendwann unterschreibt dann sogar bei PayPass/payWave wieder jeder.

 

[Droggelbecher]

Jeder? Ich glaube bei den PayPass/PayWave-Zahlers ist der Anteil, die davon so überzeugt sind, dass sie sich intensiver damit beschäftigt haben hoch.

 

[DerSimon]

Mich wundert ja, dass sich die Deutsche Kreditwirtschaft das gefallen lässt.

Bei marktbeherrschender Stellung wird man gegen ELV wenig machen können, die girocard-Only-Karten der VR-Banken erscheinen strategisch auch eher unklug.

 

[Andy2]

In AT wirbt der Handel sogar mit Tap&Go. Hier ein Bild von einem SPAR:

Anhang anzeigen 97670

">, <, =" ist wohl auch in AT schwierig.
Verschiederne Fälle für "bis" und "ab" sind ein klarer Widerspruch.

 

[Amino]

Ja, man hätte statt "ab" besser "über" schreiben sollen.

Aber wen interessiert es, hauptsache, es funktioniert und es gibt kein ELV.

 

[Andy2]

Sagst Du so einfach. Wenn dann 25,00€ auf dem Bon steht treibt das der Kassiererin die Schweissperlen auf die Stirn.

 

[Amino]

ANZEIGE

Sagst Du so einfach. Wenn dann 25,00€ auf dem Bon steht treibt das der Kassiererin die Schweissperlen auf die Stirn.

Wieso?

Entscheidet doch das Kartenzahlgerät, ob Pin angefragt wird oder nicht. Die Kassiererin wartet nur, bis der Bon gedruckt wird. Das einzige, was sie tun muss, ist zu schauen, ob ein Unterschrift-Beleg gedruckt wird, aber das ist nur bei Signature-Kreditkarten der Fall.