Kleine Beträge sollen in Zukunft mit der Kreditkarte nur noch im Vorbeigehen gezahlt werden, mit funkenden Karten. In vielen Ländern ist die neue Technik schon Standard. Auch in Deutschland gibt es sie bereits. Doch report MÃœNCHEN zeigt: Hacker haben leichtes Spiel – mit einem Handy können die Daten einfach ausspioniert werden. Mehr
Kreditkartensicherheit
Kreditkartennummer sowie Verfallsdatum genügen Kriminellen, um auf fremde Kosten einzukaufen. Das können sie sowohl im Internet, als auch an der Ladenkasse.
1.    Datenmissbrauch beim Online-Einkauf
 Zwar hat die Kartenindustrie Sicherheitssysteme beim Einkaufen im Internet eingeführt, die einen Missbrauch mit Nummer und Ablaufdatum allein unmöglich machen. Doch es gibt nach wie vor viele Online-Händler, die auf die Abfrage dieser zusätzlichen Sicherheitsmerkmale verzichten. Außerdem weisen auch die zusätzlichen Sicherheitssysteme teilweise Mängel auf.
Sicherheitscodes für Kreditkarten
-Â Â Â Â Â Â Â Â cvv (Card Verification Code) oder cvc (Card Validation Code)
Das ist ein 3-stelliger Sicherheitscode auf der Rückseite der Kreditkarten, den sicherheitsbewusste Online-Händler abfragen, um sicherzustellen, dass derjenige, der die Karte nutzt, diese auch tatsächlich in den Händen hat und nicht nur geklaute Daten beim Bezahlen eingibt. Der dreistellige Code befindet nicht auf dem Chip. Manche Online-Händler erlauben eine beliebige Anzahl von Fehlversuchen bei der Eingabe. Einige fragen diesen Code gar nicht ab. Kriminelle haben damit leichtes Spiel.
-        Persönliche Geheimzahlen für den Internet-Einkauf:
Mastercard und Visa bieten persönliche Geheimzahlen für das Einkaufen im Internet an. Der Kartenkunde erhält bei Eingabe persönlicher Daten wie Kreditkartennummer, Ablaufdatum, Bankleitzahl, Name etc. eine Art zusätzlicher Pin für das Bezahlen im Netz. (Mastercard Secure Code, Verified by Visa). Diese persönliche Geheimnummer nutzen zahlreiche Online-Händler nicht.
2.    Datenmissbrauch an der Ladenkasse
Kopierte Kreditkarten, also Karten, deren Magnetstreifen mit gestohlenen Daten kodiert sind, werden von Kriminellen in zahlreichen Ländern der Welt missbräuchlich eingesetzt. Oftmals produziert die Kreditkartenmafia dazu eigens Karten mit falschen Namen und dazugehörigen gefälschten Papieren. Der Mitarbeiter an der Ladenkasse hat somit keine Möglichkeit festzustellen, dass der Name auf der Karte nicht zu den Daten passt, wenn er sich den Ausweis beim Bezahlen zeigen lässt. Einzelne Länder, wie Deutschland  verlangen für ihre Bezahlsysteme (Kasse und Geldautomat) zusätzliche Sicherheitsmerkmale, die erkennen, wenn ein kopierte Karte eingesetzt wird. Die Kreditkartenmafia missbraucht die Daten deshalb in den Ländern, in denen diese Merkmale nicht zum Einsatz kommen. In den meisten Fällen von Kreditkartendaten-Missbrauch sind das Land des Datendiebstahls und das Land des Datenmissbrauchs nicht die gleichen. Gestohlene Daten deutscher Kunden werden deshalb meist im Ausland missbraucht.
Schlagworte: Hacker, Internetkriminalität, Kreditkarten, Kreditkartenbetrug
RSS feed
So sehr mich solche Aufklärung freut, so macht mich stutzig: wenn im Ausland dieses Bezahlverfahren so gängig ist, wird diese Technik dort auch so mißbraucht wie es hier absehbar erscheint?
Reisserische Werbung für “Report”. Der Abstand zwischen Handy und Kreditkarte muss kleiner als 4 cm sein !! Wenn mir jemand so dicht auf die Pelle rückt, dann stell ich ihm schon mal ‘ne Frage !
Dann fahre mal lieber nicht U- oder S-Bahn zur Rush hour, Sepp.
Wieviele Männer haben ihren Geldbeutel in der Gesäßtasche? Da sind die 4 cm im Gedränge schnell beim unbemerkten Vorbeigehen überwunden. Die Opfer sind also doch programmiert, ohne dass sie “mal ‘ne Frage” stellen können. Wo, bitte, ist diese Aufklärung “reisserisch”?
Es gibt mitlerweile auch schon Lesegeräte, die die Karten in einem größeren Abstand lesen können, auch wenn die Karte in der Börse steckt. Dem kann man Vorbeugen, denn es gibt Geldbörsen, bei denen eine Cryptalloy-Folie eingearbeitet ist, die ein Auslesen der Karten unmöglich macht. Die Börsen sind ab August im Handel.
Es gibt bereits seit längerer Zeit Schutzhüllen, z.B. bei [Hier hat die Redaktion einen Link entfernt, vgl. Kommentarrichtlinien] , in verschiedenen Formaten, auch für Reisepass und Ausweise..
@ Sepp Gsangl: Und was ist in der U- oder S-Bahn, beim Gedränge im Fußballstadion, am Samstag in der Fußgängerzone? Der Täter hat ein Smartphone in der Tasche, die App scant die Umgebung automatisch nach Kreditkarten und liest diese Daten aus. Die können zeitgleich um die ganze Welt verschickt werden und bevor Sie aus der U-Bahn steigen, würden die Daten schon mehrfach missbraucht. Technisch kein Problem, wird auch schon so gemacht.
… schon mal ausprobiert … lieber Duckman oder nur ein Fantasy Roman …
Hallo,
einige Zentimeter langen, um die Daten auszulesen.
Hier vorgemacht mit den neuen Kreditkarten.
Ist aber bei allen Karten machbar, die ueber Funk ausgelesen werden koennen.
Dementsprechend evtl. auch anwendbar zum Auslesen des neuen Personalausweises.
Mit den gestohlenen Daten lassen sich dementsprechend Behoerdengaenge erledigen.
Wie sieht es mit den neuen Krankenkassenkarten aus – ob diese auch ueber Funk ausgelesen werden koennen, entzieht sich meiner Kenntniss.
@Frank Kampmann: die Technik wird deshalb nicht missbraucht, weil es nicht so ohne weiteres geht:
Für Zahlungen ohne Vorlage der Karte (Internet, Telefon etc.) schreiben die Kartengesellschaften den 3 stelligen Sicherheitscode und/oder eine 3D-Secure-PIN als Sicherungsmittel vor. Beides ist nicht aus dem Chip auslesbar. Händler die Zahlungen ohne eines dieser Sicherungsmittel akzeptieren, tragen das volle Betrugsrisiko, d.h., der Kunde kann betrügerische Umsätze einfach zurückgeben.
@Karin K.:
Der technische Aufwand der betrieben werden müsste, um den Leseabstand zu erhöhen, ist enorm. Die Vergrößerung von 10 auf 40 cm erfordert eine Antenne von ca. einem Meter Durchmesser und eine Stromversorgung , die man in einen Bus oder eine U-Bahn schon nicht mehr mitnehmen kann.
Ich halte die Berichterstattung für ziemliche Panikmache (nur schlechte Nachrichten sind gute Nachrichten). Hersteller von speziellen Kartenhüllen springen auf diesen Zug auf, verstärken noch die Ängste verunsicherter Menschen und verdienen sich eine goldene Nase mit überteuerten Hüllen mit Alu-Folie.
Jeder, der seine Karte in einem Hotel oder bei einer Autovermietung auch nur für kurze Zeit aus der Hand gibt, geht ein ungleich höheres Risiko ein, da unehrliche Mitarbeiter so in den Besitz aller nötigen Kartendaten einschl. Sicherheitscode gelangen können.
“Für Zahlungen ohne Vorlage der Karte (Internet, Telefon etc.) schreiben die Kartengesellschaften den 3 stelligen Sicherheitscode und/oder eine 3D-Secure-PIN als Sicherungsmittel vor.”
Bekanntes Gegenbeispiel: Amazon. Die fordern keinen CVC. Da wurde es auch bereits mehrfach nachgewiesen. Und auch ein (dynamischer) Sicherheitscode ist laut Spezifikation auslesbar und soll sich laut den Versuchen anderer Leute dafür eignen, Transaktionen durchzuführen. Werde ich mal in den nächsten Wochen testen.
Wie in der Sendung auch schon gesagt, trägt das Risiko letztendlich doch wieder der Kunde, indem es eingepreist wird.
“Jeder, der seine Karte in einem Hotel oder bei einer Autovermietung auch nur für kurze Zeit aus der Hand gibt, geht ein ungleich höheres Risiko ein, da unehrliche Mitarbeiter so in den Besitz aller nötigen Kartendaten einschl. Sicherheitscode gelangen können.”
Mit der Einführung von NFC kommt eben ein neues Angriffsszenario dazu. Und das war in der Form nicht unbedingt notwendig. Bei der EC/GeldKarte z.B. gibt es die Kontonummer der Karte (und andere sensible Daten) nach jetzigem Stand erst nach erfolgreicher Authentifizierung. Warum hat man es bei der Kreditkarte nicht genauso gemacht?
Börsen mit Ausleseschutzfolie gibt es schon lange. (Attack Safety) Ohne großen Aufpreis. Ohne extra Hülle. Einfach in das Futter eingenäht. Bisher hat kaum jemand Wert darauf gelegt. Schicke Report gern mal eine Börse zum Testen.
2011 war ich in den USA dort wurde ich schon vor dem abfischen der Kartendaten gewarnt. Man gab mir den Tipp mit der Alufolie auch sind die Neuen Personalausweise und Reisepässe nicht vor dem abfischen von Daten sicher. Seitdem habe ich Ausweis und Karten in Alufolie eingewickelt.
Ich werde mir auch einen Helm aus Alufolie basteln, damit mir keiner meine Gedanken klaut
Woher weiß man, ob seine Karte funkt?
Erkennt man am payPass oder payWave-Logo auf der Karte.
Mit einem NFC-fähigen Android-Smartphone geht es auch. Einfach an die Karte halten und schauen ob etwas passiert. Die App aus der Sendung gibt es bei Google Play oder Alternativ Electronic Pickpocket RFID für Karten außerhalb DE.
Was ist, wenn die Karte verloren oder geklaut wird? Dann kann jederbohne Pin und/oder Unterschrift damit bezahlen? Das ist ja noch einfacher als zu scannen, oder?
Das scannen per NFC ist ein zusätzliches Angriffsszenario.
Die öffentlich-rechtlichen “Politmagazine” verkommen leider immer mehr zu reisserischen Sendungen mit einseitiger Berichterstattung. Das könnte RTL nicht besser.
Ohne den NICHT AUSLESBAREN Sicherheitscode kann man auch nicht online einkaufen. Das heisst, mit den ausgelesenen Daten kann man nichts anfangen.
Gegenbeispiel Amazon.
Laut Spezifikation gibt es auch einen dynamischen CVC, der genauso einfach auslesbar ist. S. auch mein beitrag weiter oben.
Warum hat man nicht einfach einen kleinen Schalter an der Karte zum aktivieren?
Siehe SD-Karte etc.
Das System ist ähnlich einer RFID-Karte wie an der Tür zum Kaufhaus als Diebstahlschutz. Es ist meiner Meinung nach kein grosses Problem aus einem Meter Entfernung oder per Richtantenne die Daten auszulesen. Man muss nur einen dünnen Kupferdraht z.B. um einen Türrahmen wickeln und schon wird es funktionieren. Und wie weit eine Metallbox genügt ist fraglich. Funkwellen gehen schon mal seltsame Wege und mit entsprechender Leistung wird es auch durch gehen.
Nunja, insgesamt wurde das Thema, wie hier schon angemerkt, eher oberflächlich betrachtet. Erstmal besitzen nur 25% der Deutschen eine Kreditkarte und diese sind nur für 5% des Umsatzes im Einzelhandel verantwortlich und auch nur ein Bruchteil dieser sind überhaupt schon mit NFC ausgestattet. Gerade kleine Summen werden im Handel fast niemals mit Kreditkarte bezahlt. Nun ist es aber dennoch bitter, dass man mit einer einfachen App auf einem Galaxy Nexus die KKNr. auslesen kann. Allerdings sind heutzutage fast nirgends mehr Zahlungen ohne CVC akzeptiert. Insofern haben Visa und MasterCard schon recht, wenn dann der Händler dafür haftet. Dieser ist selbst schuld, wenn er Zahlungen ohne CVC. Zusätzlich kann der Onlinehändler weiterhin 3D Security oder verified by Visa implementieren, um auf der ganz sicheren Seite zu sein.
Viel wichtiger bei dem Thema ist, dass das einfache auslesen bei Debit-basierten Systemen nicht so einfach möglich ist. Girogo, PayPass und payWave, die über Debitverfahren wie girocard, Maestro oder Vpay abgewickelt werden sind verschlüsselt und vergleichbar mit der Verschlüsselung des EMV Chips, der bisher nicht geknackt werden konnte.
Also eher viel Lärm um nichts.
Der Datenklau über die Kreditkarte ist schon so lange bekannt, dass sich ein amerkanisches Unternehmen bereits eine neue Geschäftsidee hat einfallen lassen. Nein, man benötigt keine Alufolie. Ein Kleintaschenhersteller in der USA bietet seit fast fünf Monaten Geldbörsen aus geflochtenem Stahl in verschiedensten modischen Varianten an.
Arbeitet hier bereits seit langem die Kreditkartenwirtschaft und die Lederindustrie zusammen, um zusätzliche Umsätze auf beiden Seiten zu generieren?
Und dass ein Widerspruch gegen das Abbuchen auch noch erfolglos sein kann, ist eine Frechheit obendrein. Denn abgebuchte Beträge bis zu 20€ gelten von vorne herein als genehmigt.
Was ich nicht verstehe: Die Kreditkartennummer und den Namen kann sich doch Kellner oder Verkäufer notieren. Diese Angaben sind auch bei jedem Web-shop gespeichert. Wieso (und wie) sollte ich diese dann noch geheimhalten?
Insgesamt sind es viele kleine Bankengruppen die solche Karten an ihre Kunden verteilen. Leider wird in dem Bericht nicht erwähnt bei welchen.
Für mich, als Kunde der Sparkasse bestehen keine Bedenken. Sparkassen-Kreditkarten können nicht ausgelesen werden weil sie keine Antenne haben und die kontaktlose Funktion dadurch nicht unterstützen. Habe mich heute erkundigt – das betrifft nicht nur meine sondern alle Sparkassen.
Das stimmt so nicht. Ich kenne Sparkassen, die diese Funktion seit einiger nutzen und dementsprechend Karten ausgeben. Ich selbst arbeite bei einer solchen…
Stimmt … mit girogo wird jede EC Karte “mit Antenne” zum kontaklosen Bezahlen ausgerüstet !!
Liebe Leute, welch ein schlechter Bericht. Wie Kalli sehe ich dieses als reine Panikmache. Ich vermisse hier einen fundierten journalistischen und aufklärenden Ansatz. Was soll der Beitrag wirklich leisten?
Wie im Beitrag gesagt muß das Handy oder das Lesegerät ca 4cm entfernt sein. D.h. für mich der die Geldbörse in der Hosentasche oder in der Sakkobrustasche (innen) hat, dass der Angreifer sein Handy entweder an meinen Genitalbereich hält oder vor mien Brust. Selbst wenn ich morgen schläfrig bin, merke ich diese bestimmt. Sepp hat hier völlig REcht, eine Frage sollte erlaubt sein.
Also verbleibt die Frage nach der Intention des Beitrages. Was ist mit girogo? Warum wurde diese Verfahren nicht erwähnt?
Auf der anderen Seite frage ich mich warum meine Gebühren in so schlecht Beiträge fliessen. Dieses ist verbranntes Geld und Vernichtung von Gebühren.
LG Ralf
PS: in XING gibt es eine Gruppe, die sich um neue Zahlungsverfahren kümmert unter dem Namen “Payment Intelligence”. Vielleicht schaut mal jemand vorbei?
Sehr geehrte Damen und Herren,
ich habe als CTO bei der Firma Consulting Marketing Transport Inc. die Technik für ein mobiles Zahlungssystem entwickelt. Es wurde zum Patent angemeldet.
Ziel war es die Sicherheit einer Magnetkarte zu erreichen. Dies wurde erreicht, durch die Sicherheit des Handy Chips plus einer PIN. Ich habe mich dabei immer an die hacker gehalten wie den Hamburger Chaos Computer Club. Bis jetzt ist es nur geglückt diesen chip zu clonen aber nicht auf Kosten eines anderen Chips zu telefonieren.
Wir hatten dann im Jahr 2000 noch ein Großversuch mit einer Baumarktkette.
Unser Venture Capitalist aus Wien erklärte uns CEO : Warum soll ich mit dem Handy zahlen wenn ich doch die VISA Carte habe, hahaha warum wohl, weil es viel sicherer ist. Heute gibt es Fotocameras mit Zoom. Ein Foto von der Visa oder Master Card und schon hab ich die Kartennummer einfach alles! Und nun diese Pleite mit den per Handy auslesbaren Karten!! Da lach ich mich als ehemaliger Sicherheitsing. kaputt. Wir hatten übrigens einmal mit diesem Kim Schmits zu tun, den sie ja jetzt wieder einkasteln. Der hat das berühmte PIN TAN Patent erfunden, läuft noch ca. 5 Jahre!
ciao Dipl.Ing. FH Roland Pichl
Da bräuchte ich dann doch mal eine kleine Nachhilfestunde:
Wie soll ein offenes System wie ein Handy, das frei programmierbar ist, über eine Vielzahl frei zugänglicher Schnittstellen verfügt, gleichzeitig aber kein dezidiertes secure element hat und für das ohne große Probleme Schadsoftware entwickelt und vertrieben werden kann, wie soll ein solches System sicherer sein, als eine gekapselte, hoch sicher veschlüsselte SmartCard mit proprietärem Betriebssystem??
Der Handel will unbedingt den Bezahlvorgang an den Kassen beschleunigen. Dann sollte man als Erstes die Verdummung mit den albernen 9-er-Preisen abschaffen! Also 1 Euro statt 99 Cent, 100 Euro statt 98,50 Euro usw. Krumme Preise gibt es dann nur noch beim genauen Abwiegen. Dann kann man runden, z.B. ab 7 Cent aufrunden, bei 6 Cent und weniger abrunden auf den nächsten Zehner. Wenn man derart im Durchschnitt einen Tick zugunsten des Kunden rundet, hat wohl kaum jemand etwas dagegen.
Hallo Trulleberg,
man sollte bedenken, dass von den Sparkassenkreditkarten mit sehr geringem Marktanteil, was an der geringen Verbreitung von KK allgemein liegt, geringes Risiko ausgeht. Anders ist es bei den neuen EC-Karten, die so nach und nach eingeführt werden. Hier gibt es allein bei Sparkassen 45 Millionen Kunden. Siehe auch beim Hamburger Abendblatt.
Alles in allem muss man sehr vorsichtig sein. Mit oder ohne Schutz-Geldbeutel – schließlich besteht immer noch die Gefahr konservativen Taschendiebstahls.
Die neuen Personalausweise arbeiten mit der gleichen Technik, ebenso die neuen Krankenkassenkarten und auch viele Abo-Fahrkarten der Verkehrsverbünde (z.B. VRR) und die “Diebstahlsicherungen” der Discounter. Wenn man die Leistung der Sender hochdreht, kann man die Reichweite zumindest schonmal auf eine Entfernung dieser Diebstahlsicherungen (ein paar Meter) einstellen, mit entsprechender Sendeleistung dürften auch mehrere Meter möglich sein.
Die Bundeswehr führt momentan übrigens Aufklärungsdrohnen ein, die Daten aus Handys auch aus mehreren Kilometern Höhe auslesen können. Mit entsprechender Manipulation eines smartphones und der RFID-Chip-Sendeanlage wäre es möglich, über eine Menschengruppe hinwegzufliegen (z.B. Demo) und jene Daten, die ein smartphone ausgelesen hat, weiter abzugreifen. Dazu muß der Besitzer des smartphone dann nichtmals etwas davon wissen, das er gerade als Datenspion benutzt wird. Ein “Virus” auf dem Handy reicht aus. Soviel zur Theorie.
Ist es nicht viel gefährlicher die Kreditkarte beim Bezahlen z.B. dem Kellner im Restaurant oder Hotel auszuhändigen – hier ist dann auch kein Problem neben der Kreditkartennummer und dem Verfallsdatum auch den Sicherheitscode abzulesen?
Das macht aber jeder Kreditkarteninhaber… ich denke hier ist die Gefahr viel größer.
Und selbst in der Rundschau hat der eingeladene Experte gesagt, dass es eigentlich kein Risiko für den Kreditkartenbesitzer gibt, da der Händler haftet.
Ein bischen aufgebauscht würde ich sagen…
Die Menschen im Ausland werden vermutlich nicht so “gut” aufgeklärt, wie von solchen Sendungen wie REPORT.
Der Umgang mit neuen Bezahlverfahren ist im Ausland nicht so verkrampft wie hier. In Deutschland wird erstmal jede technische Neuerung (Erleichterung) niedergemacht, wie seinerzeit in STERN-TV das Auslesen des Magnetstreifens auf einer EC-Karte.
Da hat man es geschafft, die Daten des Magnetstreifens auf eine Gewerkschaftskarte zu übertragen. Dann konnte man mit der Karte per Lastschrift einkaufen. Skandal! Schlimm, schlimm, schlimm.
Also, etwas entspannen. Ich habe keine Angst, dass mir in der U-Bahn einer meine Kreditkarte ausliest. Seriöse Internethändler fragen den 3-stelligen Code ab oder sie haften für den Schaden. Das Argument, dass die Kosten auf die anderen Kunden abgewälzt werden ist lächerlich.
Also, wenn es eine Karten-Hülle, vergleichbar der Sache mit der alufolie, gäbe, wäre allen Seiten, ohne große Bemühungen(neue Geldbörsen etc.) geholfen! Düse Hülle ist ja eh immer um meine Karte, und ich hol sie dann nur zum bezahlen raus. Krieg uch dann naturlich kostenfrei bei meiner bank;-) Hab ich denn nun eigentlich so ne Karte? Das finde ich viel schlimmer, und wäre gern ausführlich von meiner Bank informiert worden.
Diese Karten-Hülle gibt es schon lange und ich habe meine Karten alle darin verstaut – ist dann doch eleganter als bei der Vesperbrot-Variante mit der Alufolie
Dünnes Papier mit eingearbeiteter, Wellen abschirmender Folie, dazu noch mit einem schönen Werbeaufdruck versehen. Wenn die Banken jedem, der eine Kredit- oder EC-Karte bekommt, eine solche Hülle mitgeben, hat sich das Thema von allein erledigt – und die Bank hat noch eine fest gebuchte Werbefläche in den Geldbeuteln ihrer Kunden!
Frage: funktioniert das auch mit anderen Blecharten außer Alu?
Ich bin mir nicht 100%ig sicher aber Blei sollte auch funktionieren.
Thema: Sicherheitscodes für Kreditkarten
cvv (Card Verification Code) oder cvc (Card Validation Code)
Was denkt sich eigentlich die Softwarefirma dabei wenn/wie sie die Ideen der Sicherungs-Industrie
umsetzt. Wenn der CCV oder CVC drei (3) mal falsch eingegeben wurde wird ein weiter Zugangsversuch verweigert, die Karte gesperrt und der Karteninhaber informiert.
1000 Versuche zu erlauben um den Code zu knacken zu können zeugt von der Unfähigkeit des Softwareunternehmens bzw. seiner Programmierer.