ANZEIGE
Das kann aber durchaus stimmen. Stichwort: Verlängerung einer Zahlungsauthorisierung.
-
Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.
Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.
Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.
User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.
Sicherheit von Kreditkarten?
- Starter*in woodly2712
- Datum Start
ANZEIGE
Das kann aber durchaus stimmen. Stichwort: Verlängerung einer Zahlungsauthorisierung.
Bargeld ist halt viel sicherererer!!
POL-ME: Ein lohnender Griff in fremde Handtasche - Hilden / Kreis Mettmann - 1607142 | Pressemitteilung Polizei Mettmann
POL-ME: Ein lohnender Griff in fremde Handtasche - Hilden / Kreis Mettmann - 1607142 | Pressemitteilung Polizei Mettmann
Ein paar generelle Sicherheitstipps gibts z.B hier: http://www.vielfliegertreff.de/reis...en-rund-im-internetsicherheit-auf-reisen.html
Das genannte gilt auch für KK-Daten.
Einen Angriffspunkt habt ihr noch nicht genannt: Es sind auch schon Datenbanken von Kreditkarten-Prozessoren (das sind die Läden, die im Auftrag von Online-Shops oder Offline-Händlern die Kommunikation mit den Banken/KK-Unternehmen abwickeln) geklaut worden. Vor ein paar Jahren gabs einen Angriff auf einen Laden in Spanien, der z.B. alle über swiss.com getätigten Buchungen abgewickelt hat.
Das genannte gilt auch für KK-Daten.
Einen Angriffspunkt habt ihr noch nicht genannt: Es sind auch schon Datenbanken von Kreditkarten-Prozessoren (das sind die Läden, die im Auftrag von Online-Shops oder Offline-Händlern die Kommunikation mit den Banken/KK-Unternehmen abwickeln) geklaut worden. Vor ein paar Jahren gabs einen Angriff auf einen Laden in Spanien, der z.B. alle über swiss.com getätigten Buchungen abgewickelt hat.
Doch, ich bin darauf eingegangen
"- Zahlungsdienstleister, wenn diese gehackt werden"
Sind Karten mit Offline PIN unsicherer?
Ich stelle mir das laienhaft so vor: Ein Krimineller kommt in den Besitz eier KK mit Offline PIN. Er hat ein "Gerät", das nicht mit dem Internet verbunden ist und der Karte Zahlungsanfragen vorgaukelt. Und zwar 10.000 mal. Mit allen PINs von 0000 bis 9999. Einen Zähler auf der Karte setzt seine Software automatisch zurück. Die einschlägigen KKs mit Offline PIN haben ja in der CVM-Liste auch "Plaintext PIN by ICC", in sofern müsste ja nichtmal eine wie auch immer geartete "Verkryptung" umgangen werden.
EDIT (sollte ja klar sein, dennoch explizit): Bei einer der 10.000 Kombinationen gibt die Karte die Rückmeldung, dass die PIN korrekt ist. Schon hat er sie.
Da die Online PIN = Offline PIN (die Zahlenkombination meine ich) (sonst hätte man als Cardholder ja 2 PIN), kann er nach Kenntnis der Offline-PIN den ATM "plündern".
Bei Karten mit "Online-PIN only" ja nicht möglich, da die Online-PIN ja nicht auf der Karte ist und die Bank es beim 3. Fehlversuch ja bemerkt und die Karte sperrt.
Ich habe zwar von der technischen Seite keine Ahnung, aber von der Theorie her klingt es sehr einfach. Ist das möglich, oder gibt es dagegen eine wirksame Sicherung auf der Karte?
Im Moment bin ich (gerade auch wegen UK) ein Freund der Offline-PIN, aber wenn das wirklich so unsicher ist, wie mir in den Sinn kam, dann nehme ich in Zukunft doch lieber so Karten wie DiBa, Hanseatic, Amazon LBB und CoDi ohne Offline-PIN.
Ich stelle mir das laienhaft so vor: Ein Krimineller kommt in den Besitz eier KK mit Offline PIN. Er hat ein "Gerät", das nicht mit dem Internet verbunden ist und der Karte Zahlungsanfragen vorgaukelt. Und zwar 10.000 mal. Mit allen PINs von 0000 bis 9999. Einen Zähler auf der Karte setzt seine Software automatisch zurück. Die einschlägigen KKs mit Offline PIN haben ja in der CVM-Liste auch "Plaintext PIN by ICC", in sofern müsste ja nichtmal eine wie auch immer geartete "Verkryptung" umgangen werden.
EDIT (sollte ja klar sein, dennoch explizit): Bei einer der 10.000 Kombinationen gibt die Karte die Rückmeldung, dass die PIN korrekt ist. Schon hat er sie.
Da die Online PIN = Offline PIN (die Zahlenkombination meine ich) (sonst hätte man als Cardholder ja 2 PIN), kann er nach Kenntnis der Offline-PIN den ATM "plündern".
Bei Karten mit "Online-PIN only" ja nicht möglich, da die Online-PIN ja nicht auf der Karte ist und die Bank es beim 3. Fehlversuch ja bemerkt und die Karte sperrt.
Ich habe zwar von der technischen Seite keine Ahnung, aber von der Theorie her klingt es sehr einfach. Ist das möglich, oder gibt es dagegen eine wirksame Sicherung auf der Karte?
Im Moment bin ich (gerade auch wegen UK) ein Freund der Offline-PIN, aber wenn das wirklich so unsicher ist, wie mir in den Sinn kam, dann nehme ich in Zukunft doch lieber so Karten wie DiBa, Hanseatic, Amazon LBB und CoDi ohne Offline-PIN.
Zuletzt bearbeitet:
Ich habe mal den wichtigen Teil zitiert...
Also wenn ich das richtig deute, ist das die Sicherheit?
Der Zähler kann nur online zurück gesetzt werden?
Der Zähler kann nur online zurück gesetzt werden?
Nein, er kann nicht 10.000 mal probieren. Der Zähler auf der Karte ist kein Feld, das der Angreifer einfach beschreiben kann. Es ist zu beachten, dass die Karte kein "Datenspeicher" ist, sondern ein vollwertige Computer mit Arbeitsspeicher und Festspeicher, wenn auch sehr wenig. Der Zugriff auf den Festspeicher hat nur die CPU auf dem Chip selbst, nicht aber der Kartenleser. Die Kommunikation mit dem Chip läuft wiefolgt:
1. Versuch (offline): Ist die Pin 0001? - Chip sagt Nein, Fehlversuche auf 1
2. Versuch (offline): Ist die Pin 0002? - Chip sagt Nein, Fehlversuche auf 2
3. Versuch (offline): Ist die Pin 0003? - Chip sagt Nein, Fehlversuche auf 3
4. Versuch (offline): Ist die Pin 0004? - Chip sagt "Karte gesperrt, zu viele Fehlversuche"
Den Counter "Fehlversuche" kann nur jemand zurücksetzen, der die geheimen Schlüssel der Karte kennt, also die Bank. Die Bank muss der CPU quasi sagen: Du darfst den counter wieder auf 0 setzen, hier ist das "supergeheimepasswortfürdiesekarte" (vorgang vereinfacht). Deswegen kann die Karte auch am Online-Gerät wieder entsperrt werden (Falls vorgesehen). Verhält sich ein wenig wie die PIN und PUK an der SIM-Karte. Der Angreifer kennt dieses supergeheimepasswortfürdiesekarte nicht und kann den counter nicht zurücksetzen.
1. Versuch (offline): Ist die Pin 0001? - Chip sagt Nein, Fehlversuche auf 1
2. Versuch (offline): Ist die Pin 0002? - Chip sagt Nein, Fehlversuche auf 2
3. Versuch (offline): Ist die Pin 0003? - Chip sagt Nein, Fehlversuche auf 3
4. Versuch (offline): Ist die Pin 0004? - Chip sagt "Karte gesperrt, zu viele Fehlversuche"
Den Counter "Fehlversuche" kann nur jemand zurücksetzen, der die geheimen Schlüssel der Karte kennt, also die Bank. Die Bank muss der CPU quasi sagen: Du darfst den counter wieder auf 0 setzen, hier ist das "supergeheimepasswortfürdiesekarte" (vorgang vereinfacht). Deswegen kann die Karte auch am Online-Gerät wieder entsperrt werden (Falls vorgesehen). Verhält sich ein wenig wie die PIN und PUK an der SIM-Karte. Der Angreifer kennt dieses supergeheimepasswortfürdiesekarte nicht und kann den counter nicht zurücksetzen.
Nach meinem Wissensstand ist es so, dass der EMV Chip an sich bisher als nicht kopierbar gilt.
Sollte eine Originalkarte mit Offline-PIN Unterstützung jedoch in die falschen Hände geraten, kann diese unter bestimmten Umständen am POS auch ohne Kenntnis der PIN eingesetzt werden.
Die klassische Plaintext Offline-PIN wurde schon vor einiger Zeit geknackt. Spezielle Hardwarevorrichtungen können die Kommunikation zwischen EMV-Chip und Terminal dahingehend manipulieren, dass die Offline-PIN-Prüfung ausgehebelt wird. Mit einer gestohlenen Karte kann dann auch ohne Kenntnis der PIN eingekauft werden. In der Praxis ist das aber nur für kleine Transaktionen relevant. Höherwertige Transaktionen werden in der Regel online autorisiert und würden bei einer als gestohlen gemeldeten Karte scheitern. Zu dem beschriebenen Szenario kommen natürlich noch weitere hinzu, wie MagStripe Clones sowie "Card Not Present" Betrug bei Einkäufen im Internet.
In der Praxis ist das Aushebeln der Offline-PIN meiner Meinung nach nicht so relevant. Den Verlust der Karte sollte man in den meisten Fällen schnell bemerken. Ein Anruf beim Issuer reicht dann aus, um weiteren Schaden abzuwenden.
Sollte eine Originalkarte mit Offline-PIN Unterstützung jedoch in die falschen Hände geraten, kann diese unter bestimmten Umständen am POS auch ohne Kenntnis der PIN eingesetzt werden.
Die klassische Plaintext Offline-PIN wurde schon vor einiger Zeit geknackt. Spezielle Hardwarevorrichtungen können die Kommunikation zwischen EMV-Chip und Terminal dahingehend manipulieren, dass die Offline-PIN-Prüfung ausgehebelt wird. Mit einer gestohlenen Karte kann dann auch ohne Kenntnis der PIN eingekauft werden. In der Praxis ist das aber nur für kleine Transaktionen relevant. Höherwertige Transaktionen werden in der Regel online autorisiert und würden bei einer als gestohlen gemeldeten Karte scheitern. Zu dem beschriebenen Szenario kommen natürlich noch weitere hinzu, wie MagStripe Clones sowie "Card Not Present" Betrug bei Einkäufen im Internet.
In der Praxis ist das Aushebeln der Offline-PIN meiner Meinung nach nicht so relevant. Den Verlust der Karte sollte man in den meisten Fällen schnell bemerken. Ein Anruf beim Issuer reicht dann aus, um weiteren Schaden abzuwenden.
Zuletzt bearbeitet:
Es kann bis zu sechs Versuche geben.
Drei Versuche im Einzelhandel und drei Versuche am Geldautomaten mit der Funktion "Unlock PIN".
Da wir hier aber Fans mit bis zu zehn Karten haben (und auch jemand wie ich im Alltag - im Gegensatz zum Urlaub - nur die selben drei Karten verwendet), bemerkt man den Verlust oder das Verlegen nicht immer sofort.
Sicher ist eine Karte m.E. dann, wenn sie Offline PIN und 3D Secure bevorzugt. Das genügt für den "Hausgebrauch".
DDA/CDA ist natürlich auch wichtig, Enciphered Offline PIN und ein Servicecode, der auch bei Magnetstreifennutzung PIN bevorzugt und die Offline-Autorisierung von Umsätzen verhindert (226 statt 201). Aber das sind Feinheiten.
Drei Versuche im Einzelhandel und drei Versuche am Geldautomaten mit der Funktion "Unlock PIN".
Da wir hier aber Fans mit bis zu zehn Karten haben (und auch jemand wie ich im Alltag - im Gegensatz zum Urlaub - nur die selben drei Karten verwendet), bemerkt man den Verlust oder das Verlegen nicht immer sofort.
Sicher ist eine Karte m.E. dann, wenn sie Offline PIN und 3D Secure bevorzugt. Das genügt für den "Hausgebrauch".
DDA/CDA ist natürlich auch wichtig, Enciphered Offline PIN und ein Servicecode, der auch bei Magnetstreifennutzung PIN bevorzugt und die Offline-Autorisierung von Umsätzen verhindert (226 statt 201). Aber das sind Feinheiten.
Yep, Smart Cards sind quasi nicht knackbar.
Dennoch kann ich natürlich die im Chip gespeicherten Daten auslesen und auf eine Blanko-Karte transferieren. Ob ich damit was anfangen kann, hängt davon ab, ob es eine SDA-Karte (fest eingebrannte Krypto-Signatur) oder eine DDA-Karten (RSA PKI) ist; letzteres lässt sich nicht kopieren, da die Karte für jede Transaktion einen neuen Schlüssel berechnet, der vom Terminal oder der Bank auf Echtheit geprüft wird.
Mit den "Hardwarevorrichtungen" meinst Du wahrscheinlich Shimmer, also im Kartenslot angebrachte Lesegeräte.
Shimmer-Attacken dürften in Deutschland bzw den meisten anderen EU-EMV-Ländern schief gehen, da es hier seit Jahren keine SDA-Karten mehr gibt (sagen zumindest die Banken; ob es stimmt, weiß ich nicht), sondern nur noch DDA. Gegen DDA kommt der Shimmer nicht an, da er die vom Terminal geschickte Zufallszahl nicht passend per RSA behandeln kann.
Ist die PIN unverschlüsselt, muss ich die Abfrage nicht aushebeln als Angreifer. Ich schneide sie einfach mit...
Shimmer kommen auch an verschlüsselte PINs, in dem sie den Kunden den PIN-Code einfach ein zweites Mal eingeben lassen. Dazu erscheint im Display des POS-Terminals dann eine (gefälschte) vom Shimmer veranlasste Meldung wie "PIN bitte erneut eingeben". In diesem Fall bestimmt der Shimmer den Modus und natürlich weist er das Terminal nicht an, eine echte PIN-Abfrage (die ja wieder verschlüsselt wäre) einzuleiten.
Eine andere, ziemlich abgefahrene Methode hat ein Experte vor ein paar Wochen demonstriert: Er nutzt das Magnetfeld, das moderne PIN-Pads bei der Eingabe erzeugen und schneidet die Eingabe so direkt am/neben dem Pad mit.
Ob Off- oder Online hängt von mehr Faktoren ab als nur der Höhe der Transaktion (Terminal und Karte müssen onlinefähig sein, Zahl der bereits getätigten Offline-Transaktionen der Karte, Vergleich mit typischer Transaktionshöhe im gleichen Laden / der gleichen Abteilung und so weiter).
Der Begriff ist übrigens skimming, nicht shimming.
SDA-Karten auszugeben sollte schon seit längerem von den Schemes nicht mehr erlaubt sein.
Derzeit wird aber meist wohl eh nur der MagStripe gelesen, die PIN mit Kamera/Aufsatz aufgezeichnet und der MagStripe mit PIN im Ausland zum Abheben von Bargeld verwendet. Ist relativ leicht machbar, Chip klonen und einsetzen erfordert ja deutlich mehr kriminelle Energie und Wissen.
SDA-Karten auszugeben sollte schon seit längerem von den Schemes nicht mehr erlaubt sein.
Derzeit wird aber meist wohl eh nur der MagStripe gelesen, die PIN mit Kamera/Aufsatz aufgezeichnet und der MagStripe mit PIN im Ausland zum Abheben von Bargeld verwendet. Ist relativ leicht machbar, Chip klonen und einsetzen erfordert ja deutlich mehr kriminelle Energie und Wissen.
Nope. Skimmer sind für Magnetstreifen, Shimmer für EMV-Karten...
Die Tage dieser Abhebungen sind gezählt. Nicht zuletzt, weil die USA EMV verwenden.
Und das funktioniert dann genau wie, wenn der Kartenleser eine Online-Transaktion verlangt?
Dazu kommt: Was nutzt Dir offline, wenn es eine DDA-Karte ist?
Duerfte ich in dem Zusammenhang noch einmal auf meine Frage von Seite 1 dieses Threads verweisen, da schon wieder das Schlagwort "Social Engineering" faellt?
von Seite 1 dieses Threads verweisen, da schon wieder das Schlagwort "Social Engineering" faellt?Vom Prinzip ist das wie Phishing. Muss aber nicht bei dir passieren, sondern ginge auch bei jedem anderen, der deine Kreditkartendaten hat.
(Anrufen, in andere Abteilung durchstellen lassen (die sehen dann häufig eine interne Nummer), "Hallo, hier ist ist Bob vom Kundensupport. Kunde 123456 hat Probleme mit seinem Konto. Könnt ihr mal bitte nachschauen, ob seine Kreditkartennummer stimmt? Die letzten vier Ziffern sind nicht 1234? Hmm, dann scheint hier was nicht zu stimmen").
(Anrufen, in andere Abteilung durchstellen lassen (die sehen dann häufig eine interne Nummer), "Hallo, hier ist ist Bob vom Kundensupport. Kunde 123456 hat Probleme mit seinem Konto. Könnt ihr mal bitte nachschauen, ob seine Kreditkartennummer stimmt? Die letzten vier Ziffern sind nicht 1234? Hmm, dann scheint hier was nicht zu stimmen").
Hast Du Dir das ausgedacht? Oder hast Du einen Beleg dafür, dass das in der Praxis funktioniert?
Denn: Speichert ein Unternehmen KK-Daten im Klartext (und nicht etwas als Hash oder Token), verstößt es so ziemlich gegen jede Branchenvorschrift da draußen.
Davon abgesehen speichern hoffentlich nur die wenigsten Händler die Kartendaten selbst. Die leiten die nur während der Transaktion an einen Processor weiter. Getreu dem Gedanken, dass vertrauliche Daten zu behandeln sind wie Giftmüll: so wenig wie möglich erzeugen und dann so schnell als möglich weg damit.
Von daher gehe ich davon aus, dass dieser "Angriff" nur in der Phantasie klappen wird.
Duerfte ich in dem Zusammenhang noch einmal auf meine Frage
Ich halte Social Engineering in dem Umfeld zwar für wenig durchschlagkräftig (man kommt ja immer nur an eine handvoll KK-Daten), aber es soll schon massenhaft automatisierte (Robocall per VoIP) Anrufe gegeben haben. "Hier ist Ihre Bank. Es gibt Unregelmäßigkeiten mit Ihrem Konto. Drücken Sie die 1, wenn Sie letzte Woche einen Flug für 2000 Euro gebucht haben oder drücken Sie die 2, wenn dies nicht der Fall war". Den Rest kannst Du dir ausmalen
Social Engineering spielt aber im B2B-Umfeld natürlich eine Rolle. So wie bei dieser US-Pizzaladenkette, in die angebliche Servicetechniker reinmarschiert sind, um Malware auf den POS-Terminals zu installieren und so massenhaft Kartendaten mitzuschneiden. Dürfe bei uns aber nicht gut funktionieren, weil a) mehr bar bezahlt wird und b) EC-Karten und neuere Kreditkarten (siehe DDA weiter oben) nix unverschlüsselt von sich geben und die Malware damit dumm dasteht.
ANZEIGE
![]()
Ich hatte vor einiger Zeit mal einen Anruf, ob ich in Berlin eine Kreditkarte von Barclaycard verloren hätte. Nun kann ich nicht 100%ig ausschließen, dass jemand mit dem gleichen Namen wie ich (der ist nicht so häufig, es gibt aber laut google schon ein paar Leute, die genau so heißen wie ich) eine Barclaycard in Berlin verloren hat. Trotzdem kam mir das ziemlich verdächtig vor. Allerdings frage ich mich, wie da ein social engineering konkret stattgefunden hätte, wenn ich nicht gleich nein gesagt und aufgelegt hätte.