Offline-Kartenzahlung

[Andy2]

ANZEIGE

Ich hole diesen Thread mal wieder hervor für folgende Frage: wie wird denn bei Offline-Zahlungen die Authentizität der Karte sichergestellt? Muss der Chip gegenüber dem Terminal seine Echtheit kryptographisch nachweisen? Ich vermute dass bei Kontaktloszahlungen dasselbe Schutzverfahren zu Einsatz kommt?

Wie sieht es nun bei ELV aus? Werden da einfach die Kontodaten vom Chip ausgelesen? Wird da noch die Authentizität des Chips überprüft? Könnte ein Betrüger nicht leicht eine Blanko-Chipkarte mit beliebigen Kontodaten beschreiben und verwenden bzw. bei Kontaktlos-ELV mit einem Softwareprogramm (heutzutage als App gezeichnet) eine beliebige Bankverbindung übermitteln, auf die dann die SEPA-Lastschrift gemacht wird? Wird es bald in gewissen Kreisen ein "Sport" sein, per App kostenlose Limo am Automaten zu ziehen?

Ohne jetzt alle technischen Details parat zu haben:
Ja, der Chip dient genau dazu zu beweisen dass die Karte tatsächlich vorgelegen hat. Das ist bei kontaklosen Zahlungen wie auch bei kontaktbehafteten Zahlungen so. Es werden nicht nur statische Daten gelesen die man einfach kopieren könnte.

https://www.level2kernel.com/flow-chart.html
https://www.level2kernel.com/emv_glossary.html#Data Authentication

 

[RenTri]

Wieso? Das Terminal kann doch den Magnetstreifen nach dem Swipe auslesen und die Karte kann solange noch (unnötigerweise) gesteckt bleiben, während die Zahlung bearbeitet wird.

Wird nicht immer erst beim Rausziehen gelesen?
War bei der Post mit den Artema Hybrid bei Zahlung mit Maestro auch so:
Karte einstecken, Karte entnehmen, Pin eingeben, Bitte warten, Zahlung erfolgt.

 

[flopower1996]

Wird nicht immer erst beim Rausziehen gelesen?
War bei der Post mit den Artema Hybrid bei Zahlung mit Maestro auch so:
Karte einstecken, Karte entnehmen, Pin eingeben, Bitte warten, Zahlung erfolgt.

Beim H5000 wird auch erst beim rausziehen gelesen.

 

[geos]

Ohne jetzt alle technischen Details parat zu haben:
Ja, der Chip dient genau dazu zu beweisen dass die Karte tatsächlich vorgelegen hat. Das ist bei kontaklosen Zahlungen wie auch bei kontaktbehafteten Zahlungen so. Es werden nicht nur statische Daten gelesen die man einfach kopieren könnte.

Gilt das auch für ELV, oder werden da nur die statischen Kontodaten u.ä. ausgelesen?

 

[Andy2]

Gilt das auch für ELV, oder werden da nur die statischen Kontodaten u.ä. ausgelesen?

Die Karte ist technisch prüfbar. Da wäre es doch naheliegend die erst mal zu prüfen auch wenn man nachher nur ELV macht (wofür man nur die Kontodaten auslesen muss). Ob das wirklich so gemacht wird weiss ich allerdings nicht. Es wird aber i. d. R. nur ELV gemacht wenn mit der Karte vorher schon mal eine erfolgreiche Girocardzahlung durchgeführt wurde. Das erschwert das Basteln einer Karte dann schon ziemlich.

 

[geos]

Hier wurde kürzlich das Bild eines Automaten veröffentlicht, der wohl ausschließlich Bezahlungen (kontaktlos) per SEPA Lastschrift zulässt. Da wäre die Frage, ob da einfach nur die Kontodaten ausgelesen werden.

 

[Andy2]

https://twitter.com/JayOnRails/status/1123357385937031169
Das Floorlimit der Bahn liegt wohl bei 150€.

 

[Escorpio]

https://twitter.com/JayOnRails/status/1123357385937031169
Das Floorlimit der Bahn liegt wohl bei 150€.

Jetzt ist die Frage, ob die Bahn ein höheres Floorlimit mit Ausweisprüfung hat, oder ob sie selber die Haftung übernehmen. Oder es einfach nur als Floorlimit gegenüber dem Mitarbeiter kommunizieren.

Ich finde 150 Euro sehr wenig, wenn man bedenkt das jede Airlines in der Regel 400 Euro für Visa / Mastercard hat. Auf der anderen Seite verkauft die Bahn ja kein Warenwert.. eine geplatzte KK Zahlung verursacht nicht wirklich nennenswerte zusätzliche Kosten @Kein Warenwert.

 

[Andy2]

Jetzt ist die Frage, ob die Bahn ein höheres Floorlimit mit Ausweisprüfung hat, oder ob sie selber die Haftung übernehmen. Oder es einfach nur als Floorlimit gegenüber dem Mitarbeiter kommunizieren.

Ich finde 150 Euro sehr wenig, wenn man bedenkt das jede Airlines in der Regel 400 Euro für Visa / Mastercard hat. Auf der anderen Seite verkauft die Bahn ja kein Warenwert.. eine geplatzte KK Zahlung verursacht nicht wirklich nennenswerte zusätzliche Kosten @Kein Warenwert.

Für mich sieht das ziemlich klar aus. 150€ Floorlimit (Zahlungsgarantie). Bei Zahlungsausfällen oberhalb von 150€ bekommt man Post. Fragt sich noch ob die Bahn bei Beträgen oberhalb von 150€ wenigstens diesen Sockelbetrag direkt über die Karte bekommt.

Das Problem kann ja im Grunde nicht die Identität des Karteninhabers sein. Die wird ohnehin geprüft (durch Unterschrift). Also sollte mit/ohne Ausweis keinen Unterschied machen.

 

[Escorpio]

So betrachtet könntest du recht haben.

 

[BR 612]

ANZEIGE

Ich finde ja Girocard Offline ein tolles Feature. Heute beim Pizzaladen und bei der Tankstelle damit bezahlt, beide male offline (insbes. beim Pizzaladen merkt man es, die haben noch ein Ingenico Terminal mit GPRS (!) Vodafone Anbindung, gerne dauert die Kartenzahlung mal 20-30 Sekunden)
Bei der Tankstelle, war auf dem Yomani Worldline sofort nach Zahlung zu sehen "Upload Transaktionsdaten 1/1" oder so. Weiß jemand, was der Sinn dahinter ist, erst Offline Kartenzahlung per Girocard zu akzeptieren, dann aber die Transaktion gleich hochzuladen und nicht erst beim nächsten Kassenschnitt einzureichen? Der Händler bekommt seine Zahlung ja sowieso (da bei Girocard Offline der Issuer haftet, daher ist Girocard Offline ja bonitätsabhängig)