-
Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.
Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.
Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.
User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.
Paypass - Paywave
- Starter*in gowest
- Datum Start
ANZEIGE
Das Konto würde gesperrt werden, etc... von daher ist so ein gestelltes Szenario für die Katz...
Der Artikel stimmt doch vollständig. Theoretisch ist das ja alles möglich. Praktisch nicht, auch deswegen:
Mich würde aber mal das Verhältnis interessieren:
Gestohlenes Bargeld versus Betrugsversuche via contactless
Und im Vergleich dazu die Anzahl der Artikel in der Presse die sich damit beschäftigen.
Ich hab mir die C't heute mal gekauft, der bzw. die Artikel sind einwandfrei und stimmen komplett.
Und die C't ist nun mal eine Zeitschrift für Informationstechnik und beschäftigt sich schon immer mit Sicherheitslücken u.ä.
Und dass das eine Sicherheitslücke ist, ist ja sicherlich unstreitig.
Und die C't ist nun mal eine Zeitschrift für Informationstechnik und beschäftigt sich schon immer mit Sicherheitslücken u.ä.
Und dass das eine Sicherheitslücke ist, ist ja sicherlich unstreitig.
Das ist keine „Lücke“, das ist „by Design“ so vorgesehen. Und die ct schreibt ja auch, dass es zwar rein theoretisch geht, aber in der Praxis daran scheitert, dass man an einem Zahlungsnetzwerk angeschlossen sein muss, was bedingt, dass man sein Konto hinterlegen muss.
Es gibt keinen einzigen Fall von contactless-Missbrauch in der Realität. Nur in reißerischen Artikeln und Fernsehbeiträgen.
Ja gut, ist aber trotzdem ne Sicherheitslücke. Auch wenn es "by Design" so vorgesehen ist.
Dann ist aber ELV auch eine, im Prinzip ähnlich, auch dort ist der Zahlungsempfänger bekannt, allerdings gibt es da schon zahlreiche Betrugsfälle was bei kontaktlos nicht der Fall ist.
A
Anonym53868
Guest
"It's not a bug, it's a feature?"
Äh, nein, so funktioniert das nicht. Bloß weil etwas so vorgesehen ist, heißt noch lange nicht, dass es sicher ist. Vgl. WEP als ein Beispiel von vielen.
Du wolltest sagen "Ich kenne keinen einzigen Fall ..."
Ich kenne auch keinen, und das von heise.de beschriebene Vorgehen wäre für einen echten Angreifer auch selten dämlich.
Erfolgversprechender erscheint mir derzeit der Ansatz, die Zahlung über ein Terminal in einem Drittland abzuwickeln, sodass also Angreifer A in der Menschenmenge nur eine Art Bridge mit sich trägt, die über das Internet mit einem entsprechenden Gerät bei Angreifer B verbunden ist, der in Ganzweitwegland vor seinem Terminal sitzt und fleißig abbucht. Klar gibt es einen Paper Trail, aber eben in Ganzweitwegland, und an der Stelle wird es interessant: Wenn Fiesebank in Ganzweitwegland nicht mitspielt und das gestohlene Geld erstmal nicht zurückbucht, weil solche Angriffe ja bekanntermaßen unmöglich sind [vgl. Ambrinus G et al.: Paypass - Paywave, Garching bei München: Vielfliegertreff, 2018], was macht Deine Bank dann mit dem Verlust?
Aus aktuellem Anlass habe ich hier die T&Cs z.B. der KBC Irland. Dort heißt es ganz klar: "The use of the Debit Card for a contactless transaction will be [regarded as] conclusive evidence that it is authorised by you." (KBC/2076-5 (03/18) 57.2)
Ich warte gespannt darauf, welche Banken sich wie anstellen, wenn es zu den ersten Vorfällen kommt. Dass es dazu kommt, ist für mich unzweifelhaft. (Bis dahin zahle ich Kleinbeträge selbstverständlich weiter kontaktlos: Sicherer als Chip & PIN ist es allemal, und die Nichtnutzung der Karte macht sie keinen Deut sicherer.)
Weil es keinen gibt. Auch das was du zusammenkonstruierst sind theoretische Gedankenspiele. Warum sollte jemand mühsam irgendwelche Karten per NFC auslesen, wenn er sich Tausende solcher Datensätze für eine Handvoll Dollar im Darknet kaufen kann? Mit Karteninhaber und CVC!
Die Medien stürzen sich auf einen Mythos und selbsternannte Sicherheitsexperten spielen sich auf. Viele Hersteller und Händler springen auf diesen Hype auf und verkaufen RFID-sichere Hüllen, Geldbörsen, usw.
Allein wenn man zwei NFC-Karten nebeneinander im Geldbeutel hat geht nix mehr. Und dass man kontaktlose Karten kontaktlos auslesen kann ist eben by Design so gewollt. Ein Sicherheitslücke wäre, wenn etwas genutzt werden kann was auf diese Art nicht vorgesehen ist.
Einfach mal „contactless fraud myth“ oder so googeln.
https://www.csoonline.com/article/3...ou-dont-need-an-rfid-blocking-wallet.amp.html
https://www.presseportal.de/blaulicht/suche.htx?q=kontaktlos 6 Ergebnisse 0 zum Thema Bankkarten
https://www.presseportal.de/blaulicht/suche.htx?q=Bargeld+PIN+Zettel 55 Ergebnisse
Mastercard und VISA schalten Merchants im Zweifelsfall ab, wenn das der Acquirer nicht macht.
https://www.presseportal.de/blaulicht/suche.htx?q=Bargeld+PIN+Zettel 55 Ergebnisse
Mastercard und VISA schalten Merchants im Zweifelsfall ab, wenn das der Acquirer nicht macht.
Rein aus Interesse:
(aus dem heise Artikel). Gibt es noch Anbieter, die sich mehr oder weniger explizit an Privatkunden richten? iZettle und SumUp richten sich ja (mittlerweile) nur noch an Gewerbetreibende, wenn ich richtig informiert bin.
(aus dem heise Artikel). Gibt es noch Anbieter, die sich mehr oder weniger explizit an Privatkunden richten? iZettle und SumUp richten sich ja (mittlerweile) nur noch an Gewerbetreibende, wenn ich richtig informiert bin.
Dann ist das aber auch eine Sicherheitslücke dass einem ein 10.- EUR aus der Hose fallen kann.
Ja natürlich., Aber ich weiß gar nicht, warum du ständig den Vergleich zum Bargeld ziehst, davon war doch überhaupt nie die Rede. Du bist wie meine Schüler, wenn man irgendwen bei einer Missetat ertappt, kommt als erste Ausrede auch "Der xyz hat das aber auch gemacht" - ja schön, um den geht es aber nicht
Damit du vielleicht beruhigt bist: Es ist vielleicht keine Sicherheitslücke, weil das Wort Lücke suggeriert, dass hier ein Fehler ausgenutzt wird. Es ist ein Sicherheitsrisiko.
Zuletzt bearbeitet:
Von iZettle gab es früher eine Extra-Version Privatleute, inzwischen offiziell nur noch für Gewerbe. Der Support kommuniziert aber mehr oder weniger offen, dass man sich auch als Privatmensch anmelden kann. Scheint denen wumpe zu sein, solange sie Geld an einem verdienen.
Typische "Panikmache" in Deutschland - sowas hätte ich von Heise nicht erwartet 
Neue "Panikmache - deluxe"
Mit 29-Euro-Zahlterminal: So leicht kann man Kontaktlos-Karten abfischen
https://www.heise.de/ct/artikel/Mit...-man-Kontaktlos-Karten-abfischen-4116985.html
Warum haben Sie bei Ihrer selbst genannten "Diebestour" eigentlich nur 24,99 Euro "geklaut", und nicht 25 Euro ?
Ich mach das immer mit den vollen 25 Euro
Schlecht recherchiert
Auch sehr realitätsnah
Bevor hier jemand mit dem Sumup an Fremden Hosentaschen rumhantiert, ohne zu wissen, ob das Erfolg hat - wird der wirkliche "Dieb" sich wohl eher das ganze Portemonnaie einverleiben.
Morgen geh ich mit ALUHUT durch die Stadt ... und kaufe mir einen Lötkolben und zahle BAR
https://www.instructables.com/id/How-to-Disable-Contactless-Payment-on-Your-Debit-C/
Man man man .....
Neue "Panikmache - deluxe"
Mit 29-Euro-Zahlterminal: So leicht kann man Kontaktlos-Karten abfischen
https://www.heise.de/ct/artikel/Mit...-man-Kontaktlos-Karten-abfischen-4116985.html
Warum haben Sie bei Ihrer selbst genannten "Diebestour" eigentlich nur 24,99 Euro "geklaut", und nicht 25 Euro ?
Ich mach das immer mit den vollen 25 Euro
Schlecht recherchiert
Auch sehr realitätsnah
Bevor hier jemand mit dem Sumup an Fremden Hosentaschen rumhantiert, ohne zu wissen, ob das Erfolg hat - wird der wirkliche "Dieb" sich wohl eher das ganze Portemonnaie einverleiben.
Morgen geh ich mit ALUHUT durch die Stadt ... und kaufe mir einen Lötkolben und zahle BAR
https://www.instructables.com/id/How-to-Disable-Contactless-Payment-on-Your-Debit-C/
Man man man .....
Zuletzt bearbeitet:
Und mit der ergaunerten Kreditkarte bei Amazon auf Shoppingtour gehen. Dass der CVC auf jeder Kreditkarte aufgedruckt ist stört niemanden. Und Tips diesen mit Geheimtinte zu übermalen sind genau so rar.Amazon fragt den CVC ja nicht mal ab!
Ab 25,00 € muss man die PIN eintippen. Bis 24,99 € nicht. Deshalb.Warum haben Sie bei Ihrer selbst genannten "Diebestour" eigentlich nur 24,99 Euro "geklaut", und nicht 25 Euro ?
Ich mach das immer mit den vollen 25 Euro
Ist doch egal, wenn die CVC auf der Kreditkarte aufgedruckt ist. CVC oder 3d Secure wird auch nicht bei allen Händlern abgefragt. Bei Verlust Kreditkarte sperren und die Nummern auf der Karte gehen nicht mehr.
Nein, bei einigen Läden geht es auch über 25€ ohne PIN einzugeben. Ich hab z.B. eine DKB VISA und dort geht es bis 50€ ohne PIN kontaktlos, aber auch nur bei einigen Händlern wie z.B. Lidl.
Wir reden aber nicht über Lidl, sondern über SumUp. Oder willst du das Lidl-Terminal nächstes Mal „ausleihen“, um auf Diebestour zu gehen?
Das stimmt so nicht.
Du kannst auch an der Tankstelle/Supermarkt einen 25€ Gutschein kontaktlos kaufen, ohne Pin.
Nochmal: es ging hier um SumUp, nicht um Lidl und nicht um Tankstellen oder irgendwelche Supermärkte. Ich habe das SumUp-Terminal und benutze es fast täglich.
Übrigens mit Amex bei ALDI Süd getestet: Betrag unter 25 € keine PIN. 25-€-Amazon-Gutschein PIN-Eingabe erforderlich.