expertenaustausch > etc.finanz.* > etc.finanz.banken+broker

Thomas Buchholz (26.09.2019, 00:03)


Arno Welzel (26.09.2019, 02:30)
Thomas Buchholz:

>


Wurde schon mal thematisiert. Problem: der Abbucher braucht ein Konto,
wo das per NFC-Transaktion abgebuchte Geld übertragen wird. Bei meiner
Nachfrage bei "Sumup", dem Hersteller des im Video verwendeten
NFC-Terminals, wurde mir sinngemäß erklärt, dass das in der Praxis nicht
funktionieren würde, da die ausgeführten Transaktionen als
Betrugsversuche auffallen würden. Wie sie das machen, wurde nicht
gesagt, aber es ist nicht all zu schwer, sich eine Erkennung
vorzustellen - etwa kurz hintereinander viele Buchungen mit kleinen
Beträge, die über ein erst kurz freigeschaltetes Terminal erfolgen, dass
sich langsam durch eine Fußgängerzone oder ähnliche Ort bewegt, wo viele
Menschen unterwegs sind. Die Position ist per GPS feststellbar.

>


Auch hier: das Risiko, das sowas real in größerem Maßstab passiert *und*
man selbst betroffen ist *und* das Kreditkartenunternehmen dann partout
den Schaden nicht tragen will, obwohl öffentliche Berichte über eine
Lücke existieren, die VISA auch nicht abstreitet, dürfte gegen Null gehen.
Matthias Hanft (26.09.2019, 09:36)
Thomas Buchholz schrieb:
> [Kommentarlose Links zu Fernsehshows]


Na gut, sowas hab ich auch, aber von jemandem, der's wissen muss:



Gruß Matthias.
Arno Welzel (26.09.2019, 17:19)
Matthias Hanft:

> Thomas Buchholz schrieb:
>> [Kommentarlose Links zu Fernsehshows]

> Na gut, sowas hab ich auch, aber von jemandem, der's wissen muss:
>


Was hat eine Pressemeldung von VISA mit dem Titel "Wie die Deutschen
mobil bezahlen und was sie darüber wissen" damit zu tun, wie sicher
Kreditkarten mit NFC vor Mißbrauch sind? Dort werden auch nur
Behauptungen über "Mythen" aufgestellt, ohne wirkliche Belege zu liefern.
Matthias Hanft (26.09.2019, 19:04)
Arno Welzel schrieb:
> Was hat eine Pressemeldung von VISA mit dem Titel "Wie die Deutschen
> mobil bezahlen und was sie darüber wissen" damit zu tun, wie sicher
> Kreditkarten mit NFC vor Mißbrauch sind? Dort werden auch nur
> Behauptungen über "Mythen" aufgestellt, ohne wirkliche Belege zu liefern.


Ich finde schon, dass das relevant ist. Es steht z.B. drin, dass
die Händler - oder eben auch Betrüger - keinerlei persönliche
Daten bekommen und dass etwaige Betrugsopfer eben *nicht* auf
den Kosten sitzen bleiben. Im Fernsehen wird ja (ob der Geld-
klau nun - wie normalerweise grundsätzlich in TV und Radio,
sonst wär's ja nicht spannend und aufregend - getürkt ist
oder nicht) immer Panik verbreitet, dass man neue Technologien
meiden solle wie der Teufel das Weihwasser, weil man sonst
sein gesamtes Vermögen verlöre. Das hat der "ARD Ratgeber
Technik" schon vor 30 Jahren verbreitet, als man noch Akustik-
koppler verwendete: Machen Sie bloß kein Btx (und schon gar
keine Bankgeschäfte damit): Sie werden ausgeraubt bis aufs
letzte Hemd, Sie verlieren Ihr gesamtes Vermögen, alles
Teufelszeug!

Fernsehen lügt. Immer.

Ansonsten stimme ich deinem zweiten Absatz aus deinem vorigen
Posting grundsätzlich zu. Irgendwelche Kreditkartentricks, die
man unter Vorliegen zahlreicher Randbedingungen im Laborversuch
erfolgreich zelebriert, spielen im Real Life eine so unwichtige
Rolle, dass ich mit dem Restrisiko gerne zu leben bereit bin.

Gruß Matthias.
Arno Welzel (26.09.2019, 20:32)
Matthias Hanft:

> Arno Welzel schrieb:
> Ich finde schon, dass das relevant ist. Es steht z.B. drin, dass
> die Händler - oder eben auch Betrüger - keinerlei persönliche
> Daten bekommen und dass etwaige Betrugsopfer eben *nicht* auf
> den Kosten sitzen bleiben. Im Fernsehen wird ja (ob der Geld-


Dass man den Abbuchungen widersprechen kann, um sein Geld wieder zu
bekommen, hat auch der SWR nicht bestritten. Das Geld ist dennoch
erstmal weg und das fällt frühestens bei der Kontrolle der
Kartenabrechnung auf, wenn man nicht bei einer Bank ist, die jede
Transaktion per SMS, E-Mail o.Ä. mitteilt.

> klau nun - wie normalerweise grundsätzlich in TV und Radio,
> sonst wär's ja nicht spannend und aufregend - getürkt ist
> oder nicht) immer Panik verbreitet, dass man neue Technologien
> meiden solle wie der Teufel das Weihwasser, weil man sonst
> sein gesamtes Vermögen verlöre. Das hat der "ARD Ratgeber
> Technik" schon vor 30 Jahren verbreitet, als man noch Akustik-
> koppler verwendete: Machen Sie bloß kein Btx (und schon gar
> keine Bankgeschäfte damit): Sie werden ausgeraubt bis aufs
> letzte Hemd, Sie verlieren Ihr gesamtes Vermögen, alles
> Teufelszeug!


So ein Unsinn!

Abgesehen davon hat der CCC - und nicht das Fernsehen! - damals ja
eindrucksvoll demonstriert, wie eine Sicherheitslücke bei BTX ausgenutzt
werden konnte, um sechsstellige Beträge von einem Anbieter abzubuchen:

<https://www.spiegel.de/geschichte/btx-hack-1984-angriff-der-ccc-hacker-gegen-die-bundespost-a-1002443.html>

<https://www.youtube.com/watch?v=TOflxejp4Z4>

Bei dem Beitrag des SWR geht es darum, die Leute zu informieren, dass
per NFC auch potentiell Betrug möglich ist. Und wer viel mit der
Kreditkarte bezahlt und die Kartenabrechnungen nicht genau kontrolliert,
dem fällt u.U. auch gar nicht auf, dass da irgendwo man 5 oder 10 EUR
einfach so abgebucht wurden. Das man deswegen Kreditkarten mit NFC gar
nicht benutzen soll, wurde da nirgends gesagt - nur dass man sie nicht
ungeschützt mit sich führen sollte.

> Fernsehen lügt. Immer.


Wo lügt der SWR denn?

Das vom SWR verwendete Kartenterminal kann man hier kaufen:
<https://sumup.de>

Und ja - Abbuchungen per NFC sind damit auch mobil möglich. Die Frage
ist nur, wie lange das gut geht, bevor Sumup den Account sperrt, weil
viele Transaktionen rückgebucht werden oder das Muster der Buchungen auf
einen Betrug deutet.
Andreas M. Kirchwitz (26.09.2019, 21:24)
Matthias Hanft <mh> wrote:

> Ich finde schon, dass das relevant ist. Es steht z.B. drin, dass
> die Händler - oder eben auch Betrüger - keinerlei persönliche
> Daten bekommen und dass etwaige Betrugsopfer eben *nicht* auf
> den Kosten sitzen bleiben.


Da man Kartenzahlungen ohnehin "rückgängig" machen kann,
auch vor NFC, ist das Zurückerhalten des geklauten Geldes
weniger das Problem.

Hauptproblem ist, dass bei einem Missbrauch der Kunde die
Rennerei hat, und die Kosten ersetzt einem leider niemand.

Man will also Missbrauch von vornherein gering halten,
schließlich hat man besseres mit seiner Lebenszeit zu tun.

Bisher hatten alle Karten-Zahlungen eine kleine Hürde eingebaut,
beispielsweise eine Unterschrift oder eine PIN. Und natürlich die
Karte selbst musste der Dieb auch physisch in die Hände bekommen.

Bei NFC-Zahlungen entfallen alle Hürden. Jeder kann jedem abbuchen,
was er möchte ohne Kontrollen oder physischer Zugriff. Es kann sogar
mit legalen Mitteln versehentlich (!) geschehen. NFC-Zahlungen sind
unkontrollierbar.

Klar, die Opfer können das reklamieren, aber ich würde es
vorziehen, keine Geldbörse zu haben, die jedem offensteht,
sondern es sollte schon irgendeine kleine Hürde geben, eine
bewusste Interaktion von mir, welche eine angeforderte Zahlung
freigibt.

Noch ist NFC neu, Missbrauch ist selten, es gibt genug andere
etablierte Wege, um Leute zu beklauen. Das kann/wird sich ändern.

Mir ist unklar, welcher dumme Bänker überhaupt auf diese fatale
Idee mit kontaktlosem Bezahlen gekommen ist. Den gleichen Komfort
hätte man auch haben können, wenn man weiterhin die Karte in ein
Gerät stecken muss und bei Kleinbeträgen eben keine PIN/Unterschrift
abgefragt wird, nur bei großen. So müsste ein Dieb wenigstens erst
einmal die Karte in seinen Besitz bringen, das wäre eine deutliche
Hürde. Und an der Kasse würde es keinen Unterschied machen, denn
man muss ohnehin die Karte rauskramen und zum Gerät führen. Ob man
die nun reinsteckt oder ranhält, ist ziemlich egal. Die Terminals
hätte man so konstruieren können, dass es egal ist, in welcher
der vier möglichen Varianten man die Karte reinsteckt, dann wäre
selbst dieses Dilemma gelöst.

Kontaktloses Zahlen wird erst im Zusammenhang mit Smartphones
interessant. Dort wiederum kann man zahlreiche Hürden einbauen,
im Gegensatz zur Plastikkarte erlaubt das Smartphone komplexe
Interaktion mit dem Nutzer, bevor es ein Bezahl-Token rausrückt.

Traue keiner Bank ... Andreas
Matthias Hanft (26.09.2019, 21:25)
Arno Welzel schrieb:
> So ein Unsinn!


Natürlich ist das Unsinn. Aber gesendet haben sie's damals
trotzdem, ich hab's selber gesehen. Leider habe ich keine
Betamax-Videocassette mit der Aufzeichnung mehr (oder war's
Video 2000 oder gar SVR von Grundig?).

> Abgesehen davon hat der CCC - und nicht das Fernsehen! - damals ja
> eindrucksvoll demonstriert, wie eine Sicherheitslücke bei BTX ausgenutzt
> werden konnte, um sechsstellige Beträge von einem Anbieter abzubuchen:


Das war aber ein Buffer Overflow in Btx selbst und hat(te)
mit Online-Banking (das man damals über Btx machte) RGN
(Rein Gar Nix) zu tun.

> Wo lügt der SWR denn?


Die behaupten z.B., dass man auch abbuchen könnte, wenn mehrere
Karten gleichzeitig auf die Anfrage des Kartenterminals reagieren.
Das hat jemand mit einem Sumup-Terminal selbst probiert: Es geht
*nicht*. Siehe Diskussion in news:ger.ct - online z.b. hier:

(Da liest und schreibst du doch selbst mit?!)

> Und ja - Abbuchungen per NFC sind damit auch mobil möglich. Die Frage
> ist nur, wie lange das gut geht, bevor Sumup den Account sperrt, weil
> viele Transaktionen rückgebucht werden oder das Muster der Buchungen auf
> einen Betrug deutet.


Sumup sagt doch laut deinem eigenen Posting in

dass das alles sowieso nicht ernsthaft funktionieren würde.

Jedenfalls verwende ich seit Jahren NFC (sowohl als Plastik
als auch im Handy) und habe bisher nur gute Erfahrungen damit
gemacht (außer dass es halt bei manchen Terminals nicht
funktioniert - aber die sind halt noch nicht so weit). Wenn
ich den ersten Betrugsfall habe, kümmere ich mich um
Gegenmaßnahmen. Vorher nicht.

Gruß Matthias.
Andreas M. Kirchwitz (26.09.2019, 21:37)
Matthias Hanft <mh> wrote:

>> Wo lügt der SWR denn?

> Die behaupten z.B., dass man auch abbuchen könnte, wenn mehrere
> Karten gleichzeitig auf die Anfrage des Kartenterminals reagieren.
> Das hat jemand mit einem Sumup-Terminal selbst probiert: Es geht
> *nicht*.


Mehrere Karten sind *kein* Schutz vor Abbuchungen. Es kann
dabei zu einem Clash kommen, muss es aber nicht zwangsweise.

Zudem kann sich jeder sein eigenes NFC-Terminal bauen und
seine eigene Software schreiben. Wenn das Terminal mehrere
Karten sieht, pickt es sich eben eine heraus, statt den
Vorgang abzubrechen. Kann jeder machen, wie er will.

SumUp bietet eine mögliche Implementierung von vielen an.

Es ist schwachsinnig, NFC-Betrug in irgendeiner Form an SumUp
festzumachen. Die Firma hat einfach nur gezeigt, wie kinderleicht
NFC-Zahlung ist und dass man keine teure Technik dafür benötigt.

Diebe halten sich nicht an Regeln und Gesetze.

Grüße, Andreas
Martin Gerdes (27.09.2019, 14:22)
Arno Welzel <usenet> schrieb:


> Dass man den Abbuchungen widersprechen kann, um sein Geld
> wiederzubekommen, hat auch der SWR nicht bestritten.
> Das Geld ist dennoch erstmal weg und das fällt frühestens
> bei der Kontrolle der Kartenabrechnung auf, wenn man nicht
> bei einer Bank ist, die jede Transaktion per SMS, E-Mail o.Ä.
> mitteilt.


Das ist ja letztlich egal.

Wenn man eine "echte" Kreditkarte hat (die Buchungen über den Monat
sammelt und mit einer Monatsrechnung in Rechnung stellt), ist erstmal
das Geld der Kreditkartenfirma weg. Der Kunde bekommt monatlich seine
Rechnung, prüft sie (Wer das nicht tut, ist doof!) und protestiert den
Posten.

Bei einer Debitkarte geht das schneller, da erfährt der Kunde zeitnah
von der fraglichen Buchung.


:-) Bernd Leptihn und die Männchen im Keller, die an der Telefonleitung
lauschen, bis der Kunde BTX macht -- und die Leitung genau dann
unterbrechen, wenn die TAN übertragen wird.

Ich erinnere mich, und die Erinnerung zaubert mir noch heute ein
Schmunzeln aufs Gesicht.

> So ein Unsinn!


Natürlich. Das hat Herrn Leptihn aber nicht daran gehindert, die Story
mit schwerwiegender Miene im TV zu senden.

>Abgesehen davon hat der CCC - und nicht das Fernsehen! - damals ja
>eindrucksvoll demonstriert, wie eine Sicherheitslücke bei BTX ausgenutzt
>werden konnte, um sechsstellige Beträge von einem Anbieter abzubuchen:


><https://www.spiegel.de/geschichte/btx-hack-1984-angriff-der-ccc-hacker-gegen-die-bundespost-a-1002443.html>


Auch daran erinnere ich mich. Anderes Thema.

> Bei dem Beitrag des SWR geht es darum, die Leute zu informieren, dass
> per NFC auch potentiell Betrug möglich ist.


Das ist eine bahnbrechende Information, die man den Leuten natürlich
nahebringen muß. War auch schon einmal eine Sendung über Haustüren,in
der darüber berichtet wurde, daß man Leute im Rahmen von
Haustürgeschäften über den Tisch ziehen kann?

> Und wer viel mit der Kreditkarte bezahlt und die Kartenabrechnungen
> nicht genau kontrolliert, dem fällt u.U. auch gar nicht auf, dass da
> irgendwo mal 5 oder 10 EUR einfach so abgebucht wurden.


Wer das nicht merkt, ist offensichtlich reich genug, auf diese 5 oder 10
Euro zu verzichten. Das mag minimal ärgerlich sein, aber es wird keinen
finanziell normal situierten Mitbürger an den Bettelstab bringen.

Mich hat mal eine Firma mit einem ganz perfiden Trick um etwa einen
Zehner betrogen. Das hat mich überproportional geärgert, letztlich war
der Ärger über den Betrug an sich größer als der finanzielle Schaden.

> Daß man deswegen Kreditkarten mit NFC gar nicht benutzen soll, wurde
> da nirgends gesagt - nur dass man sie nicht ungeschützt mit sich
> führen sollte.


Am letzten Wochenende war ich auf einer "Messe für nachhaltige
Produkte". Eins davon war ein metallisierter Strumpf fürs Handy, das
dessen Strahlung abhalten soll. Klar, das Gadget funktioniert, aber
dafür funktioniert dann halt auch das Telefon nicht.

Das wäre ideal für meine Nachbarin. Die benutzt ihr Handy nur für
abgehende Telefonate und geht nicht dran, wenn ihr Mann sie anruft
("Habe ich nicht gehört, Handy ist immer stumm"). Kann man machen, nimmt
der Technik "Mobiltelefonie" ihren wesentlichen Nutzen.
Martin Gerdes (27.09.2019, 14:22)
"Andreas M. Kirchwitz" <amk> schrieb:

> Mehrere Karten sind *kein* Schutz vor Abbuchungen. Es kann
> dabei zu einem Clash kommen, muss es aber nicht zwangsweise.


> Zudem kann sich jeder sein eigenes NFC-Terminal bauen und
> seine eigene Software schreiben. Wenn das Terminal mehrere
> Karten sieht, pickt es sich eben eine heraus, statt den
> Vorgang abzubrechen. Kann jeder machen, wie er will.


Ja, natürlich. Das KANN jeder machen (der genügend Ahnung von der
Technik hat und genügend Zeit). Vermutlich verdient dieser Mensch aber
mehr mit seiner Expertise, wenn er in der gleichen Zeit einem ganz
normalen Angestelltenjob nachgeht.

>Es ist schwachsinnig, NFC-Betrug in irgendeiner Form an SumUp
>festzumachen. Die Firma hat einfach nur gezeigt, wie kinderleicht
>NFC-Zahlung ist und dass man keine teure Technik dafür benötigt.


>Diebe halten sich nicht an Regeln und Gesetze.


Aber sie stehen nicht über den Naturgesetzen.
Arno Welzel (27.09.2019, 15:27)
Matthias Hanft:

> Arno Welzel schrieb: [...]
>> Wo lügt der SWR denn?

> Die behaupten z.B., dass man auch abbuchen könnte, wenn mehrere
> Karten gleichzeitig auf die Anfrage des Kartenterminals reagieren.


Nicht nur behaupten - sie haben es ja auch konkret gezeigt.

In

ab ca. 4:00).

Vielleicht war das auch nur ein Trick und der SWR betreibt hier mit
unlauteren Methoden Zuschauertäuschung. In diesem Fall wäre eine
offizielle Beschwerde an den Rundfunkrat angemessen.

> Das hat jemand mit einem Sumup-Terminal selbst probiert: Es geht
> *nicht*. Siehe Diskussion in news:ger.ct - online z.b. hier:
>
> (Da liest und schreibst du doch selbst mit?!)


Nein, in ger.ct lese und schreibe ich nicht mit. Wie kommst Du darauf?
Arno Welzel (27.09.2019, 15:33)
Martin Gerdes:

> Arno Welzel <usenet> schrieb: [...]
> Das ist eine bahnbrechende Information, die man den Leuten natürlich
> nahebringen muß. War auch schon einmal eine Sendung über Haustüren, in
> der darüber berichtet wurde, daß man Leute im Rahmen von
> Haustürgeschäften über den Tisch ziehen kann?


Nur weil Du bescheid weißt, gilt das noch längst nicht für die
allgemeine Bevölkerung. Ich bezweifele stark, dass den meisten Leuten
klar ist, was NFC konkret bedeutet.

>> Und wer viel mit der Kreditkarte bezahlt und die Kartenabrechnungen
>> nicht genau kontrolliert, dem fällt u.U. auch gar nicht auf, dass da
>> irgendwo mal 5 oder 10 EUR einfach so abgebucht wurden.

> Wer das nicht merkt, ist offensichtlich reich genug, auf diese 5 oder 10
> Euro zu verzichten. Das mag minimal ärgerlich sein, aber es wird keinen
> finanziell normal situierten Mitbürger an den Bettelstab bringen.


"An den Bettelstab bringen" hat auch niemand behauptet - auch der SWR
nicht. Es ging einzig darum, dass Abbuchungen per NFC möglich sind.

[...]> Das wäre ideal für meine Nachbarin. Die benutzt ihr Handy nur für
> abgehende Telefonate und geht nicht dran, wenn ihr Mann sie anruft
> ("Habe ich nicht gehört, Handy ist immer stumm"). Kann man machen, nimmt
> der Technik "Mobiltelefonie" ihren wesentlichen Nutzen.


Nein - nur *einen* Nutzen. Der andere, dass man jederzeit von unterwegs
aus Leute anrufen kann, ist ja weiterhin gegeben oder im Falle eines
Smartphones, dass man jederzeit bei Bedarf E-Mail, Websites etc. nutzen
kann.
Matthias Hanft (27.09.2019, 16:09)
Arno Welzel schrieb:
> Nicht nur behaupten - sie haben es ja auch konkret gezeigt.
> In
>
> ab ca. 4:00).


Ja, hab ich gesehen.

> Vielleicht war das auch nur ein Trick und der SWR betreibt hier mit
> unlauteren Methoden Zuschauertäuschung. In diesem Fall wäre eine
> offizielle Beschwerde an den Rundfunkrat angemessen.


Beweise, Watson, Beweise! Die drehen bzw. schneiden das schon so,
dass man offiziell nix nachweisen kann.

Ich persönlich glaub jedenfalls gar nix mehr, was ich im Fernsehen
seh. (Im Radio auch nicht, seit ich von einem Reporter, der "eine
Umfrage in der Fußgängerzone" gemacht hat, weiß, dass er sich einfach
mit ein paar Kumpels daheim oder sonstwo unhterhalten hat und das
Umgebungsgeräusch später dazugemischt hat. Extra deswegen fort und
fremde Leute anquasseln? Nö, wozu denn?)

> Nein, in ger.ct lese und schreibe ich nicht mit. Wie kommst Du darauf?


Oh, sorry, dachte, da hätte ich dich gesehen. Aber da hab ich wohl
nur in dieser unsäglichen Google-Suche nicht auf die Newsgroup meiner
Suchtreffer geachtet.

Gruß Matthias.
Michael Kallweitt (27.09.2019, 18:41)
Martin Gerdes <martin.gerdes> schrieb:

> Der Kunde bekommt monatlich seine Rechnung, prüft sie (Wer das nicht
> tut, ist doof!) und protestiert den Posten.
> Bei einer Debitkarte geht das schneller, da erfährt der Kunde zeitnah
> von der fraglichen Buchung.


Ich rufe die Buchungen auf meinem Kartenkonto täglich per Online-Banking
ab (GLS-Bank, sollte aber bei allen Genossenschaftbanken funktionieren).