Da stell ich mich aber mit dem Rücken zur Wand…
…damit ich meine Unschuld nicht verliere. Sagte der Vater eines Klassenkameraden immer, wenn ihm etwas seltsam vorkam. Er war im Krieg Koch auf einem U-Boot gewesen.
Da stell ich mich aber mit dem Rücken zur Wand, damit ich mein Geld nicht verliere, war das erste was mir einfiel, als ich im Fernsehen heute die Akündigung der neue EC-Karte mit kontaktloser Bezahlfunktion gesehen habe. Man müßte das Ding nur noch schnell an der Kasse vorbeiziehen, um bis zu 20 Euro zu bezahlen. Und wer hindert Diebsgesindel dann daran, mir irgendwo im Gedränge oder einer der typischen Taschendieb-Rempeleien mit dem Lesegerät mal eben an der Gesäßtasche vorbeizufahren und abzubuchen? Oder mit einer stärkeren Antenne auch aus der Entfernung? Wenn das ginge, würden sie einem das Geld klauen ohne den Geldbeutel mitzunehmen.
Taschendieb 2.0 ?
Weiß jemand, ob, wie und womit die das verhindern wollen?
22 Kommentare (RSS-Feed)
Laut Banken sind die Karten nur aus bis zu 4cm Entferung ansprechbar.
Man kann sicherlich davon ausgehen, dass damit gemeint ist, dass sie ein Distance Bounding Protocol verwenden und richtig implementiert haben.
Aufgrund der bisherigen guten Erfahrungen mit RFID/NFC-Herstellern und -Anwendern ist völlig ausgeschlossen, dass das lediglich heißt, dass die offiziellen Lesegeräte diese Reichweite haben, und mit mehr HF-Leistung und einer größeren Antenne problemlos 10m drin sind.
4cm reicht aber, um an einem Geldbeutel in der Gesäßtasche vorbeizufahren.
“Weiß jemand, ob, wie und womit die das verhindern wollen?”
Follow the money …
Wenn die Strategie allerdings funktionieren würde, könnte man auch nicht mit Umsatzsteuerkarussellen Milliarden beiseite schaffen.
http://www.dradio.de/dlf/sendungen/umwelt/1646228/
Macn beachte: ganz sicher, weil ohne PIN usw.
aber dann mit autoimatischer Nachladefunktion, die dann
doch auf’s Konto zugreift ?!
Das etwa auch ohne PIN?!
…happy withdrawal for me and you (whoever you are) :->
Gut macht sich eine EC-Karten-Hülle aus Metall.
Und die Funktion eh nicht aktivieren (sofern das geht).
Die Anwendung basiert auf Near Field Communication. Gegen welche Bedrohung NFC sicher ist – keine Ahnung, die Specs sind mir zu teuer und ich habe keine Zeit zum Lesen. Ich vermute aber mal ‘es ist sicher, weil nur 4cm’
Nur geraten, aber ich denke dies wird wie mit den Guthaben auf den bisherigen Karten (mit Kontakt-Chip) sein.
Es wird einfach das Geld auf ein Schattenkonto gebucht und muss “freigegeben” werden. (Genauer ist es zwar im Moment anders herum – das Geld wird erst abgebucht und dann nur noch verrechnet – aber so herum wäre es für den Nutzer einfacher).
Die “Sicherheit” kommt dann daher, dass das Geld nicht einfach irgendwo landet, sondern nur an bestimmten Stellen. Und dort kann man dann auch kontrollieren wohin es gezahlt wird.
@anonym Bei Umsatzsteuerkarussellen ist nicht das Verfolgen des Geldes, sondern das Verfolgen der Waren das Problem.
Meines Wissens soll es sich um die (schon seit Jahren existierende) Geldkartenfunktion handeln, die jetzt auf kontaktlose Übertragung aufgerüstet werden soll. D.h.: nichts aufladen = nichts verlieren.
Aber davon ab: Wie soll denn ein solcher Taschendieb 2.0 das Geld unbemerkt und anonym für sich einsetzen? Er bekommt ja anders als der analoge Taschendieb nicht direkt Bares in die Krallen.
Nehmen wir an, er kennt das Protokoll, mit dem sich Lesegerät und Karte unterhalten und kann so der Karte vorlügen, ein zur Abbuchung Berechtigter zu sein. (Schon das könnte schwierig werden, falls elektronische Signaturen zum Einsatz kommen, aber nehmen wir an, er kann es.)
Dann hätte er nach dem Buchungsvorgang erst einmal nur einen Datensatz in seinem Lesegerät. Und von diesem Datensatz darf man wohl annehmen, dass er derart beschaffen ist, dass er nur unter Mitwirkung der zahlenden Karte erzeugt werden kann, was wieder nach Signatur klingt. (Sonst könnte man diese Datensätze fälschen und es wäre völlig unerheblich, ob Funktechnologie oder klassische kontaktbehaftete Karten – das wäre dann schon seit Jahren möglich.)
Aber gut, er habe also die Karte getäuscht und einen echten Datensatz vorliegen. Mit dem muss er dann aber zur Bank und ihn zu Geld machen.
“Guten Tag, ich habe hier gültige Geldkartenabbuchungen über zusammen $HOHER_BETRAG$, bitte zahlen Sie direkt bar aus…”
Ich habe mich gerade an der Uni etwas ausführlicher mit NFC beschäftigt. Die im Standard angegebenen 10 Zentimeter sind in der Praxis völlig ausgeschlossen. Ich würde da eher so auf 0 bis 1 Zentimeter wetten.
Da NFC auch nur sehr sehr langsam Daten überträgt müsste man meiner Meinung nach schon einige Sekunden an deinem Hintern reiben bis eine eventuelle Übertragung erfolgreich war (Ich gebe zu, diesen Kommentar hab ich nur wegen dem letzten Satz geschrieben 🙂 ).
Das ist doch im Trend:
Alle “Vereinfachungen” und neue “Sicherheitsfeatures” führen immer zu einer Risikoübertragung von der Bank zum Kunden. Wenn das nicht funktioniert, wird die Funktionalität eingestellt.
Das “Verified by Visa” und “SecurPay” Verfahren bei Kreditkarten ist praktisch auch nichts anderes, als das Risiko für Kreditkartenbetrug auf den Kunden abzuwälzen – durch eine weitere, nicht-benannte (!) Internetseite (wer dabei an Phishing denkt, denkt natürlich falsch), auf der eine weitere Sicherheitsnummer eingegeben werden muss…
In der praxis bedeutet das für den Kunden, dass er aufgrund dieser besonderen Sicherheitsmassnahmen faktisch für jeden Mißbrauch bis zum Kreditlimit selber haftet, auch wenn die gesamten Daten von irgendeinem Anbieter ohne sein Wissen abgesaugt und mißbräuchlich verwendet wurden.
Klappt so eine Beweislastumkehr zu Ungunsten des Kunden nicht, wird einfach das Risiko der Bank gen null gesetzt: So kann man mit EC-Karten im außereuropäischen Ausland bei ATMs praktisch kein Geld mehr abheben.
Man müsste mal testen ob die hier http://www.getdigital.de/products/RFID-Schutzhuelle auch für sowas funktionieren.
Laut Ex-ZKA (Raider heißt jetzt Twix und ZKA DK ) ist das erst einmal “nur” die GeldKarte-Funktion (offenbar mit reduziertem Transaktionslimit), kein direkter Zugriff auf das Konto.
Das hieße nebenbei, dass der Taschendieb 2.0 sich bei (s)einer Bank für eine Händlerkarte registrieren müsste (oder jemanden kennen müsste, der…), was ihn potentiell rückverfolgbar macht, wenn er sich die Beute gutschreiben lassen will.
Was mir allerdings ein leichtes Kräuseln der Zehennägel verursacht, ist die in der PM erwähnte Idee der “Abo-Aufladung”. Das kommt einem Kontozugriff über die GeldKarte-Funktion schon ziemlich nahe, müsste aber wenigstens opt-in sein.
EC oder Geldkarte?
Ich habe gelesen, dass die Abbuchungen nicht auf dem Kontoauszug erscheinen sollen, dafür aber die letzten 15 Abbuchungen auf der Karte gespeichert sind – anzunehmen ist, dass es dann entsprechende Widerspruchsverfahren gibt.
Auch ist wohl eine Handy-App geplant, die dann vermutlich eine kurze Benachrichtigung über die Abbuchung macht. Verhindern tut es die Hosentaschenaktion vermutlich nicht, aber zumindest gibt es ein logbuch.
Die Technik dahinter kann ich nicht beurteilen, aber mir macht was anderes Sorgen. Die Sache mit den RFID-Chips im Pass ist doch grundsätzlich das selbe. Soll auch nur auf ein paar cm funktionieren und durch Signaturen, Zertifikate oder was weiß ich so gesichert sein dass man sowieso nichts auslesen könnte, selbst wenn man nah genug dran ist.
Aber:
a) Man empfiehlt trotzdem von offizieller Seite eine Schutzhülle die das auslesen (angeblich) komplett verhindert. Wozu, wenn es doch auch ohne Schutzhülle sicher nicht funktioniert?
b) Bekommen Diplomaten Pässe ohne RFID-Chip wegen, jetzt kommts, “der besonderen Gefährdungslage”. Sprich: da versucht eher mal einer das (angeblich gar nicht mögliche) Auslesen.
Daher ist mein Misstrauen gegen kontaktlose Funktionen, speziell wenn sie auf RFID basieren und von Entfernung und Signaturen oder Zertifikaten abhängig sind, sehr groß. Insbesondere Banken haben auch immer wieder bewiesen, dass sie nicht in der Lage oder nicht Willens sind sichere Lösungen anzubieten. Das strkt mein Vertrauen auch nicht gerade.
Hat der CCC, ich weiß, vermintes Gebiet, nicht längst die Sicherheitsmaßnahmen von solchen RFID-Chips geknackt?
@Alina: Die “besondere Gefährdungslage” ist vermutlich u. a. diese hier (spannend wird’s bei ca. 2:45).
@Michi: Prominent gehackt wurden Mifare Classic und Legic prime. Bei girogo handelt es sich sicherlich um einen SECCOS Chip mit Dual-Interface. Das ist zwar physikalisch die gleiche Schnittstelle, aber logisch etwas ganz anderes.
@Hansi (spannend wird’s bei ca. 2:45) konnte ich leider nciht ansehen. Meine “besondere Gefährdungslage” erlaubt nämlich kein Flash.
@Alina: gegen die besondere Gefährdungslage Flash hilft auch das HTML5-Feature von youtube, http://www.youtube.com/html5
Wobei dir eher Youtube schon Probleme wegen der besonderen Gefährdungslage machen sollte.
P.S.: HTML5 funktioniert unter manchen aktuellen Firefox-Versionen nicht wie gewünscht, weil die FF-Entwickler irgendwas verplant haben.
@Maik („Laut Banken sind die Karten nur aus bis zu 4cm Entferung ansprechbar.“)
Mit einer spezieller Richtfunk-Anordnung bei Ausrüstung mit guter Qualität lässt sich da bestimmt noch was rausholen. Mit einem ausreichenden Budget sollten (von den elektrotechnischen Grundlagen her gesehen) bei wenig Störsignalen in der Umgebung durchaus mehrere Meter drin sein.
Du solltest Deinen beruf wechseln und Prophet werden:
http://www.heise.de/security/meldung/Hackerin-liest-RFID-Kreditkarten-
aus-1425530.html
– Owbohl – Die werden so gern geköpft oder so. Vielleicht doch nciht.
🙂
Ich verstehe das so, daß es einen Unterschied zwischen Zahl- und Abbuchungskonten gibt.
Dann kommt es darauf an, wie einfach und anonym man als Taschendieb 2.0 an so ein Abbuchungskonto kommt. Denn da muß das Geld erstmal wieder runter, das geht hoffentlich nicht per vorbeiziehen.
Andererseits dauert es natürlich, bis die große Masse der Bestohlenen überhaupt den Diebstahl bemerkt. Bis dahin habe ich mein Konto schon lange wieder geräumt. 🙂
Frank