comdirect

Vielen Dank für deine schnelle Antwort.

Nja das Kopieren ist ja laut forbes.com möglich:

http://www.forbes.com/sites/thomasbrewster/2015/02/18/android-app-clones-cards/#7002dbdf361d

Und ein Prozessor zu kopieren ist weit aus schwieriger, die kannst du ja nicht einfach auf einen Leser legen und sagen hier kopier mal das in einen neuen Chip rein.

Die Terminalhalter in Deutschland sind registriert, aber was ist denn wenn du zum Beispiel in einem anderen Land bist? Gut das ist ja jetzt auch weniger warscheinlich.

Mir macht das halt nur die Sorge das man an der Stelle einfach nicht sagen kann, ich will die PIN ab 0 Euro eingeben und fertig ist, warum ist das nicht einfach möglich umzusetzen? Wenn ich die Karte so reinstecke muss ich ja auch die PIn bei jedem Betrag eingeben?

Das mit der Hülle ist schön und nett, werde da auch gleich mal anrufen, aber so ist das auch nur eine Möglichkeit der Symptombekämpfung und warum nicht gleich richtig machen und das Limit herabsetzen.

Habe gerade leider nicht so die zeit den artikel zu lesen, werde es aber auf jedenfall nachholen (habe nur ein wenig überflogen) .

Der eigentliche chip liefert die Information, ob bei der transaktion eine pin eingabe notwendig ist, oder nicht, also müsste dein wunsch beim Herstellungsprozess berücksichtigt werden, das wäre aber ein unverhältnismäßiger logistischer aufwand. (Jeder bank kann selbständig bestimmen, ob und in welchem umfang eine pin lose nfc zahlung möglich ist)

leider kenne ich zahlkartenspezifikationen nicht allzu gut, aber ich meine (komplett unverbindlich natürlich) das die karte die anzahl der Transaktionen zählt, also du auch nachweisen könntest, das nicht alle Umsätze die dir im Betrugsfall belastet wurden, durch deine Karte erfolgt sein können. (Meines wissens nach wird ja auch die anzahl der in folge stattfindenden nfc ofline zahlungen gezählt, sodas die karte irgendwann nur noch mit macht, wenn sie mal online geht, und prüfen darf ob sie nicht gesperrt wurde oder so)

Hallo Zargoras,

moment mal: Was genau heißt es: "zudem bist du ja auch versichert durch die comdirect"?

Wo genau kann ich das aus offiziellen Quellen der comdirect nachlesen, in wie fern beim Mißbrauch von kontaktlosen Zahlen z.B. bei Diebstahl der comdirect-Karte der eigentliche Besitzer versichert wäre?

Gilt hier nicht der übliche Selbsthehalt von 150€?

Außerdem habe ich keine Infos dazu weder via google noch auf der comdirect-website selbst gefunden.

Viele Grüße

dominiks

Zu diesem Thema schwirren leider eine Menge  abstruser Behauptungen durch die Boulevardpresse; wohl auch, weil der typische Boulevard-Journalist wenig Ahnung von Technik hat...

Hier mal ein paar Fakten:

1. Den Kartenchip braucht man nicht zu kopieren; es gibt in Europa nur zwei große Hersteller (NXP und ST Micro), wer drei Karten im Geldbeutel hat, trägt wahrscheinlich zwei identische Chips mit sich herum.
2. Bei der Herstellung der Karte werden die individuellen kartendaten in den Chip geschrieben. Wer die Karte clonen will, muss diese Daten aus Chip auslesen und in die neue Clon-Karte schreiben.
3. Bis jetzt hat es niemand geschafft, die Kartendaten aus dem Chip auszulesen, ohne den Chip zu zerstören.
4. Theoretisch wäre es möglich, den Chip aus der Karte auszubauen, aufzumachen und die Daten auszulesen. Die dazu nötige Ausrüstung (mindestens ein gutes Mikroskop und ein gutes FIB-Gerät) kostet 6-stellige Euro-Beträge. Das lohnt sich angesichts der möglichen Gewinne ganz einfach nicht.
5. Bei youtube findet man Filme, bei denen gezeigt wird, wie man die Kartenantwort auf eine Authorisierungsanfrage mit einem NFC-fähigen Telefon aufnehmen und an an einem kontaktlosen Händlerteminal wieder abspielen kann. Diese Kartenantworten haben nur eine sehr kurze Gültigkeit (einige Sekunden). In den Videos ist teilweise auch zu sehen, dass man mit der aufgezeichneten Antwort nur ein oder zwei Kartenbelastungen durchführen kann. Danach ist die Gültigkeit abgelaufen. Das ist ebenfalls ein nicht praxisrelevanter Fall.
6. Mann kann sich aus zwei Telefonen ein NFC-Relay bauen, d.h. man baut eine  Datenverbindung zwischen den Telefonen auf und übermittelt jeweils die empfangenen Daten an das jeweils andere Telefon, welches diese Daten aussendet. In so einem Fall könnte man das erste Telefon in die Nähe eines  Händlerterminals stellen und das zweite Telefon in unmittelbare Nähe zu einer zu belastenden Karte bringen. Das ist ohne die Mitwirkung des Opfers nicht leicht.    

Ich möchte mich vorab entschuldigen dieses "alte" Thema wieder aufzuwärmen.

Aber ich finde es passt geradezu  auf die u.g Antwort.

Heise.de: https://www.heise.de/ct/artikel/Mit-29-Euro-Zahlterminal-So-leicht-kann-man-Kontaktlos-Karten-abfisc...

VG Richard

Hallo @richard69,

was bedeutet u.g. Antwort, welche meinst Du, die von @dg2210 oder @Luchia?

Der Heise Text geht aber eigentlich in die selbe Richtung wie die Antwort von dg2210
Auzug aus dem Artikel, hervorhebungen durch mich.

"Mit Smartphones oder Smartwatches, auf denen eine NFC-Payment-App wie Google Pay läuft, klappt das unbemerkte Abfischen übrigens nicht: Hier muss man mindestens das Display aktivieren (Android) oder den Fingerabdruck scannen (iPhone), damit die Zahlfunktion freigschaltet wird.

In der kriminellen Praxis dürfte das Kontaktlos-Fischen ohnehin eher problematisch sein: Vor der Nutzung des Zahlterminals muss man ein Girokonto angeben, schließlich muss das Geld irgendwo hin. Und zur Kontoeröffnung benötigt man einen Identitätsnachweis.

Auch die Idee, ein Terminal zu manipulieren und beispielsweise die Feldstärke zu erhöhen, dürfte für Kriminelle schwer umsetzbar sein: Ein Terminal bekommt erst Verbindung zu den Bezahlnetzen der Kartenunternehmen, wenn vorher ein Akzeptanzvertrag geschlossen wurde. Jede heimlich durchgeführte Abzock-Transaktion würde über die Terminal-ID direkt zum Betrüger führen."

Grüße

Eckhard

Hallo @eckhardschnell,

meine Antwort bezieht sich auf @dg2210.

Ja, Mit Smartphones oder Smartwatches, auf denen eine NFC-Payment-App wie Google Pay Klappt es nicht. Gute Nachricht!  Aber Karten mit  NFC Chip ist Vorsicht geboten. Auszug aus dem Artikel, Hervorhebung durch mich.

"...Das Ganze klappte in einem c't-Experiment mit einem Terminal der Firma Sumup ganz ohne Berührung, und zwar nicht nur durch dünne

Sommerhosen, sondern auch durch Jeansstoff oder Leder-Portemonnaies. Ein solches Terminal kann jeder im Netz bestellen, ein Gewerbeschein wird nicht benötigt...."

Ich möchte jetzt keine ausartende Diskussionen über Vor- und Nachteile führen (sorry), aber so schön und leicht mit Kontaklosten bezahlen ist, desto eher sollte man kritisch sein das hier nicht alles sicher ist.

VG richard