Ob Kreditkarte mit Funkchip oder Google Pay und Apple Pay – mittlerweile nutzen sehr viele Menschen kotaktlose Zahlungsmittel (Sammelbegriff: RFID).
Wie bei jeder (relativ) neuen Technologie, gibt es Skeptiker. Das ist prinzipiell auch gut und richtig, wenn diese Skeptiker aber falsche Informationen über die Gefahren der Kontaktlos-Zahlung verbreiten, dann ist das ziemlich blöd.
So sorgt ein Video gerade für Wirbel in den sozialen Medien, das vor den Gefahren kontaktloser Bezahlungsmittel warnt.
This is why you need an RFID shielded wallet. Be careful !!#InfoSec #Security pic.twitter.com/GHqUWKeTx3
— Khalil (@sehnaoui) May 11, 2019
Zu sehen ist ein Kontaklos-Zahlterminal, das an das Portemonnaie einer unaufmerksamen Person gehalten wird. Dadurch wird offenbar eine Zahlung durch die Kreditkarte des Mannes ausgelöst.
Es ist unklar, ob es sich bei dem Mann, der das Video auf Twitter veröffentlicht hat, auch um den Versuchsleiter handelt. Jedenfalls wirbt er durch das Video eindrücklich für die Nutzung von RFID-geschützten Brieftaschen – Portemonnaies also, die die Funksignale nicht durchlassen.
In der daraus resultierenden Diskussion haben sich sehr viele weitere Skeptiker von NFC-Zahlung geäußert. Apple und Google Pay seien ebenfalls ein Sicherheitsrisiko, heisst es dort.
Die gezeigte Szene bildet allerdings die Realität nicht gut ab.
Aus folgenden Gründen würde sich dieser Betrugsversuch im Alltag so nicht abspielen:
1. Mehrere Funkkarten blockieren sich gegenseitig
Habt ihr mehr als eine Karte im Portemonnaie, die ein Funksignal abgibt, wird das Zahlterminal keine Abbuchung durchführen können.
Bedeutet: Wer mehrere Karten mit Funkchip in der Brieftasche hat (beispielsweise eine McFit Trainingskarte, eine EC-Karte mit NFC, ein neuer Personalausweis, etc.), der ist vor dieser Masche sicher.
2. Bezahlung kann nachverfolgt werden
Jede Zahlung, die auf diese Weise ausgelöst wird, kann von einer Bank nachverfolgt werden. Bei der gezeigten Szene wüsste die Bank sofort, welcher Händler die Abbuchung getätigt hat.
Das Geld muss auch irgendwohin überwiesen werden. Dieser Weg kann von einer Bank ebenfalls nachverfolgt werden.
Banken haben zudem eine sehr gute Betrugserkennung. Wenn solche Beträge mehrfach getätigt würden, wäre die Bank sofort alarmiert.
3. Apple und Google Pay funktionieren nur bei aktiviertem Bildschirm
Bei Apple und Google Pay haben es Betrüger sogar noch schwerer. Das Smartphone in der Tasche würde gar nicht auf das Zahlterminal reagieren. Dafür muss nämlich der Bildschirm eingeschaltet sein.
Bei Apple Pay muss man die Zahlung zusätzlich mit seinen biometrischen Daten bestätigen (Fingerabdruck, Face Id).
Betrüger haben sehr ausgefeilte Methoden entwickelt, mit der sie den Leuten das Geld aus der Tasche ziehen können. Mit einem Kontaklos-Zahlterminal durch die Innenstadt zu laufen und den Passanten auf die Pobacke zu tippen, gehört nicht dazu.
Zum Aspekt der nachvollziehbaren Zahlung: wer auf Festivals diese Masche abzieht und jedem Opfer 10 bis 20€ abhebt, kann davon ausgehen, dass mindestens 90 Prozent der „Kunden“ eine so kleine Transaktion auf ihrem Konto gar nicht bemerken.
Genau deswegen finde ich Bankkarten mit NFC eher schlecht und habe deswegen auch keine, aber Google Pay zum Beispiel gut.
Wie gesagt, es ist Panikmache. Das gezeigte Szenario könnte so nur sehr selten passieren. Plus der Betrüger riskiert ziemlich aufgrund der Nachvollziehbarkeit aufzufliegen.
Die Betroffenen dürfen dafür auch keine anderen Funkkarten im Portemonnaie haben (es gibt wirklich viele). Es braucht nur einigen wenigen aufzufallen und der Betrüger läuft Gefahr aufzufliegen. Das Geld wird ja irgendwohin transferiert.
Stimmt, das Geld wird transferiert, danach läuft es über durch mehrere Konten und kann nicht mehr zeitnah verfolgt und zurückgeholt werden.
Diese Bankwege werden bei auch bei Mehrwertnummer, Bestellungen, etc. verwendet.
Die sind dann aber ein Stück weit selber schuld, dass sie nicht ordentlich gucken…
Wer so verstrahlt ist, dass er fremde Buchungen auf dem Konto nicht wahrnimmt, ist dann vielleicht auch ein kleines bisschen selbst schuld. Solchen Leuten kann man genau so gut im Vollsuff ihr Bargeld aus der Tasche ziehen, mit dem Unterschied, dass man da im Nachhinein nichts mehr reklamieren kann.
Panikmache.
Die Karte (der Empfänger) gibt kein Funksignal ab, sondern verändert das ausgestrahlte Magnetfeld des Senders. Weiters muss die Frequenz des RFID Chips mit der des Senders übereinstimmen. Wenn dies nicht der Fall ist, dann wird das Feld auch nicht verändert, weil der Chip/Transponder nicht darauf reagiert. Mehrere EC Karten können sich auch nicht stören. Eine zweite Karte würde das Feld nicht mehr verändern, wenn die Transaktion bereits von einer ersten bestätigt wurde. Heißt also, Transaktionen können damit theoretisch und praktisch funktionieren. Hier sind viele Faktoren zu berücksichtigen, ausgeschlossen ist der Erfolg allerdings definitiv nicht. Ich bin hier natürlich selbst nicht… Weiterlesen »
Dann halte mal mehrere Karten gleichzeitig vor ein NFC Terminal. Es wird nicht funktionieren.
Jap, genau das habe ich probiert. Und funktioniert. Ist wie gesagt möglich, aber nicht gegeben.
Ich hab den Kommentar auch nur auf Basis dieser Erfahrung geschrieben, weil ich ein Wochenende lang nur aus der Geldbörse raus bezahlt habe (in der immer mehrere Karten waren).
Punkt 2 ist ein Witz…. Die Banken oder Kreditkarteninstitute (ich nenn die jetzt mal so) machen einen SXHEISS um Geld zurück zu fordern von dem Konto, wo es ankommt. Selbst schon erlebt….und wenn der Empfänger im Ausland sitzt, kommt man an sein Geld eh nie wieder ran.
Das ist alles wieder nur Schönrednerei der Sache.
Eine Kollegin von mir hat eine sichere Kartenhülle in Benutzung für ihre Bankkarte. Diese funktioniert mit der Abschirmung. Wenn der ganze Geldbeutel an sich geschützt ist, gleich um so besser!
Ein Glück, dass da die Kartenschemes noch was mitzureden haben. Bei Mastercard oder VISA kannst du ganz einfach ein Chargeback anfordern.
Ne, VISA macht dicht und kümmert sich nicht weiter drum, da es sich um „korrekte“ Zahlungen handelt. Mir fällt deren genauen Wortlaut nicht ein. Vor einem Jahr hatte ich nämlich so einen Fall mit VISA über die Santander Bank….seit dem nutze ich keine Kreditkarte mehr.
Ich bin da ja noch ganz unwissend, was diese Technik betrifft. Muss man die Transaktion nicht noch irgendwie bestätigen?
Bei Niedrigbeträgen (bis 20€teilweise) muss man bei manchen Karten nichts bestätigen
Meine Visa möchte erst ab €25 einen PIN.
Dieser Angriff ist natürlich unsinnig weil (wie der Artikel schreibt) die Zahlung nachverfolgt werden kann. Aber ich kann mit einem Handy die Kreditkartennummer und das Verfalldatum auf ähnliche Art auslesen (nicht den CVV) und mit diesen Daten dann z.B. bei Amazon einkaufen, ich darf es einfach nicht zu mir nach Hause liefern lassen….
Natürlich kann es nachverfolgt werden, aber trotzdem kommst du nicht mehr ran, zumal die Konten im Ausland zu finden sind, wo das Geld hinfließt.
Es gibt immer noch (aus Kundensicht) den Chargeback. In den meisten Fällen bekommt man so den vollständigen Betrag wieder.
Wird das Geld auf ein Konto im Ausland überwiesen, bekommt man es nicht mehr wieder.