Wissen

... statt vermuten

abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Aufsteiger
  • Community Junior
  • Community Junior
Beiträge: 3
Registriert: 14.06.2018

Hallo,

unter dieser Web Adresse wird ein Angriff auf den NFC Chip beschrieben :

https://www.stern.de/tv/diebstahl-per-funk--so-unsicher-sind-die-neuen-kreditkarten-7075756.html

 

Als Informatiker habe ich dieses Szenario nachgestellt. Die App zu finden war nicht einfach, gelang mir innerhalb einer Stunde.

Ich konnte die Kreditkartenummer und das Ablaufdatum auslesen und weitere Infos.

Natürlich nicht die Sicherheitsnummer auf der Rückseite.

Dies gelang auch durch den Geldbeutel.

Mit diesen ausgelesene Daten kann ich einen NFC Tag beschreiben und mehrfach für Kleinbeträge einkaufen.

Oder im Internet einkaufen, den die Sicherheitsnummer wird,  wie im Artikel beschrieben, ggf. nicht überprüft .

 

In der Vergangenheit war es Standard, das für Sicherheitsrelevanten Vorgänge die zwei Faktorautentifizierung ein Muss war. Dieses Prinzip wird bei NFC und neuerdings bei Bankingapps aufgehoben. Wer das will, der soll dies haben und dem Sicherheitsrisiko zustimmen.

Aber wer das nicht möchte, sollte dazu auch nicht gezwungen werden.

Selbst PayPal habe ich mit derzwei Faktorautentifizierung versehen können. 

 

Im Dezember läuft meine Visa Karte ab. Ich möchte gerne auf dieses unsichere Verfahren verzichten. Es bringt kaum Vorteile gegenüber m.E. nicht zu vernachlässigenden Sicherheitsrisiko.

 

Kann ich eine Visa Karte ohne NFC bekommen oder diese deaktivieren? 

 

Viele Grüße 

Infoschwab 

 

0 Likes
8 ANTWORTEN 8

Regelmäßiger Autor
Beiträge: 24
Registriert: 20.07.2015

Bei der Consorsbank gibt es die VISA nur mit NFC.

 

Die Angst die du hast ist verständlich, aber nicht begründed. Aus folgenden Gründen:

 

- ein Algorithmus prüft das Zahlungsmuster, daher wird unerwartet oft mit NFC hinereinenader bezahlt, fordert das Terminal irgendwann eine PIN oder die Karte wird vom Zahlungsdienstleister der Consorsbank gesperrt.

 

- sollte es zu unauthorisierten Buchungen kommen, haftet die Bank und nicht du.

 

 

0 Likes

Aufsteiger
  • Community Junior
  • Community Junior
Beiträge: 3
Registriert: 14.06.2018

Nun, denn, dann bleibt mir nichts anderes über als die NFC Funktion zu deaktivieren. Die Lösung mit der Hülle ist nicht sinnvoll, da ich sowieso so viel Zeug im Geldbeutel rumschleppe. Also hab ich eben zur Schere gegriffen und oberhalb des Hologramm einen 1 cm Schnitt gemacht. Dann war die Karte nicht mehr lesbar.

Trotzdem wäre es sinnvoller Karten ohne NFC auszugeben an den der das will.

Gruß Infoschwab 

0 Likes

Moderator
Beiträge: 267
Registriert: 03.04.2018

Hallo@Infoschwab,

vielen Dank für Ihren Beitrag.

Die Diskussion um die technische Sicherheit von Zahlungsverkehrsvorgängen begleitet uns als Onlinebank quasi von Anfang an. 

 

Ebenso Danke für die Sachlichkeit Ihres Beitrags - das ist gerade bei dieser Thematik keine Selbstverständlichkeit. 
Das Vertrauen in eine Bank ist im Kern das Vertrauen in die Sicherheit der Bank.

Daher darf ich hier auf unser Sicherheitsversprechen hinweisen.

https://www.consorsbank.de/ev/Service-Beratung/Sicherheit#Online-Sicherheit

In Bezug auf die VISA Card kann ich Ihnen aber mitteilen, dass eine Karte ohne NFC nicht 
mehr ausgegeben wird. Eine Deaktivierung der Funktion ist nicht möglich.

Beste Grüße

CB_Andy
Community Moderator

0 Likes

Aufsteiger
  • Community Junior
  • Community Junior
Beiträge: 3
Registriert: 14.06.2018

Hallo @CB_Andy,

ja, so steht es überall, Visa ist ohne NFC nicht mehr erhältlich. 

Das Sicherheitsversprechen ist gut. Es setzt aber gerade auf die zwei Faktorautentifizierung auf. mTan und anderes Gerät. Diese zwei Faktorautentifizierung trifft bei NFC nicht zu. Sie sollten in Ihr Sicherheitsversprechen NFC aufnehmen, den mit den Regelungen fallen NFC Zahlungen raus.

Auf die Bedingungen zum Nachvollziehen der unberechtigten Nutzung bin ich gespannt, denn es wird schwierig werden unberechtigte von berechtigter Nutzung zu trennen.

Das geht nur mit der zwei Faktorautentifizierung und da diese fehlt, braucht der Kunde viel Überzeugungskraft um das nachzuweisen.

Der Einsatz der Schere war effektiver.

Trotzdem bleibe ich bei dem Vorwurf gegenüber Visa, nicht den Banken, ein unsicheres Verfahren ohne Zustimmung und ohne Abschaltmöglichkeit Seiten des Kunden eingeführt zu haben.

Grüße Infoschwab

0 Likes

Routinierter Autor
Beiträge: 87
Registriert: 13.02.2014

Technisch ist es kein Problem NFC einer EMV-Karte (z.B. Visa) ein- bzw. auszuschalten. Die Kartenausgeber können das Online ausführen, wenn eine Karte an einer kontaktbasierten Chip-Station (wie z.B. Geldausgabeautomat) verwendet wird. Es wird dann lediglich ein sog. EMV-Script zu Karte geschickt, die dieses ausführt. Der Karteninhaber selbst gekommt dabei gar nichts mit.

Es ist ledglich ein organisatorischer Aufwand. Der Kunde muss beim Kartenausgeber (evtl. über seine Bank) die Änderung beantragen. Dann wird beim nächsten Bargeldabheben der Chip geändert. 


Enthusiast
Beiträge: 322
Registriert: 18.12.2014

Naja, an Namen, Kreditkartennummer und Gültigkeitsdauer kommt man auch indem man eine Karte filmt oder fotografiert die jemand ohne NFC zum Bezahlen benutzt.

 

Gerade beim Bezahlen mit NFC brauche ich aber die Karte nicht mehr aus der Hülle nehmen, sodass ein Fotografieren nicht mehr möglich ist.

 

Sind mehrere NFC-Karten zusammen in einer Hülle funktioniert bezahlen per NFC bei mir nicht mehr. Dafür reicht der neue Personalausweis. Ich klappe zum Bezahlen mein Portmonee auf und bezahle ohne die Karte ans Licht zu bringen.

 

Also ich finde es unsicherer ständig mit meinen optisch lesbaren Kartendaten auf der Karte herumzufuchteln.


Routinierter Autor
Beiträge: 99
Registriert: 13.10.2017

(...)Naja, an Namen, Kreditkartennummer und Gültigkeitsdauer kommt man auch indem man eine Karte filmt oder fotografiert die jemand ohne NFC zum Bezahlen benutzt.(...)

 

Wenn man eine Visa Card, bspw. mit einer speziellen Mobile App, via NFC ausliest, erhält man lediglich die Kreditkartennummer und das Ablaufdatum. Name und CVC sind auf diese Weise nicht auslesbar und somit könnte ein potentieller Dieb mit den Daten i.d.R. gar nichts anfangen. Es war bei älteren Visa Cards eines gewissen holländischen Marktbegleiters der Fall, dass auch der Name auslesbar war, dies war aber meines Wissens bei der CB nie der Fall. Wenn nun doch ein Internetshop ohne Abgleich des Namens und des CVCs Bestellungen annimmt und die Kreditkarte belastet, trägt dieser auch das Risiko im Betrugsfall.

 

Dazu kommt, dass außer bei grober Fahrlässigkeit immer die Bank haftet wenn ihre Sicherheitsmechanismen ausgehebelt werden - die Bank ist für die Sicherheit ihrer Produkte zuständig, nicht der Kunde. Und zwar auch unabhängig von irgendwelchen Sicherheitsgarantien, sondern per Gesetz.

0 Likes

Enthusiast
Beiträge: 475
Registriert: 14.11.2016

Auch wenn dieser Thread schon älter ist: mittlerweile lässt sich über die Consorsbank App (nur über die App!) die NFC Funktion ein- und ausschalten. Ebenso lässt sich die komplette Karte sperren und wieder entsperren. Finde ich sehr gut und hilfreich! Auch lässt sich die Karte für online Zahlungen sperren und entsperren. Super umgesetzt! Nun fehlt nur noch die Möglichkeit, die PIN zu ändern...

 

Dieser Hinweis gilt sowohl für die "VISA debit" als auch die "VISA credit (gold)", aber nicht für die girocard (V-Pay). Hier ist keine Konfiguration möglich. Auch lässt sich bei den VISA Karten ein eigenes maximales Limit setzen (unabhängig vom Kreditrahmen, jedoch natürlich nur maximal bis zu diesem).

0 Likes
Antworten