1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Visa-Hack: Mehr bezahlen als erlaubt

Kontaktloses Zahlen verteufeln im letzten Absatz... naja

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: katze_sonne 30.07.19 - 17:22

    Das ist relativ. Das klingt jetzt alles so böse und nach "kontaktloses Zahlen ist viel unsicherer als die Karte zu stecken!!!11elf".

    Fakt ist: Die Zahl sagt nicht viel aus, wenn man nicht die Zahlen kennt, wie vorher der Schaden bei kontaktbehaftetem Zahlen aussah.

    Ich war vor Kurzem in Schottland im Urlaub und: Jeder, wirklich JEDER zahlt dort kontaktlos. Der 75-jährige Opa zahl im kleinen Städtchen sein Ticket beim Busfahrer wie? Natürlich mit Karte, kontaktlos. Die Oma vor mir an der Kasse? Kontaktlos.

    Wenn jeder kontaktlos zahlt, können natürlich auch nur "kontaktlos" Schäden entstehen.

    Leider wird nicht genauer spezifiziert, welche Art von Schäden das sind. Vermutlich wurde da mit gestohlenen Karten kurz eingekauft? Oder wie?

    (ich will damit natürlich nicht die hier aufgezeigte Sicherheitslücke verharmlosen, die gehört gefixt - aber das ist ja eher ein Fehler beim Protokoll / der Implementierung als beim kontaktlosen Zahlen an sich)

  2. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: wonoscho 30.07.19 - 17:42

    Aus logischen Gründen ist es nicht möglich, die konkrete Schadens-Summe einer neu entdeckten Sicherheitslücke zu benennen.

    Wenn du an einer Treppe das Geländer abmontierst dann weißt du zwar dass dadurch ein Gefahrenpotential entsteht. Aber erst z.B. nach einem Jahr kannst du konkret sagen, wieviele Personen dort runter gefallen sind.. .



    4 mal bearbeitet, zuletzt am 30.07.19 17:49 durch wonoscho.

  3. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: LinuxMcBook 30.07.19 - 19:43

    Interessant wäre auch auch noch eine Aufteilung des Schadens zwischen kontaktloser Zahlung mit Karte und mit Smartphone.

    Bei einer verlorenen Kreditkarte ist man wirklich aufgeschmissen, bis zur Sperre gehen ja ein paar Zahlungen bis 25¤.

    Beim Smartphone muss das Gerät aber IMMER entsperrt sein, daher ist diese Methode viel sicherer.

  4. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: Jakelandiar 30.07.19 - 20:09

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------
    > Beim Smartphone muss das Gerät aber IMMER entsperrt sein, daher ist diese
    > Methode viel sicherer.

    Nein. Steht auch im Artikel. Beim Smartphone geht es bis zu dem Grenzbetrag ohne entsperrung des Geräts.
    Bei höheren Beträgen muss das Smartphone entsperrt werden, aber keine PIN eingegeben werden am Gerät selbst.

  5. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: LinuxMcBook 30.07.19 - 20:12

    Ja ok, mit "immer" mit der Einschränkung, dass es diese MITM Attacke gibt.
    Aber zum einen kann der 0815 Gelegenheitsdieb oder Junkie eben nicht so ohne weiteres mit dem Smartphone zahlen, mit einer Karte aber schon.

    Und zum anderen scheint die im Artikel genannte Sicherheitslücke ja Mastercard nicht zu betreffen.

  6. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: robinx999 30.07.19 - 20:14

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------
    > Interessant wäre auch auch noch eine Aufteilung des Schadens zwischen
    > kontaktloser Zahlung mit Karte und mit Smartphone.
    >
    > Bei einer verlorenen Kreditkarte ist man wirklich aufgeschmissen, bis zur
    > Sperre gehen ja ein paar Zahlungen bis 25¤.
    >
    > Beim Smartphone muss das Gerät aber IMMER entsperrt sein, daher ist diese
    > Methode viel sicherer.

    Das großgeschriebene "IMMER" stimmt aber nicht

    https://www.golem.de/news/zahlen-mit-smartphones-im-alltagstest-sparkassenkunden-muessen-nicht-auf-google-pay-neidisch-sein-1809-136537-2.html

    Wobei man zwar mehrere Zahlungen tätigen kann AFAIK aber ist die Maximal Summe die man so zusammen bekommen kann bei 100¤ gedeckelt, zumindest bei den meisten Instituten dann wird die PIN verlangt.

    Und sofern mir nur die Karte gestohlen wird und ich es nicht bemerke, ich persönlich würde eine Pushnachricht auf das Handy bekommen von meiner Visa Card und eine SMS von Amex beides geschieht nach meinen bisherigen Nutzungen innerhalb von einer Minute nach dem Bezahlvorgang, dann würde ich es bemerken und die Karte sperren, sofern das Handy nicht auch weg ist.

  7. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: Jakelandiar 30.07.19 - 20:24

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------
    > Ja ok, mit "immer" mit der Einschränkung, dass es diese MITM Attacke gibt.

    NEIN. Ich nutze selbst Google Pay. Es geht OHNE entsperrung bis zu dem Betrag. DANACH geht es mit der MITM Attacke.

    Das ohne entsperrung gezahlt werden kann ist normal.

    > Aber zum einen kann der 0815 Gelegenheitsdieb oder Junkie eben nicht so
    > ohne weiteres mit dem Smartphone zahlen, mit einer Karte aber schon.

    Doch kann er.

    > Und zum anderen scheint die im Artikel genannte Sicherheitslücke ja
    > Mastercard nicht zu betreffen.

    Korrekt. Aber das hilft nur bei der Attacke um zu verhindern mehr als z.B. die 50 Euro zu Zahlen. Dadrunter hilft es auch da nicht. Wobei ich nicht weiß wie die Limits bei Mastercard sind.

  8. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: katze_sonne 30.07.19 - 21:22

    Jakelandiar schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Beim Smartphone muss das Gerät aber IMMER entsperrt sein, daher ist
    > diese
    > > Methode viel sicherer.
    >
    > Nein. Steht auch im Artikel. Beim Smartphone geht es bis zu dem Grenzbetrag
    > ohne entsperrung des Geräts.
    > Bei höheren Beträgen muss das Smartphone entsperrt werden, aber keine PIN
    > eingegeben werden am Gerät selbst.

    Das gilt so für Google Pay. Bei Apple Pay muss man sich vor jeder Zahlung authentifizieren. Bei älteren Geräten per Fingerabdruck, bei neueren per FaceID. Bei der Watch halt bis man sie abgenommen hat.

    Allgemein ist das wesentlich besser umgesetzt als Google Pay, keine Ahnung, warum Google das nicht auch so macht. Und ja, ich hab beide Systeme verwendet, bin von Google Pay zu Apple Pay. Gerade letzteres ist per Watch einfach nur geil.

  9. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: Legacyleader 30.07.19 - 21:44

    Kann das sein das das Smartphone Hersteller abhängig ist? Mein Mi Mix 3 muss zwar nicht entsperrt werden aber der Display muss an sein sonst geht es nicht.

    Ich hasse Computer!

  10. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: My1 30.07.19 - 23:46

    Legacyleader schrieb:
    --------------------------------------------------------------------------------
    > Kann das sein das das Smartphone Hersteller abhängig ist? Mein Mi Mix 3
    > muss zwar nicht entsperrt werden aber der Display muss an sein sonst geht
    > es nicht.

    das hat wahrscheinlich weniger was mit kontaktlos zutun als dass NFC ggf auch wegen energie ganz aus ist wenns display aus ist. hatte mein Galaxy Note 3 oder 4 iirc auch.

    Asperger inside(tm)

  11. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: Spaghetticode 31.07.19 - 08:17

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------
    > Bei einer verlorenen Kreditkarte ist man wirklich aufgeschmissen, bis zur
    > Sperre gehen ja ein paar Zahlungen bis 25¤.

    Bei meiner DKB-Kreditkarte gehen PIN-los anscheinend beliebig viele Zahlungen, solange sie jeweils unter 35 ¤ bleiben.

  12. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: chefin 31.07.19 - 08:29

    My1 schrieb:
    --------------------------------------------------------------------------------
    > Legacyleader schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Kann das sein das das Smartphone Hersteller abhängig ist? Mein Mi Mix 3
    > > muss zwar nicht entsperrt werden aber der Display muss an sein sonst
    > geht
    > > es nicht.
    >
    > das hat wahrscheinlich weniger was mit kontaktlos zutun als dass NFC ggf
    > auch wegen energie ganz aus ist wenns display aus ist. hatte mein Galaxy
    > Note 3 oder 4 iirc auch.

    Wie groß ist den die Batterie im NFC-Modul der Kreditkarte?

    Tja...oder NFC geht ohne eigene Stromversorgung....was wohl wahrscheinlicher ist.

    Wenn man sich den Thread hier durchliest, wissen zwar alle was NFC ist, aber nicht wie es eigentlich funktioniert. Jeder reimt sich im Kopf irgendwas zusammen und denkt, das müsste es sein. NFC ist ja erstmal passiv, also ähnlich RFID, ein Sendemodul induziert Leistung in den chip und damit wird ein Arbeitsprozess gestartet.

    Aber es kann auch aktiv benutzt werden, dann musss natürlich das Handy Energie dort hin liefern. Welchen Vorteil das bietet erschliesst sich mir dabei nicht, aber die Nachteile sind ein höherer Stromverbrauch. Ich kann nicht 100% sagen, das nur passiv zum einsatz kommt, aber bei meinem Note 4 erkenne ich die Empfangsspule mit der induzierter Strom benutzt wird. Also das ist definitiv passiv. Wird übrigens im Akku mitgeführt, da dieser sonst der Empfangsantenne im weg wäre, wäre sie im Handy Motherboard verbaut.

    NFC ist aber als Komfortfunktion grundsätzlich anfälliger per Design als die meisten anderen Methoden. Am sichersten ist immer noch Bargeld. Dazu muss ein Täter seinen Arsch in die Schusslinie bringen. Und wir wissen doch"...das ist doch kein Messer...DAS ist ein Messer".

  13. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: jkow 31.07.19 - 08:37

    wonoscho schrieb:
    --------------------------------------------------------------------------------
    > Aus logischen Gründen ist es nicht möglich, die konkrete Schadens-Summe
    > einer neu entdeckten Sicherheitslücke zu benennen.

    Und welche logischen Gründe führst Du heran, dass man ohne Kenntnis konkreter Zahlen (von "Schadenssumme" sprach niemand) zu Aussage "Tatsache ist, dass der kontaktlose Betrug zunimmt" kommt?

  14. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: robinx999 31.07.19 - 10:42

    Spaghetticode schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bei einer verlorenen Kreditkarte ist man wirklich aufgeschmissen, bis
    > zur
    > > Sperre gehen ja ein paar Zahlungen bis 25¤.
    >
    > Bei meiner DKB-Kreditkarte gehen PIN-los anscheinend beliebig viele
    > Zahlungen, solange sie jeweils unter 35 ¤ bleiben.

    Dies ist untypisch. Einige Kreditkarten haben zwar ein Limit bis 50¤ aber eigentlich haben soweit mit bekannt ist eigentlich alle eine gesamt Summe auf die sie anspringen, wobei diese Summe definitiv von einigen Ereignissen zurückgesetzt wird z.B.: das Einstecken der Kreditkarte und nutzen der Pin führt zu einem Reset des Zähler

  15. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: My1 31.07.19 - 11:29

    chefin schrieb:
    --------------------------------------------------------------------------------
    > My1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Legacyleader schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Kann das sein das das Smartphone Hersteller abhängig ist? Mein Mi Mix
    > 3
    > > > muss zwar nicht entsperrt werden aber der Display muss an sein sonst
    > > geht
    > > > es nicht.
    > >
    > > das hat wahrscheinlich weniger was mit kontaktlos zutun als dass NFC ggf
    > > auch wegen energie ganz aus ist wenns display aus ist. hatte mein Galaxy
    > > Note 3 oder 4 iirc auch.
    >
    > Wie groß ist den die Batterie im NFC-Modul der Kreditkarte?
    >
    > Tja...oder NFC geht ohne eigene Stromversorgung....was wohl
    > wahrscheinlicher ist.

    eine KK hat keinen strom vom NFC, jedoch hat ein Handy auch die möglichkeit NFC tags oder so zu lesen also hat ein Handy einen Aktiven NFC chip drin.

    > Wenn man sich den Thread hier durchliest, wissen zwar alle was NFC ist,
    > aber nicht wie es eigentlich funktioniert. Jeder reimt sich im Kopf
    > irgendwas zusammen und denkt, das müsste es sein. NFC ist ja erstmal
    > passiv, also ähnlich RFID, ein Sendemodul induziert Leistung in den chip
    > und damit wird ein Arbeitsprozess gestartet.
    >
    > Aber es kann auch aktiv benutzt werden, dann musss natürlich das Handy
    > Energie dort hin liefern. Welchen Vorteil das bietet erschliesst sich mir
    > dabei nicht, aber die Nachteile sind ein höherer Stromverbrauch. Ich kann
    > nicht 100% sagen, das nur passiv zum einsatz kommt, aber bei meinem Note 4
    > erkenne ich die Empfangsspule mit der induzierter Strom benutzt wird. Also
    > das ist definitiv passiv. Wird übrigens im Akku mitgeführt, da dieser sonst
    > der Empfangsantenne im weg wäre, wäre sie im Handy Motherboard verbaut.

    ja es kann und beim Handy wird es aktiv genutzt, dazu kommt dass natürlich es beim energie sparen ja nicht nur um NFC an sich geht sondern auch bspw dass die CPU geweckt werdenb muss oder so.

    > NFC ist aber als Komfortfunktion grundsätzlich anfälliger per Design als
    > die meisten anderen Methoden. Am sichersten ist immer noch Bargeld. Dazu
    > muss ein Täter seinen Arsch in die Schusslinie bringen. Und wir wissen
    > doch"...das ist doch kein Messer...DAS ist ein Messer".

    naja bargeld kann man verlieren, bei ner EC Karte die nur nen kontaktchip hat braucht man die karte und die PIN.

    Asperger inside(tm)

  16. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: Marco22 31.07.19 - 13:56

    Nein, G-Pay geht nicht immer. Wer so dumm ist und in der App nicht einstellt, dass das Handy entsperrt sein muss, ist selbst dran Schuld. Ich habe das nämlich eingestellt und muss es jedes mal dann per Fingerabdruck oder PIN entsperren :) Also es ist dann Eigenverschulden.

  17. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: Jakelandiar 31.07.19 - 15:47

    Marco22 schrieb:
    --------------------------------------------------------------------------------
    > Nein, G-Pay geht nicht immer. Wer so dumm ist und in der App nicht
    > einstellt, dass das Handy entsperrt sein muss, ist selbst dran Schuld. Ich
    > habe das nämlich eingestellt und muss es jedes mal dann per Fingerabdruck
    > oder PIN entsperren :) Also es ist dann Eigenverschulden.

    Das hab ich gehört. Die Einstellung dazu such ich noch.

  18. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: katze_sonne 31.07.19 - 16:10

    Spaghetticode schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bei einer verlorenen Kreditkarte ist man wirklich aufgeschmissen, bis
    > zur
    > > Sperre gehen ja ein paar Zahlungen bis 25¤.
    >
    > Bei meiner DKB-Kreditkarte gehen PIN-los anscheinend beliebig viele
    > Zahlungen, solange sie jeweils unter 35 ¤ bleiben.

    Kann ich nicht bestätigen. Früher war das Limit ja 25¤ - und meine Erfahrung war da: Sobald man ungefähr diese 25¤ am Tag überschritten hatte, musste man eine PIN eingeben. Jetzt beträgt das Limit ja 50¤. Ich denke mal, dass das da ähnlich sein wird. Vielleicht beträgt das Limit dann irgendwie 70¤ pro Tag oder so (+ noch andere Fraud Detection Algorithmen). Und das Limit wird vermutlich zurückgesetzt sobald: Neuer Tag oder Karte gesteckt.

    Oder hast du wirklich am Tag schon mal 3x 35¤ zahlen können ohne ne PIN einzugeben?

  19. Re: Kontaktloses Zahlen verteufeln im letzten Absatz... naja

    Autor: Kurohyou 02.08.19 - 11:40

    Das ist abhängig vom Mobile Payment-System, nicht vom Hersteller.
    Apple Pay und Samsung Pay müssen immer mit Fingerabdruck/FaceID freigegeben werden. Es gibt keinen Mindestbetrag wie bei einer physischen Karte. Missbrauch wie hier beschrieben ist ausgeschlossen.
    Dann gibt es halt schlecht implementierte Verfahren, wie Google Pay und wohl auch das Sparkassen-Ding. Dort muss für kleine Beträge nur das Display an sein. Hier kann die MITM-Attacke angewendet werden. Erst bei grösseren Beträgen muss eine weitere Authentifizierung erfolgen. Auf deinem Xiaomi verwendest du sicher GPay oder das Sparkassen-Ding.

    Einfache Lösung: Nur noch virtuelle Karten verwenden und ein vernünftiges Mobile Wallet wie Apple Pay oder Samsung Pay verwenden. Dann ist man auf der sicheren Seite.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. Die Autobahn GmbH des Bundes, Krefeld
  3. Analytic Company GmbH, Hamburg
  4. Allianz Deutschland AG, München Unterföhring

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Angebote zu Spielen, PC- und Konsolen-Zubehör, Laptops, Monitore, Fernsehern uvm.)
  2. (u. a. Viewsonic VX2718 27 Zoll Curved WQHD 165Hz für 253,99€, Samsung G7 27 Zoll QLED Curved...
  3. (u. a. Raspberry Pi 400 Mini-PC für 71,90€, Biostar B560GTQ Mainboard für 139,90€, Biostar...
  4. (u. a. Akku-Bohrhammer für 306,99€, Akku-Winkelschleifer für 193,30€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme