Eher gefährlich für Geschäfte als für Kunden?

So wie ich den Artikel gelesen habe, besteht der 'Trick' ja darin, dass man dem Terminal vorgaukelt, der PIN wäre verifiziert worden.

Relevant für Transaktion des Geldes dürfte aber auf keinen Fall das Terminal sein, sondern nur der Server des Bankensystems.

Folglich müssten hier eigentlich ja die Geschäfte (also die inhaber der Terminals) geprellt werden und nicht die Kunden, denn eine Geldtrasaktion dürfte gar nie stattfinden, legidlich den Geschäften würde vorgegakuelt werden, dass dies der Fall war.

Nun ist es natürlich möglich (und auch dieser Eindruck wird im Artikel erweckt), dass hier TROTZDEM die Kunden die Betroffenen sind, d.h. ihr Geld abgebucht wird.
Dann ist dies aber ein eindeutiges Zeichen dafür, dass das gesamte System nicht nur irgend eine komplizierte Sicherheitslücke hat, sondern VON GRUND AUF FEHLERHAFT konzeptioniert wurde. Und zwar in einer dermassen krassen Weise, dass jedes Kiddie mit einem "Sicherheitsregeln für Dummies" Buch es hätte besser machen müssen.
Aber das kann ich mir fast nicht vorstellen...

Um noch etwas zu verdeutlichen was ich meine:

So wie ich mir eine Zahlung mit EC im Geschäft vorstelle:

- Die Kasse meldet ans EC-Terminal den Betrag für den der Kunde eingekauft hat.
- Der Kunde schiebt seine EC-Karte ein und muss seinen PIN eingeben.
- Das Terminal schickt Kartendaten, Betrag & PIN an den Bankenserver, dieser überprüft ob Kartendaten und PIN korrekt sind.
- Falls ja, bucht er den Betrag ab und schickt ans Terminal ein OK. Der Kunde kriegt seine Quittung und die Waren und geht.
- Falls nein, buht er nichts ab und schickt ans Terminal einen Fehler. Der Kunde kriegt keine Waren vom Geschäft.

Wenn nun dem TERMINAL irgendwie vorgegaukelt wird, dass der PIN verifiziert wurde, obwohl dies nicht der Fall war, dann ist eigentlich eher das Terminal als die Karte unsicher. Und wichtiger für den Karteninhaber: Von seinem Konto dürfte nie etwas abgebucht worden sein, denn es hat sich ja nicht der Bankenserver sondern das Terminal verarschen lassen, der Schaden würde beim Geschäft liegen, welches nie sein Geld überwiesen kriegt.


Nun scheint aber wie gesagt der Fall irgendwie anders zu liegen... oder zumindest erweckt der Artikel diesen EIndruck. Nur farge ich mich dann: Wie?
Wieso sollte die Bank/der Bankserver eine Auszahlung von Geld vornehmen, wenn dies nicht mit Karte und PIN autorisiert wurde?
Für die Autorisierung müsste ja die Bank zuständig sein und nicht das Terminal. (Alles andere wäre schon konzeptuell absoluter Wahnsinn, das muss jedem Kind klar sein...)

Das Verfahren ist glaube ich etwas anders.
Das Terminal bekommt ein OK und die Buchung erfolgt dann gesammelt von einem System, z.B. einmal am Tag.

Jetzt ist natürlich die Frage, ob für die buchende Bank, die Transaktion gültig ist und demnach gebucht wird oder nochmal die PIN-Verfizierung kommmt (was ich eher nicht denke).

Dann hättest du als Kunde auch wieder die Arschkarte, weil die Bank in ihrem Protokoll nur stehen hat. PIN verifiziert.

Naja - aber es geht ja nicht um 'noch einmal verifizieren'... die Bank hat den PIN ja gar nie verifiziert. Also sollte im Protokoll der Bank auch nie 'PIN verifiziert' stehen, höchstens im Protokoll des Terminals.

Wenn dann also das System am Ende des Tages alle Buchungen durchführen will, müsste die Bank sagen 'moment, für diese Buchung haben wir heute aber nie einen PIN verifiziert'.
Denn ich hoffe doch schwer, dass das Terminal/Geschäft nicht einfach ankommen kann und sagen "hey, hier ist die Sammelbuchung für heute, ihr habt alles verifiziert" und das System der Bank prüft nicht, ob das tatsächlich verifiziert wurde. Wenn dem so wäre, wäre dem Missbrauch Tür und Tor geöffnet, dann könnte ja jedes Geschäft überall beliebig abbuchen und dies noch als 'PIN verifiziert' ausgeben.