Schutz vor Betrug bei Google Pay?

[cockpitvisit]

ANZEIGE

Hallo zusammen,

wie sieht es mit dem Schutz vor (bzw. nach) Betrug, wenn man statt mit der physikalischen Kreditkarte kontaktlos mit Google Pay zahlt?

Ich stelle mir vor, ich entsperre das Handy um mit der Amex meine Brötchen bei REWE zu bezahlen. Und die Person in der Schlange vor mir touchiert gleich mein Handy mit einem versteckten Kartenleser, wodurch mehrere tausend EUR abgebucht werden. Wie sehen meine Chancen aus, das gestohlene Geld wieder zu sehen?

Oder alternativ der Laden manipuliert das Kartenlesegerät mit einem oben aufgelegten 2. Display, das eine viel niedrigere Summe anzeigt als was tatsächlich eingegeben wurde und abgebucht wird.

Beim normalen kontaktlosen Bezahlen gibt's ja eine Grenze von ca. 50€, ab der man immerhin die PIN eingeben muss. Per Google Pay habe ich aber vor kurzen ca. 1600€ bezahlt, ohne PIN-Eingabe oder eine sonstige Bestätigung.

Gibt's dazu Erfahrungen?
Danke!

 

[Meckie]

Mobile Payment machen nur Tesla-Fahrer... hab ich heute hier gelernt.

Ansonsten. Diese Person vor Dir müsste ihr Lesegerät schon so nah an Dein entsperrtes Smartphone bringen, das es unmöglich ist, das Du das nicht bemerken würdest... es sei denn, Du willst mit der Person vor Dir kuscheln oder so...

 

[Audiolet]

entsperre das Handy um mit der Amex meine Brötchen bei REWE zu bezahlen. Und die Person in der Schlange vor mir

Wie lange willst du denn mit entsperrtem Handy in der Hand warten - wenn da dann ja mehrere Personen erst noch vor dir stehen.
Außerdem sollte für deine Brötchen das Einschalten des Displays ausreichen - entsperren wird erst ab 50€ aufwärts erforderlich. Aber egal ob einschalten oder entsperren, das reicht doch auch, wenn man das direkt zum Bezahlen erst macht - und nicht schon Minuten vorher.

Per Google Pay habe ich aber vor kurzen ca. 1600€ bezahlt, ohne PIN-Eingabe oder eine sonstige Bestätigung.

Du wirst dein Handy doch aber entsperrt haben zum Bezahlen - per PIN oder biometrisch (z.B. Fingerprint) - und das Entsperren war dann die "sonstige Bestätigung".

 

[eham]

Oder alternativ der Laden manipuliert das Kartenlesegerät mit einem oben aufgelegten 2. Display, das eine viel niedrigere Summe anzeigt als was tatsächlich eingegeben wurde und abgebucht wird.

Du siehst den tatsächlichen Betrag ja direkt auf dem Display und in der Zahlungshistorie von Google Pay.
Das ist dann ein klarer Betrugsfall und entsprechend anzuzeigen.

Chargeback über die Kreditkarte einleiten.

 

[cockpitvisit]

Wie lange willst du denn mit entsperrtem Handy in der Hand warten - wenn da dann ja mehrere Personen erst noch vor dir stehen.

Ich stelle mir so vor: ich entsperre das Handy, und während ich das Handy zum Kartenlesegerät bewege, touchiert eine andere Person das Handy mit ihrem Kartenleser und rennt dann weg. Ich entsperre das Handy ja nicht erst nachdem es am Kartenlesegerät ist.

Außerdem sollte für deine Brötchen das Einschalten des Displays ausreichen - entsperren wird erst ab 50€ aufwärts erforderlich. Aber egal ob einschalten oder entsperren, das reicht doch auch, wenn man das direkt zum Bezahlen erst macht - und nicht schon Minuten vorher.

D. h. gar ohne die Karte in Google Pay aufzurufen???

Du wirst dein Handy doch aber entsperrt haben zum Bezahlen - per PIN oder biometrisch (z.B. Fingerprint) - und das Entsperren war dann die "sonstige Bestätigung".

Eine pauschale Bestätigung ohne dass ich vorher den Betrag sehe??? Mit anderen Worten, ein Blanko-Scheck?? Wenn ich die PIN eingebe, wird z. B. der Betrag angezeigt - und hier bestätige ich, einen beliebigen, vom "Händler" festgelegten Betrag zu zahlen?

Ich habe mich lange Zeit vor Google Pay gedrückt, aber nachdem mir beim Bezahlen vor Ort in Polen die Kreditkartennummer gestohlen wurde, nutze ich es vermehrt - nur frage ich mich, ob es wirklich sicherer ist als mit der Karte direkt zu zahlen?

 

[Meckie]

Eine pauschale Bestätigung ohne dass ich vorher den Betrag sehe??? Mit anderen Worten, ein Blanko-Scheck?? Wenn ich die PIN eingebe, wird z. B. der Betrag angezeigt - und hier bestätige ich, einen beliebigen, vom "Händler" festgelegten Betrag zu zahlen?

Du verstehst glaube ich nicht wirklich bisher, wie Google Pay (oder Apple Pay) funktioniert. Probiere es doch einfach einmal aus. Selbstverständlich siehst Du den Betrag bevor Du zahlst. Dann hältst Du Dein Smartphone ganz nah an das Lesegerät. Wirklich nah... also so richtig.

 

[Audiolet]

Selbstverständlich siehst Du den Betrag bevor Du zahlst.

Ich vermute mal, da liegt ein Denkfehler bei @cockpitvisit vor, bzw. eine falsche Erwartungshaltung.

Eine pauschale Bestätigung ohne dass ich vorher den Betrag sehe???

Wie ist es denn aktuell, also wenn du mit der Karte an sich bezahlst? Siehst du da den Betrag etwa vorher auch nicht?

GooglePay ist prinzipiell (also aus Anwender-Sicht) nichts anderes als eine kontaktlose Kartenzahlung. Mit dem Unterschied, dass du bei der Kartenzahlung bei Beträgen >50€ dann noch die Karten-PIN am Zahlterminal eingeben musst. Bei GooglePay entsperrt du dagegen vorab dein Handy mit der Handy-PIN.

Ansonsten ist GooglePay sicherer, weil nicht deine Karten-Daten übertragen werden, sondern ein Token.

 

[Mistmade]

Sicherer als Gpay ist ApplePay, da man dort auch bei Beträgen unter 50 Euro sein Handy entsperren muss. Mit Face ID schnell erledigt und komfortabel. Noch komfortabeler mit der Apple Watch…

 

[wizzard]

Ich stelle mir so vor: ich entsperre das Handy, und während ich das Handy zum Kartenlesegerät bewege, touchiert eine andere Person das Handy mit ihrem Kartenleser und rennt dann weg.

Ist das die moderne Version des neapolitanischen Straßenraubs, bei der der Sozius auf der Vespa während der Vorbeifahrt den Touristinnen die Handtasche entreißt? Haltet den Dieb, er hat meinen Token geklaut! Köstlich.

 

[cockpitvisit]

Wie ist es denn aktuell, also wenn du mit der Karte an sich bezahlst? Siehst du da den Betrag etwa vorher auch nicht?

Mit der Karte an sich muss ich bei jedem Betrag über 50€ die PIN eingeben, um die Transaktion zu genehmigen.

GooglePay ist prinzipiell (also aus Anwender-Sicht) nichts anderes als eine kontaktlose Kartenzahlung. Mit dem Unterschied, dass du bei der Kartenzahlung bei Beträgen >50€ dann noch die Karten-PIN am Zahlterminal eingeben musst. Bei GooglePay entsperrt du dagegen vorab dein Handy mit der Handy-PIN.

Und das ist ein Riesenunterschied. Mit der Karten-PIN genehmige ich einen konkreten Betrag auf einem konkreten Kartenleser, ich sehe sogar den Betrag als ich die PIN eingebe. Mit der Entsperrung vom Handy erlaube ich dagegen jedem beliebigen Kartenleser jeden beliebigen Betrag von der Karte abzubuchen. Wer mir ein momentan entsperrtes Handy entreißt (z. B. an der Kasse), wegrennt, dabei ständig den Touchscreen bedient damit sich das Handy nicht automatisch sperrt und gleich beim Juwelier damit einkauft, hat anscheinend Zugriff auf den gesamten Verfügungsrahmen der Karte.

Beim Klau der Karte selbst bräuchte der Dieb noch die PIN. Bei Bargeld kann er nur entwenden, was ich bei mir habe, er kann nicht mein gesamtes Konto plündern. Da scheint mir Google Pay mit Abstand die gefährlichste Zahlungsart zu sein... Oder irre ich mich?

Haltet den Dieb, er hat meinen Token geklaut! Köstlich.

Er hat einen unterschriebenen Blancoschreck geklaut, nicht einfach einen Token.

 

[eham]

Mit der Entsperrung vom Handy erlaube ich dagegen jedem beliebigen Kartenleser jeden beliebigen Betrag von der Karte abzubuchen. Wer mir ein momentan entsperrtes Handy entreißt (z. B. an der Kasse), wegrennt, dabei ständig den Touchscreen bedient damit sich das Handy nicht automatisch sperrt und gleich beim Juwelier damit einkauft, hat anscheinend Zugriff auf den gesamten Verfügungsrahmen der Karte.

Ja, das ist so (siehe auch Google Pay Hilfe). Mit physischer Karte und PIN bist du in dem Fall "sicherer". Aber nur solange nicht jemand hinter dir steht und dir bei der PIN- Eingabe zuschaut.
Das ist das Risiko bei allen elektronischen Zahlungsarten.

Bei Reisen kann man deshalb eine Debit- oder Guthabenkarte einsetzen und nur geringe Beträge aufladen, wenn man hier das Risiko minimieren, aber den Aufwand für ständige Gelddisposition erhöhen möchte.

 

[Mistmade]

Ich sags ja, Apple Pay ist wesentlich sicherer. Zum bezahlen reicht ein entsperrtes Handy nicht, da man zum zahlen trotzdem freigeben muss, auch wenn das Handy entsperrt ist.

 

[BR 612]

Wer mir ein momentan entsperrtes Handy entreißt (z. B. an der Kasse), wegrennt, dabei ständig den Touchscreen bedient damit sich das Handy nicht automatisch sperrt und gleich beim Juwelier damit einkauft, hat anscheinend Zugriff auf den gesamten Verfügungsrahmen der Karte.

Nö. Nach dem Entsperren läuft da ein Timer (iirc sind es 90 Sekunden bis 180 Sekunden, je nach Bezahlapp). Nach diesem Zeitraum muss bei größeren Einkäufen das Display quasi erneut entsperrt werden.
Zumindest bei der Sparkassen App scheint es so, dass jeder Betrag nur mit entsperrtem Display durchgeht.

Davon abgesehen ist so ein Case einfach sehr unwahrscheinlich. Es wäre viel zu auffällig, wenn jemand so nah an dich rankommt und jemand mit kurzer Reaktionszeit könnte den Täter dann ja auch evtl. festhalten. Auch das mit dem "zweiten Display" ist sehr unwahrscheinlich. Ja, Google Pay zeigt beim Bezahlbildschirm nicht den bezahlten Betrag an (anders als bei der App der Sparkasse), aber würde so eine Manipulation nicht auffallen?
Ich würde mir da keine Gedanken machen. Da halte ich es für wahrscheinlicher, dass irgendein Langfinger versucht, per Online-Einkauf mir Geld von der Karte zu klauen.

 

[Audiolet]

ApplePay, ... sein Handy entsperren muss. Mit Face ID schnell erledigt

Zum bezahlen reicht ein entsperrtes Handy nicht, da man zum zahlen trotzdem freigeben muss,

Da muss ich jetzt mal nachfragen: Also muss man bei Apple das Handy erst einmal entsperren, und dann nochmal zusätzlich die Zahlung freigeben?

Oder meinst du - gerade im zweiten Zitat - mit entsperren evtl. was anderes, als ich darunter verstehe? Ich verstehe darunter, dass ich das Handy dann auch aktiv nutzen kann, also Apps öffnen, etc.
Also nicht nur einfach den Bildschirm einschalten.

 

[Mistmade]

Es gibt zwei Möglichkeiten

1.) Handy ist entsperrt:
Wenn das Handy entsperrt ist und man bezahlen möchte, zweimal schnell hintereinander den Ein/Ausschalter betätigen und dann per Face ID oder PIN freigeben. Die Bezahlfunktion ist im entsperrten Handy nicht aktiv ohne das man es aktiv freischaltet

2.) Handy ist gesperrt:
2 mal schnell hintereinander die Ein/Austaste betätigen, mit Face ID oder PIN entsperren und dann bezahlen.

 

[reiseratte]

Warum genau nochmal braucht man hierfür ein extra Thema und nimmt dafür nicht den Google Pay Thread?

 

[Hauptmann Fuchs]

Und die Person in der Schlange vor mir touchiert gleich mein Handy mit einem versteckten Kartenleser, wodurch mehrere tausend EUR abgebucht werden. Wie sehen meine Chancen aus, das gestohlene Geld wieder zu sehen?

Ganz gut, denn die Beträge werden nicht sofort beim Händler gutgeschrieben. Noch abgesehen davon, das die Missbrauchdetektoren beim Acquirer sofort anspringen würden wenn da immer 'nichts' läuft und dann auf einmal alles grössere Beträge beim mobilen Einsatz.

Ich habe mich lange Zeit vor Google Pay gedrückt, aber nachdem mir beim Bezahlen vor Ort in Polen die Kreditkartennummer gestohlen wurde, nutze ich es vermehrt - nur frage ich mich, ob es wirklich sicherer ist als mit der Karte direkt zu zahlen?

Wurde eigentlich der Missbrauch ausgefahndet und somit festgestellt das es in Polen war? Oder ist es immer noch deine Vermutung?

 

[cockpitvisit]

Wurde eigentlich der Missbrauch ausgefahndet und somit festgestellt das es in Polen war? Oder ist es immer noch deine Vermutung?

Ich kenne die Fahndungsergebnisse nicht (laut einem Schreiben wurde aber die Ermittlung abgeschlossen und das ganze an die Staatsanwaltschaft weitergegeben), aber die Bank hat mir zu Unrecht abgebuchte Beträge gutgeschrieben,.also wird die Bank es als Missbrauch gesehen haben.

Dass es in Polen war, ist einfach meine xenophobe Vermutung da es ein paar Tage nach einer kurzen Polen-Reise angefangen hat und ich die Karte in D selten einsetze.

Ganz gut, denn die Beträge werden nicht sofort beim Händler gutgeschrieben.

Ich dachte, es geht nicht darum ob das Geld schon beim "Händler" ist, sondern ob ich eine Zahlung in Auftrag gegeben habe? Und mit der Entsperrung vom Handy habe ich eine Zahlung in einer beliebigen Höhe an das erste Kartenlesegerät autorisiert, das mein Handy berührt. Wie soll man hier argumentieren?

 

[Audiolet]

Wie soll man hier argumentieren?

Na, mindestens der Kassierer, bei dem du gerade eigentlich bezahlen wolltest, wird dir doch wohl sicherlich den Diebstahl deines Handys um 11:38 bestätigen. Und wenn dann der Gau er um 11:41 beim Juwelier mit deinem entsperrt gehaltenen Handy bezahlt, wirst du das ja wohl kaum gewesen sein. Selbst wenn du die Anzeige bei der Polizei erst um 11:42 aufgibst, weil die sich auch noch unmittelbar direkt neben dem Supermarkt befindet.
Abgesehen davon, dass der Dieb dein entsperrtes Handy direkt kurz nach dem Diebstahl direkt einsetzen müsste - damit der von @BR 612 angesprochene Zeitfaktor nicht noch zuschlägt.
Also so langsam solltest du entweder einsehen, dass dein konstruiertes Beispiel doch extremst theoretisch ist, oder doch nicht weiter mit GooglePay befassen.

 

[Mark Enschuh]

Wer mir ein momentan entsperrtes Handy entreißt (z. B. an der Kasse), wegrennt, dabei ständig den Touchscreen bedient damit sich das Handy nicht automatisch sperrt und gleich beim Juwelier damit einkauft, hat anscheinend Zugriff auf den gesamten Verfügungsrahmen der Karte.

Dann muss er sich aber beeilen. Ab Entsperrung hat er genau 2 Minuten, um zum Juwelier zu rennen, sich etwas schönes auszusuchen und zu bezahlen.

 

[Audiolet]

Na, wenn der Juwelier direkt neben Rewe liegt, und sich der Dieb da schon was Schönes ausgesucht hat, und der Juwelier auch schon die Zahlung am Terminal vorbereitet hat, und der Dieb dann schnell rüber zum Rewe rennt und @cockpitvisit das entsperrtes Handy aus der Hand reißt, damit dauertippend wieder zurück zum Juwelier rennt und schnell das immernoch entsperrte Handy ans Terminal hält - dann könnte der das vielleicht doch schaffen.
Und der Juwelier wird das Verhalten doch bestimmt noch nicht mal ansatzweise irgendwie verdächtig finden.

 

[KatBa]

NFC ausschalten bis zum Bezahlen ist wohl das sicherste.

 

[Mistmade]

Das ist doch alles sehr sehr unwahrscheinlich. Klar, nicht ausgeschlossen, aber praktisch passiert das so selten. Ein Flieger kann auch abstürzen, ist aber statistisch gesehen immer noch das sicherste Verkehrsmittel.
Ist hier nicht anders. Da macht man sich zu viele Gedanken über Dinge, die höchstwahrscheinlich nicht eintreten werden

 

[Simineon]

Ich habe mich lange Zeit vor Google Pay gedrückt, aber nachdem mir beim Bezahlen vor Ort in Polen die Kreditkartennummer gestohlen wurde, nutze ich es vermehrt - nur frage ich mich, ob es wirklich sicherer ist als mit der Karte direkt zu zahlen?

Google Pay ist genauso sicher wie eine Kreditkarte, Apple Pay ist erheblich sicherer als eine KK.

Ich entsperre immer erst unmittelbar am Terminal meine Uhr bzw. mein Handy und am Terminal sehe ich auch die Summe bevor ich Uhr oder Handy an die Kontaktfläche halte.
Bei der Zeit und der Nähe, die man an der Kontaktfläche verweilen muss, da halte ich es für extrem schwierig solange von einem fremden Gerät "touchiert" zu werden damit eine unauthorisierte Zahlung angestossen wird (und selbst dann ist die schneller zurückgebucht als der Dieb sie ausgeben kann)

 

[HeinMück]

ANZEIGE

Puhh.... Um was man sich nicht alles unnütze Gedanken machen kann...

Bei den Krokos war jemand auf der Suche nach einem Konto, dass man "per Brief" bedienen kann.