Mein Vater schiebt wieder mal seine monatliche Panikattacke wegen Technologie XY. Dieses mal ist es die NFC-Bezahlmöglichkeit mit NFC-fähigen Bankkarten.
Ich glaub ich muss nicht weiter erläutern, dass es mittlerweile überall möglicht ist, kleine Beträge ohne PIN-Eingabe zu zahlen, zumindest hier in Österreich. (NFC am Handy lass ich hier mal außen vor)

Gestern hat er mir ein Video geschickt - ich glaube vom Sender SRW - wo ein Reporter mit einen Cardreader rumläuft und den Leuten damit um Hintern rumwackelt.
Natürlich schafft er es, und kann von ein paar Leuten Geld abbuchen.

Für meinen Vater natürlich genug, um das ganze als eine "himmelschreiende Freiheit" zubetiteln.

Ich zitiere: "Na gut, der Chef in Rumänien geht ja eh nicht "sammeln". Das machen eh seine "professionellen Sammelbanden".
Meiner Meinung nach ist diese elektronische Sammelei eine lohnende Investition, vermutlich es für viele fitte Bettler einfacher Leute kurz anzurempeln, als den ganzen Tag in der Kälte zu sitzen und zu betteln, besonders in der belebten Großstadt.
Einmal kurz anrempeln und ein "tschuldigung"... Wer achtet da auf ein piepsen?"

Nun frage ich mich, wie einfach sich sowas wirklich gestaltet.
Meiner Meinung nach ist das ganze ja mit einem großen technischen Aufwand verbunden, dazu noch Bankkontonten eröffnen und weiß der Teufel ....
und ich kann mir nicht vorstellen, dass man noch immer mit einem 0815-Cardreader random Geld abbuchen kann.

Einerseits ist es hier so simpel zu bezahlen, aber wenn ich mich mittlerweile bei meinem Netbanking einloggen und etwas überweisen möchte, brauche ich meine Verfügernummer, ein Smartphone mit die s Identidy App mit Internetzugang.
Login-Passwort oder TAN-Codes zum bezahlen? alles nicht mehr vorhanden ...

Würde mich freuen, wenn jemand mehr Infos zu dieser Technik und deren Ausnutzbarkeit parat hat.

Ich habe mir so etwas zugelegt. Schützt die Karten auch vor physischen Schäden.

TÜV geprüfte RFID Blocking NFC Schutzhüllen

https://www.amazon.de/dp/B01D8XUWBM/ref=cm_sw_r_cp_apa_i_0a6GDb9CFN6YP

Redest du von Debit-, Kreditkarten oder von prepaid-Verfahren wie girogo (frueher Geldkarte)?

An Terminals kommt man recht leicht ran. Wenn Laeden dicht machen, verkaufen sie den Kram z.T. einfach gebraucht, ohne dass die Registrierung aufgehoben wird. Das Problem ist eher, dass du dafuer ein Konto brauchst und einen Akzeptanzvertrag mit einem acquirer (Bank des Zahlungsempfaengers). Da habe ich keine kriminelle Erfahrung, wie man an sowas ran kommt, und das Geld nachher nicht nachvollziehbar wegschaffen kann.
Dasselbe gilt, wenn man die Terminals einfach mietet, kostet auch nicht die Welt. Die Hardware zu beschaffen ist nicht das Problem. Es gibt auch Geraete, die sehr viel leistungsfaehiger sind als das, was vorgesehen und in den gaengigen Terminals verbaut ist. Dann muss man auch nicht mehr ganz so nah ran.

und ich kann mir nicht vorstellen, dass man noch immer mit einem 0815-Cardreader random Geld abbuchen kann.
Soweit ich weiss, wird auch nicht in dem Sinne Geld "abgebucht", das Terminal fuehrt die Transaktion durch, was auch offline passieren kann, und meldet dem Haendler dass der Kunde "bezahlt" hat. Das Geld ist dann aber nicht sofort vom Kunden zum Haendler gewandert sondern es geht dann eben erstmal ueber die jeweiligen acquirer und issuer-Banken. Ein Zielkonto braucht man also schon.


Unrechtmaessigen Transaktionen kann man, da es hinterher eh ueber eine Lastschrift laeuft, idR. widersprechen und das Geld zurueckholen, dann hat man halt den Aufwand.

Ansonsten datenschutztechnisch bedenklich: girogo Karten listen vergangene Transaktionen, Haendlerkennung, feste, eindeutige Kartenkennung einfach im Vorbeigehen auf.

Das mit den Terminals hatte ich auch mal so oder so ähnlich gelesen. Ein zusätzlicher Schutz soll auch das Vorhandensein von mehreren NFC-Karten sein, weil die Terminals dann abbrechen müssen, wenn sie mehrere NFC-Signale empfangen. Ich habe aber keine Ahnung, ob man das mit manipulierten Geräten umgehen kann.

Kreditkarten sollen datenschutztechnisch bedenklicher sein, weil man wohl die Kartennummer und Ablaufdatum auslesen kann. Diese Infos und eine Dummy-Karte, dann könnte man damit in Ländern einkaufen gehen, wo der EMV-Chip/Terminals (noch) keine Pflicht sind, falls es noch welche gibt.

An Terminals kommt man recht leicht ran. Wenn Laeden dicht machen, verkaufen sie den Kram z.T. einfach gebraucht, ohne dass die Registrierung aufgehoben wird. Das Problem ist eher, dass du dafuer ein Konto brauchst und einen Akzeptanzvertrag mit einem acquirer (Bank des Zahlungsempfaengers). Da habe ich keine kriminelle Erfahrung, wie man an sowas ran kommt, und das Geld nachher nicht nachvollziehbar wegschaffen kann.
Dasselbe gilt, wenn man die Terminals einfach mietet, kostet auch nicht die Welt. Die Hardware zu beschaffen ist nicht das Problem. Es gibt auch Geraete, die sehr viel leistungsfaehiger sind als das, was vorgesehen und in den gaengigen Terminals verbaut ist. Dann muss man auch nicht mehr ganz so nah ran.



Ein Konto bei einer bank im eu-ausland das zum beispiel von sumup (dem Reader im Beitrag), izettle, payleven akzeptiert wird, ist Recht einfach zu bekommen. Revolut oder eines der anderen findet Start-ups mit Banklizenz in Rumänien, Litauen, GB, etc.

Allerdings ist vielen nicht bewusst, dass sie das Geld auch bei ec und Maestro und erst Recht bei kk-anbietern nach einer Anzeige Recht einfach zurück bekommen. Das ganze funktioniert auch nicht sonderlich lange. Denn diese für Fischzüge benutzen Terminals werden von den Anbietern Recht schnell gesperrt. 1, 2, 3 Tage und dann ist das schon rum.

Ist natürlich alles keine Lösung aber alles halb so dramatisch. Beschissen wurde auch ohne NFC genug. Jetzt sind's halt Kleinbeträge.

Die Sendung habe ich auch gesehen.

Mehrere Karten haben gar nichts genützt, man konnte immer noch Beträge abbuchen.

Die konnten auch Beträge von bis zu 100 EUR abbuchen, das hängt von der Bank ab. Als Unterschrift haben die einen Smiley gezeichnet, da wird überhaupt nichts auf Echtheit überprüft.

Man braucht keine speziellen Terminals. Die gibt es in mobiler Form ganz einfach zu kaufen.

Auch lässt sich das kontaktlose Bezahlen nicht abschalten. Das halte ich für einen Skandal. Wer haftet hier eigentlich, wenn tatsächlich ein Schaden entstehen sollte?

Man kann Kontaktloszahlungen schon deaktivieren. Aber den Kontaktloschip eben nicht. Also die Issuing-Bank wird dann sagen, wenn sie eine Kontaktlostransaktion bekommt: Abgelehnt.

Ich weiß nicht wie einfach das ist in Rumänien und co. ein entsprechendes Konto aufzumachen und dann das innerhalb 3 Tage oder so leer räumen. Wenn das bei einer Bank zu oft vor kommt, dann bekommt die Bank Ärger. Also ich glaube, dass das der Punkt ist, der am schwierigsten für Banden ist.

Die Lesegeräte sind kein Problem. Hab schon wo Ankündigungen gelesen, dass da Handys mit NFC reichen.

Man braucht keine speziellen Terminals. Die gibt es in mobiler Form ganz einfach zu kaufen.



Ganz so einfach wie in dem Beitrag dargestellt ist es nicht. Man bekommt zwar das Terminal Recht einfach aber man muss sich und sein Konto natürlich authentifizieren. Hab sumup lang geschäftlich genutzt. Mit ausreichend krimineller Energie und durch einen Strohmann aber durchaus realisierbar.

Zumindest bei der comdirect lässt sich das nicht deaktivieren.

Und es gibt Fälle, wo sogar Zahlungen über 100 EUR ohne weiteres aktzeptiert worden sind. Scheint davon abhängig zu sein, was im Terminal freigegeben wurde.

Ich habe so eine NFC Schutzhülle.
Die ca. 3 € pro Stück waren es mir wert.

Kann man ja mit jedem NFC-fähigen Smartphone testen, ob es funktioniert.

Komme aus der Branche:

Einen Akzeptanzvertrag zu bekommen ist wirklich nicht trivial, das ist schon die größte Hürde.

Dann hat der Acquirer natürlich kein Interesse daran, fraudulent charges zu processen, also sperrt er neue Terminals die komische Muster aufweisen einfach.

Schließlich ist es dann noch so, dass Gelder die auf Händlerkonten eingegangen sind die betrügerisch aufgefallen sind (spätestens nach 2 Tagen hat man da die ersten Meldungen) normalerweise automatisch zurückgebucht werden, ausgezahlt wurden sie zu dem Zeitpunkt auf das Geschäftskonto der Akzeptanzstelle ohnehin noch nicht, das werden sie je nach Vertrag nach 7-30 Tagen.

TLDR: Im Prinzip ja, aber alles außer Mini-Maßstab gibt es nicht, da ist dann der gute alte Taschendiebstahl deutlich lohnender und risikoärmer.

Im Zweifelsfall einfach bei der Bank das NFC-Feature sperren lassen und gut :)

Sollte der Betrag ohne PIN Abfrage nicht nicht eigentlich von der Bank abhängen und ist idR 25€?!
Außerdem haftet dafür doch eh die Bank, auch wegen der neuen Regularien, oder nicht?

Viel sicherer und komfortabler wird IMHO das NFC Zahlen eh mit dem Smartphone mit Fingerprint Reader. Da kann man dann ja normalerweise einstellen welche Bedingungen dafür erfüllt sein müssen (immer/entsperrt/App geöffnet usw.)
Die Karte und Portmonee lass ich mittlerweile zu 99% zu Haus oder im Auto! :tongue:

Bei den Karten selbst sehe ich den Sinn darin sowieso nicht so ganz...ob ich die nun wo rein stecke oder nur davor halte ist am Ende doch irrelevant vom Handling.

Ich habe so eine NFC Schutzhülle.
Die ca. 3 € pro Stück waren es mir wert.

Kann man ja mit jedem NFC-fähigen Smartphone testen, ob es funktioniert.


Man kann die Karte auch dem Smartphone hinzufügen und nur noch damit bezahlen. Die Karten lässt man dann home. Sicherer und bequemer geht es kaum, bzw. kommt das aufs Smartphone an welches man nutzt :wink:

Jaja, der SWR Marktcheck und seine Oma Erschrecker "Experten" ;D

Ganz einfacher Trick, ZWEI NFC-fähige Karte im Geldbeutel tragen und Ruhe ist!
Diese Sniffer können nur einen Tag auslesen und bei zwei Signalen kommt nur Datensalat an.

/Job done

Diese Sniffer können nur einen Tag auslesen und bei zwei Signalen kommt nur Datensalat an.


Dann sollte auch der Perso reichen. :wink:

Jaja, der SWR Marktcheck und seine Oma Erschrecker "Experten" ;D

Ganz einfacher Trick, ZWEI NFC-fähige Karte im Geldbeutel tragen und Ruhe ist!
Diese Sniffer können nur einen Tag auslesen und bei zwei Signalen kommt nur Datensalat an.

/Job done

= Mär

funktioniert auch mit 5 NFC Karten übereinander, ab Minute 3:10

besagte Sendung
LMjHNbRjLCA

Diese Sniffer können nur einen Tag auslesen und bei zwei Signalen kommt nur Datensalat an.

/Job done

Totaler Schmarn. Das einzige was Du erreichst ist das Dein Geld von noch mehr Konten als einem geklaut wird. Karten gehören ins Smartphone kopiert oder die NFC Funktion der Karte deaktiviert. Sonst hast Du keine Sicherheit auch wenn Du 10 davon stapelst. Selbst mit diesen Hüllen da oben ist es unter Umständen nur eine Frage der Entfernung zur Karte.

Ich habe mir eine RFID Blocker Card gekauft und die steckt mitten zwischen den Karten.Mit dem Smartphone gecheckt kommt nix an.
https://www.amazon.de/RFID-Blocker-Schutzkarte-Datendiebstahl-Personalausweis/dp/B06XKKFMV4

Ich habe mir eine RFID Blocker Card gekauft und die steckt mitten zwischen den Karten.Mit dem Smartphone gecheckt kommt nix an.
https://www.amazon.de/RFID-Blocker-Schutzkarte-Datendiebstahl-Personalausweis/dp/B06XKKFMV4

Störsender :biggrin:
Braucht das Teil Batterien?
Sieht interessant aus und passt sogar in meinem I-Clip.

Kannst Du mal richtig nah an die Patte ran gehen mit dem Empfänger? Unter 5 cm und nochmal checken?
Am besten in einer Patte mit mehreren Karten drin oder einem I-Clip?

Störsender :biggrin:
Braucht das Teil Batterien?

Funktioniert wohl wie andere NFC Tags auch. ;) Wird halt durch Induktion vom Auslesegerät gespeist.

Interessant ist nur, dass das mit dem "jamming" zuverlässig funktionieren soll.

Störsender :biggrin:
Braucht das Teil Batterien?
Sieht interessant aus und passt sogar in meinem I-Clip.

Kannst Du mal richtig nah an die Patte ran gehen mit dem Empfänger? Unter 5 cm und nochmal checken?
Am besten in einer Patte mit mehreren Karten drin oder einem I-Clip?
Nein keine Batterien,habe jetzt mal jede Karte einzeln getestet mit der Blocker Karte keine Chance .Telefon direkt auf das Portmonaie keine Chance kommt nix durch,getestet mit 2 EC und 2 Kreditkarten:D.

Nein keine Batterien,habe jetzt mal jede Karte einzeln getestet mit der Blocker Karte keine Chance .Telefon direkt auf das Portmonaie keine Chance kommt nix durch,getestet mit 2 EC und 2 Kreditkarten:D.


Danke!
Habe eben auch eine bestellt. :up:

So eine Panikmache.

Wer seine Geldtasche in der Gesäßtasche aufbewahrt braucht sich nicht wundern wenn er beklaut wird, auch über den "herkömmlichen" Weg.

Ansonsten muss man derart nah dran, dass man schon halbtot sein muss um das nicht zu merken.

NFC ist auf jeden Fall sichererer als Bargeld, wenn dies weg ist dann für immer.

...

Im Zweifelsfall einfach bei der Bank das NFC-Feature sperren lassen und gut :)

Ich konnte dies für meine Karte bei einer Volks/Raiffeisen-Bank am Automat ganz einfach deaktivieren, scheinen aber nicht alle Automaten zu beherrschen - also am besten nach einem "neueren" Modell Ausschau halten.

Gestern hat er mir ein Video geschickt - ich glaube vom Sender SRW - wo ein Reporter mit einen Cardreader rumläuft und den Leuten damit um Hintern rumwackelt.
Natürlich schafft er es, und kann von ein paar Leuten Geld abbuchen.Das Handy rückt Geld raus, ohne, dass man es nochmal bestätigen muss? :|
Wir reden doch vom bezahlen mit dem NFC-Handy?

MfG
Rooter

Nein. Wir reden von Karten mit nfc-chip für kontaktloses bezahlen.

Nur mal so für alle zur Info:
NFC bei der Girokarte, kann man deaktivieren lassen.
NFC bei Kreditkarten, kann man nicht deaktivieren.

Auch kann ich meine NFC Karten übereinander stapeln und dann noch oben drauf mein RFID Chip legen welcher zur Zeiterfassung bei meinem Arbeitgeber genutzt wird, das Zeiterfassungsterminal sucht sich einfach, das richtige raus.

Auch wenn das Video schon zeigte, dass mehrere Karten keinen Schutz haben.....speziell bei deiner Zeiterfassung könnte es auch an der Frequenz liegen. NFC ist bei 13,56 MHz, RFID gibt's aber auch als Low Frequency mit 125 - 135 kHz.

Ich kann z.B. auch meine Girocard & Perso mit dem Handy+NFC-App auslesen, aber meinen Betriebsausweis mit Kontaktlos-Funktion nicht.

Nur mal so für alle zur Info:
NFC bei der Girokarte, kann man deaktivieren lassen.
NFC bei Kreditkarten, kann man nicht deaktivieren

Theoretisch müsste das doch funktionieren wie beim Perso, oder? Einmal auf den Induktionsherd und es hat sich ausgeRFIDet

Auch wenn das Video schon zeigte, dass mehrere Karten keinen Schutz haben.....speziell bei deiner Zeiterfassung könnte es auch an der Frequenz liegen. NFC ist bei 13,56 MHz, RFID gibt's aber auch als Low Frequency mit 125 - 135 kHz.
Stimmt, guter Punkt.

Theoretisch müsste das doch funktionieren wie beim Perso, oder? Einmal auf den Induktionsherd und es hat sich ausgeRFIDet
Ich meine eher was die Banken selber als Service anbieten. Deine Frage müsste mal jemand testen und dann berichten :-D

Theoretisch müsste das doch funktionieren wie beim Perso, oder? Einmal auf den Induktionsherd und es hat sich ausgeRFIDet
Bist du dir sicher, dass man damit nur den NFC-Teil grillt und nicht den gesamten Chip? Der Perso 'funktioniert' ja auch so während eine Kreditkarte sich in ein Stück Plastik mit einer Nummer drauf für Online-Shopping verwandelt.

Zum Thema:
Anscheinend ist NFC nicht besonders sicher, bei uns im Ruhrgebiet gab es unter anderem in meinem Freundeskreis mehrere Fälle, wo die Karte geklaut wurde und dann systematisch leergemacht wurden. Ich hab das Dingen deatktiviert. Und wenn ich mal über NFC bezahlen möchte habe ich immer eine kleine Summe auf meiner Uhr gespeichert, habe ich aber ehrlich gesagt auch noch nie benutzt.
Gruss Matthias

Totaler Schmarn. Das einzige was Du erreichst ist das Dein Geld von noch mehr Konten als einem geklaut wird. Karten gehören ins Smartphone kopiert oder die NFC Funktion der Karte deaktiviert. Sonst hast Du keine Sicherheit auch wenn Du 10 davon stapelst. Selbst mit diesen Hüllen da oben ist es unter Umständen nur eine Frage der Entfernung zur Karte.

Kommt leider die Meldung (iPhone), dass meine 2 EC-Karten und meine beiden VISA (1x Volksbank, 1x Raiffeisenbank und 1x Amazon VISA) nicht unterstützt und deswegen auch nicht kopiert werden können.

Meine Lösung daher: Bei der Bank angerufen und den Kram einfach deaktiviert.

Zum Thema:
Anscheinend ist NFC nicht besonders sicher, bei uns im Ruhrgebiet gab es unter anderem in meinem Freundeskreis mehrere Fälle, wo die Karte geklaut wurde und dann systematisch leergemacht wurden.
Was heißt denn "leergemacht"? Bei mir fragt der bei mehr als 25€ pro Tag immer nach der PIN. Gibt meiner Meinung nach nichts Bequemeres bei kleinen Summen (Fahrscheine, kleine Einkäufe etc). Noch mehr sensible Daten werde ich sicher nicht auf mein Handy kopieren.

Ich meine eher was die Banken selber als Service anbieten. Deine Frage müsste mal jemand testen und dann berichten :-D
Werd ich mal testen. Habe gerade die Bank gewechselt, habe also derzeit eine Kredit- und eine Girokarte über... :)

Edit: kann mir allerdings gut vorstellen, dass das auch dem Magnetstreifen nicht guttut...

Da ich ein neues Portmonnaie benötigte, eins mit RIFD Save gekauft und erfolgreich getestet..

Block hervorragend. Mit dem S9 noch ohne RIFD getestet, ob es in der Lage ist, zwei oder mehrere Karte auszulesen, funktionierte nicht.

https://www.youtube.com/watch?v=BpZkoM944Dg

Hier noch ein gutes Video von ComputerClub