Zahlungen offen: Kreditkarten mit NFC können Umsätze preisgeben

Die Idee des kontaktlosen Bezahlens wird auch in Deutschland von vielen Unternehmen vorangetrieben. Jetzt gibt es Berichte darüber, dass Kreditkarten, die mit NFC-Chip ausgerüstet sind, unter bestimmten Umständen das Auslesen von Umsätzen ... mehr... Internet, E-Commerce, Kreditkarte Bildquelle: Fosforix / Flickr Internet, E-Commerce, Kreditkarte, Kreditkarten Internet, E-Commerce, Kreditkarte, Kreditkarten

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Die News ist jetzt aber nichts Neues. Entsprechende Apps gibt es sicher schon seit zwei Jahren. Um die Daten auszulesen muss man die Karte auch nicht mal in der Hand halten. Unauffällig mit dem Smartphone nahe an der Hosentasche vorbei ziehen klappt auch. Kreditkartennummer, Ablaufdatum, Name und teilweise die letzten 10 Transaktionen mit Ortsangabe können so gelesen werden. Dazu muss nicht mal eine Verschlüsslung geknackt werden, die Daten sind offen zugänglich. Ich habe die NFC Antenne bei meiner KK deshalb zerstört.
 
@DrEmmettBrown: Gleich NFC-Antenne zerstören ist vielleicht etwas viel. Du kannst NFC doch auch deaktivieren, oder nicht?
 
@kritisch_user: Wie kann man NFC bei einer Kreditkarte selbst deaktivieren? Ich wüsste jetzt wirklich nicht wie das einfacher geht als mit einem kleinen Schnitt mit der Schere am Rand der Karte so das die Antenne durchtrennt ist. Da ich die Karte sowieso nur ca. einmal pro Jahr benötige um ein Auto zu mieten brauch ich auch kein NFC. Zum bezahlen bevorzuge ich sowieso andere Karten die sicherer sind und weniger Kosten verursachen. Kreditkarten haben Sicherheitslücken ohne Ende. Mit den Daten die man unverschlüsselt über NFC auslesen kann, kann man mit einem kleine Zusatzaufwand überall damit einkaufen. Die dazu nötigen Tools sind natürlich höchst illegal. Mit etwas technischen Kenntnis kann man sich diese Tools auch selbst machen, was natürlich nicht legaler ist. Es zeigt einfach das Kreditkarten kaum Krypto eingebaut haben oder diese oft deaktiviert ist bzw. von der Bank nicht überprüft wird. Zum Glück gibt es viel weniger Kriminelle als es Kreditkarten gibt, so ist das Risiko selbst davon zu betroffen sein eher gering. Im Betrugsfall geht meistens sowieso nur der Händler leer aus und nicht der Besitzer der Karte. Aber auch da muss man aufpassen, je mehr Sicherheitscodes abgefragt werden desto eher wird die Haftung umgekehrt. Die Zusatzcodes sind oft auch nicht sicher, da kann man dann nur noch auf Kulanz der Bank hoffen.
 
@DrEmmettBrown: Also... es ist mit einem gewissen Aufwand für Kriminelle möglich, Daten von Kreditkarten zu entwenden und zum eigenen Einkauf zu nutzen. Da dies noch nicht in größerem Rahmen geschieht, sind a) Kriminelle entweder langsam im Nutzen neuer Technik (unwahrscheinlich) oder b) es ist zwar theoretisch möglich, lohnt aber nicht.

Ich habe übrigens so meine Zweifel, ob im Falle eines Kreditkartenbetruges der Händler leer ausgeht wie von Dir gemutmaßt. Meines Wissens wird der Schaden von der Versicherung des Kreditkartenunternehmens getragen. Deren Beiträge sind natürlich in den Kreditkartengebühren umgelegt... nun haben aber die Kreditkartenunternehmen auch ein Interesse daran, dass es nicht zu viele Betrugsfälle gibt, denn sonst stiegen die Versicherungsgebühren, und somit auch die Kosten für das Produkt "Kreditkarte" - was jene für Verbraucher unattraktiver machen würde. Und die Versicherungen wollen die Kosten sicher ebenfalls nicht explodieren lassen. Insofern: sollte die Kriminalitätsrate durch Datenklau per NFC merkbar steigen, würden sowohl die Kreditkartenunternehmen hier die Sicherheit erhöhen wollen als auch deren Versicherungen ("he! seit Ihr das eingeführt habt, haben wir hier ständig Versicherungsfälle von Euch! Wir müssen Euere Beiträge erhöhen. Und erhöht mal die Sicherheit, sonst werden wir erwägen das nicht mehr abzudecken").

Was mich jedoch ein wenig wundert ist, dass auf dem NFC-Chip eine Zahlungshistorie hinterlegt werden kann - wozu soll das gut sein?
 
@FenFire: Ich denke auch das es sich für die meisten Menschen nicht lohnt da die Straffen sehr hoch sind. Der Aufwand ist aber sehr klein, was man auch sie an den sehr tiefen Preisen an gültigen Kreditkartendaten im Darknet. Das Angebot übersteigt dort deutlich die Nachfrage weil es eben einerseits so einfach ist die Daten zu klauen und andererseits weil es zum Glück nicht so viele Kriminelle gibt.

Was viele nicht wissen ist aber tatsächlich das der Händler im Betrugsfall haftet. Mit den Gebühren ließen sich die Kosten bei weitem nicht decken. Der Händler kann sich aber über zusätzliche Versicherungen absichern. Das ist auch der Grund weshalb Händler ihr Geld erst 2 - 3 Monaten nach dem Kauf erhalten. Erst wenn die Frist für die Betrugs-Meldung verstrichen ist wird das Geld überwiesen. Es gibt Schätzungen das Händler deswegen weltweit jährlich bis zu 100 Mia $ so entgeht.
Das wiederum motiviert jedoch die Händler die Kartendaten möglichst auf ihre Echtheit zu Prüfen was in der Praxis jedoch nicht immer einfach ist. Durch neue verfahren wie 3D Secure Code oder ähnliches wird die Haftung dann umgekehrt und der Inhaber der Karte haftet. Da wird es dann wirklich heikel, da nicht alle Banken kulant sind und so kann es passieren das man denn vollen Betrag aus eigener Tasche bezahlen muss.
Wer mir das nicht glaub kann es gerne selbst nachlesen. Internet -> Wikipedia oder bei den Kreditkartenherausgeber. Oft wird zwar beschrieben das der Kreditkartenherausgeber haftet, dieser gibt die Haftung aber direkt weiter an den Händler. Das ist mit den meisten Händler so Vertraglich geregelt.

https://de.wikipedia.org/wiki/3-D_Secure
 
@DrEmmettBrown: Ah, danke für die Info, dachte bisher dass Betrugsfälle von Versicherungen der Kreditkartenunternehmen getragen würden.
 
@DrEmmettBrown: Oder die Karte in ein geschirmtes Etui stecken.
 
@floerido: Das würde natürlich auch gehen. Aber wehe man vergisst mal die Kreditkarte ins Etui zu stecken und sie kommt zufällig in der Tasche nahe beim Smartphone liegen und schon könnte eine böse App die Daten abgreifen. Ist gar nicht zu unwahrscheinlich das es für Android Malware gibt die dann die Daten automatisch ausliest und per Internet versendet. Den CVC kann man dann einfach erraten, bzw. solange probieren bis dir Karte gesperrt wird und dann mit der nächsten weiter machen. Jemand mit bösen Absichten könnte so ganz einfach an gültige Kartendaten kommen. Das ganze ließe sich auch perfekt automatisieren. Was die Jungs und Mädels die das designed haben sich dabei gedacht haben frag ich mich ja schon.
 
Ähmm, ja und was kann man da sehen? Datum, Betrag? Witzlos!
Da muss ich nur in einem beliebigen Einkaufszentruzm einmal in den Mülleimer greifen und einen der weggeworfenen Kassenzettel ansehen und habe dann auch noch daneben stehen, ob die Dose Gulaschsuppe 800g oder 400g war... DAS sind doch mal DATEN...
 
Bargeld lacht! Das war schon immer so und wird sich auch noch ne weile so halten. Es ist ein garantiertes Grundrecht (zum jetzigen Zeitpunkt), und wir sollten alles dafür tun, dass es so bleibt.
 
@Roger_Tuff: Bargeld hat durchaus auch seine Vorzüge :)

Was ich bei all jenem "Gefahr! Risiko! Verbrecher überall!" - Geschrei bei neuen Zahlungstechniken (sei es nun berechtigt oder nicht) ein wenig vermisse ist, dass die selben Leute in einem Atemzug auch mal die Risiken von Bargeld erwähnen, da wird immer so getan als sei Bargeld das sicherste und beste aller Zahlungsmittel (aber vermutlich steckt da einfach ein "das haben wir immer schon so gemacht" mit drin, ist halt das was man aus der Kindheit kennt, so wie man Risiken des Straßenverkehrs im Alltag kaum wahrnimmt, das viel geringere Risiko von Terroranschlägen jedoch Ängste und Schlagzeilen verursacht).

Denn Bargeld kann geklaut werden (bis hin zum Raub mit Gewaltanwendung gegen den Bargeldbesitzer, Risiko für Gesundheit und Leben! eigentlich müssten die Kritiker von Zahlungsmitteln auch "Bargeld ist lebensgefährlich" rufen), der Verlust ist dann anders als beispielsweise bei einer Kreditkarte nicht versichert ("wenn's weg ist ist's weg"), etc...

Ein wirklich sicheres Zahlungsmittel gibt es wohl nicht, was in der Natur der Sache liegen dürfte... wenn jemand etwas hat, wird es jemand geben, der sich dessen zum Schaden des Besitzers bemächtigen will...
 
@FenFire: Die Gefahr von einer Gruppe "Intensivtäter", die Dich ausrauben will, schätze ich als die größere Gefahr ein, wenn Du kein Bargeld dabei hast und dann halb tot geschlagen wirst, weil das ja überall so IN ist im Moment, wenn man mal die Polizei-Meldungen und Regionalen Zeitungen so liest.
Man schleppt ja sowieso nicht Bündel an Geldrollen mit sich rum.
 
@Roger_Tuff: Bargeld ?? Was ist das, ich habe nie Bargeld dabei, außer den 1 € für dein Einkaufswagen. Wenn ein Laden nur Bargeld nimmt, dann kaufe ich da nix.
 
Ich setze weiterhin auf meinen Aluhut!
 
@bamesjasti: Gute Wahl
Hätten sie gerne ein Alu Eis dazu?
 
@Alexmitter: Anstatt sich zu verstecken sollte man lieber was dagegen tun!
Wie wärs mit einem Outdoor Alu-Baseball-Schläger für verdeckte Vernichtungen -> http://goo.gl/1wnHKn
 
@DPX: Es ist immer etwas bescheuert jemand zu sehen der mit einem Baseball Schläger im kreis rennt da er keine echten feinde hat.
 
Visa ist offensichtlich nicht betroffen. Ich benutze das seit ein paar Wochen und die Zeitersparnis sowie das geringere Risiko im Vergleich zum Herumschleppen von Bargeld finde ich wirklich toll. Am besten allerdings ist die ungläubige Überraschung bei vielen Kassiererinnen, die sich dann meistens über den geringeren Aufwand für sie (kein Geld herausgegeben, keine Unterschrift prüfen) freuen.
 
Wow wie gefährlich. Und welch hoch sensible Daten man da abgreifen kann. Da werden sich die Gauner aber die Hände reiben.

Das man dazu eh die Karte braucht wo ebenfalls Name, Kartennummer und sogar Sicherheitscode drauf sind.... Naja das ist egal. NFC ist natürlich vom Teufel persönlich in die Welt gebracht und Hitler hats erfunden.
 
"Der für Zahlungen entscheidende dreiststellige Sicherheitscode, auch Card Validation Code (CVC) genannt, kann aber nicht über die Drahtlostechnik in fremde Hände geraten."

Muss er ja auch nicht, oder? Im Artikel steht doch gleich darüber, dass der Täter die Karte eh "in den Händen" haben muss. Einfach Karte umdrehen und ablesen...
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen