Achtung mit Eueren kontaktlos CC

[Chris91]

ANZEIGE

Mal was anderes: Und so ein sumup/izettle o.ä. lasse ich dann über Tor oder russischen VPN laufen und die Beträge gehen auf irgendein offshore Konto oder wie? Ich denke mal so ein wenig wird Sumup ja auch so Dinge wie Fraud Detection haben...

Das geht viel einfacher als mit einem offshore Konto... Kartenzahlgerät bestellt man sich auf eine gestohlene Identität. Entweder kauft man eine solche im Darknet oder legt selbst Hand an durch Internetbetrügerei. Oder eventuell auch ganz simpel durch Abfangen des Pakets... dann braucht man nichtmal die gestohlene Identität in Form eines Ausweises dazu haben...
Das Geld wird dann sicher sehr schnell ausgezahlt und die Konten regelmäßig gewechselt. Wenn das Geld erstmal bar da ist, dann wird's durch Sportwetten oder Casino gewaschen.

 

[Heath_Beck]

Keine Ahnung wie schwer oder einfach es ist ein Konto mit gestohlener Identität zu eröffnen, schwieriger wird es aber denke ich seine Spuren im Netz zu verschleiern ohne an der Fraud Detection zu scheitern. Ich kann mir nicht vorstellen, dass das so einfach möglich wäre. Und wenn doch eine Betrugsmasche draus wird, werden da sicher ganz schnell die Legitimationsanforderungen verschärft. Glaube ich aber nicht, denn es gibt wirklich bessere Betrugsmöglichkeiten als Leuten in der Stadt Sumups an den Po zu halten.

 

[frakturfreak]

Die Kommentare zum YouTube-Upload dieses absoluten journalistischen Meisterwerks sind auch sehr interessant.

Wobei ich auch der Meinung bin, dass das ganze als ein viel größeres Problem dargstellt wird, als es schlussendlich ist.

Es sollte mich wundern, wenn man als Beraubter sein Geld nicht von der Bank erstattet bekommen sollte und die vorhandenen Schutzmechanismen auch nur am Rande erwähnt wurden.

Die Sendung Marktcheck hat eben ein spezielles Publikum, dass man durch solche Beiträge beeindrucken kann.

 

[otaku]

"Vielen Dank für's Geld."

https://youtu.be/LMjHNbRjLCA?t=418

 

[Kathze]

"Vielen Dank für's Geld."

https://youtu.be/LMjHNbRjLCA?t=418

https://youtu.be/XXqXAK8ub68?t=18

 

[Escorpio]

Ich glaube, dass man da mit einem Offshorekonto nicht wirklich weit kommt:

https://help.sumup.com/hc/de/articles/115004551953-Anforderungen-für-Ihr-Bankkonto

Des weiteren finde ich diese hanebüchenen Szenarien des "NFC-Betrugs" unglaublich lächerlich...

Das was da gefordert wird lässt sich durch eine Sepa Überweisung gar nicht nach prüfen. Wie will der Geld-Sender erfahren, welche Währung das Empfängerkonto hat? Auch der Name des Empfängerkontos wird er nie erfahren.

Das geht viel einfacher als mit einem offshore Konto... Kartenzahlgerät bestellt man sich auf eine gestohlene Identität. Entweder kauft man eine solche im Darknet oder legt selbst Hand an durch Internetbetrügerei. Oder eventuell auch ganz simpel durch Abfangen des Pakets... dann braucht man nichtmal die gestohlene Identität in Form eines Ausweises dazu haben...
Das Geld wird dann sicher sehr schnell ausgezahlt und die Konten regelmäßig gewechselt. Wenn das Geld erstmal bar da ist, dann wird's durch Sportwetten oder Casino gewaschen.

Aha... Und wie willst du an die Auszahlungs-Konten kommen, die du regelmäßig wechselst?

 

[blackdragon4]

Aha... Und wie willst du an die Auszahlungs-Konten kommen, die du regelmäßig wechselst?

https://www.t-online.de/digital/sic...pp-400-konten-fuer-online-betrug-genutzt.html
Nur ein Beispiel.

 

[Chris91]

Glaube ich aber nicht, denn es gibt wirklich bessere Betrugsmöglichkeiten als Leuten in der Stadt Sumups an den Po zu halten.

Wird auch kaum ein Betrüger machen, da gibt es lukrativere Methoden mit kontaktlos-Phishing...

 

[Amic]

Kartenzahlgerät bestellt man sich auf eine gestohlene Identität.(...)
Das Geld wird dann sicher sehr schnell ausgezahlt und die Konten regelmäßig gewechselt

Das heisst, ein Kartenzahlgerät können die Acquirer nicht (anhand Seriennummer, IMEI, MAC) von anderen unterscheiden, und man kann das fröhlich immer wieder neu in Betrieb nehmen?

 

[Yuwoex]

Das heisst, ein Kartenzahlgerät können die Acquirer nicht (anhand Seriennummer, IMEI, MAC) von anderen unterscheiden, und man kann das fröhlich immer wieder neu in Betrieb nehmen?

Doch, aber wenn doch der Betreiber eine falsche Identität hat, was spielt es dann für eine Rolle, wenn das Gerät an sich identifizierbar ist?

 

[Heath_Beck]

Letztendlich hätte den Leuten im Video ein einigermaßen begabter Taschendieb auch das ganze Portemonnaie stehlen können, dazu braucht es kein NFC, solche Gefahren sind nicht neu. Dann hätte er gleich ALLES: Identität, komplette Kreditkartendaten, Bargeld usw.

 

[Yuwoex]

Letztendlich hätte den Leuten im Video ein einigermaßen begabter Taschendieb auch das ganze Portemonnaie stehlen können, dazu braucht es kein NFC, solche Gefahren sind nicht neu. Dann hätte er gleich ALLES: Identität, komplette Kreditkartendaten, Bargeld usw.

Na klar, der ganze Aufwand mit dem Auslesen, Equipment, Risiko des Auffallens steht in keinem Verhältnis zum evtl. ergaunerten Betrag.
Das Gezeigte ist machbar, wird wohl aber immer Theorie bleiben...

Da ist Klauen 100x einfacher!

 

[br33s]

Ist mir mit meinen blöden Papierscheinen noch nie passiert......

Stimmt, die Papierscheine sind dann wenigstens unwiederbringlich weg...

Das geht viel einfacher als mit einem offshore Konto... Kartenzahlgerät bestellt man sich auf eine gestohlene Identität. Entweder kauft man eine solche im Darknet oder legt selbst Hand an durch Internetbetrügerei. Oder eventuell auch ganz simpel durch Abfangen des Pakets... dann braucht man nichtmal die gestohlene Identität in Form eines Ausweises dazu haben...
Das Geld wird dann sicher sehr schnell ausgezahlt und die Konten regelmäßig gewechselt. Wenn das Geld erstmal bar da ist, dann wird's durch Sportwetten oder Casino gewaschen.

Da hat wohl jemand zu viel Netflix geschaut?
Mit Aufwand kann man Buchgeld einfacher zurück holen als Bargeld. Wenn einem die Bank natürlich Dummheit nachweisen kann, dann ist auch Buchgeld weg. In der Regel werden betrügerische Akte von Banken erstattet...

 

[Amic]

Doch, aber wenn doch der Betreiber eine falsche Identität hat, was spielt es dann für eine Rolle, wenn das Gerät an sich identifizierbar ist?

Äh... dass Transaktionen ein- und dasselben Geräts nicht alle paar Tage auf andere „regelmässig wechselnde“ Konten ausbezahlt werden?!

Zumal nach einmal festgestellten Unregelmässigkeiten.

 

[Yuwoex]

Äh... dass Transaktionen ein- und dasselben Geräts nicht alle paar Tage auf andere „regelmässig wechselnde“ Konten ausbezahlt werden?!

Zumal nach einmal festgestellten Unregelmässigkeiten.

Die ganze Geschichte ist graue Theorie.
Die Tatsache, dass man nach spätestens 3-4 Wechseln eine Terminal ID "verbrannt" hat, macht die ganze Sache doch noch weiter aufwändig und damit unwahrscheinlicher.

Du fährst doch mit ein- und derselben geklauten Karre auch nicht zum fünften Banküberfall...

 

[Chris91]

Da hat wohl jemand zu viel Netflix geschaut?
Mit Aufwand kann man Buchgeld einfacher zurück holen als Bargeld. Wenn einem die Bank natürlich Dummheit nachweisen kann, dann ist auch Buchgeld weg. In der Regel werden betrügerische Akte von Banken erstattet...

Das bezweifel ich ja gar nicht. Aber wenn der Betrüger das Geld einmal in Bar hat und weg ist, dann ists dem Betrüger auch egal, ob die Bank das Geld für den Kunden noch zurückholt oder nicht.

 

[br33s]

Der Aufwand lohnt nicht, sich so zu verschleiern, das man hier eine „Masche“ draus machen kann.

Bis man eine signifikante Menge an Bargeld hat, welches anonym ist, ist man wohl schon lange identifiziert.
Auch in dem verlinkten Beitrag mit den 400 Konten, wird schnell klar, das es wohl eine Weile dauert bis N26 und Co. die Konten filtern können, aber unbegrenzt Konten auf gefakte Identitäten zu erstellen, wird bei aktuellen Fraud Systemen nicht möglich sein. ( Achja und Spaces sind keine einzelnen Konten )

Es wird wohl noch immer mehr Bargeld pro Tag geklaut, als durch solche skizzierte digitale Methoden. ( wenn jemand auf Phising oder Scam rein fällt, ist das für mich kein „beklauen“ sondern Dummheit)

 

[nacho.gll]

Der Durchschnittsdeutsche hat 103€ in Bar mit und die Taschendiebe sind inzwischen so geschickt, dass sie überhaupt nur noch das Geld aus den Geldbörsen stehlen und nicht die ganze Börse. So werden einerseits die Tatzeit und der Tatort verschleiert, da die Bestohlenen oft erst Tage später merken, dass was fehlt, andererseits ist es bereits Sekunden nach dem Diebstahl praktisch unmöglich den Täter zu überführen, weil weise ihm einmal nach, dass der Hunderter in seinem Seckel nicht ihm gehört.

Und jetzt sollen sich die Diebe ein Konto zulegen (und sich dabei ausweisen) und dann ein Kartengerät zulegen (und sich dabei wieder ausweisen) und sich dann mit einem Viertel der an sonsten möglichen Summe zufrieden geben und dann gibt es noch die Möglichkeit der Betroffenen, die Abbuchung zu widerrufen, woraufhin bald Ermittlungen gegen sie eingeleitet werden würden. Für mich hört sich das ein bisschen danach an, als hätte die Cash ist King Fraktion der AfD einen Reporter in das öffemtlich-rechtliche Fernsehen eingeschleust.

Ich bin überzeugt, dass die Gefahr, dass du beim Bezahlen Falschgeld zurück bekommst oder einfach bestohlen wirst massiv größer ist, egal in welchem Maßstab, denn im Gegenstz zu NFC Diebstahl sind Falschgeld und Taschendiebstahl real. Ich empfehle noch folgenden Artikel:

https://futurezone.at/produkte/waru...ersen-hinausgeschmissenes-geld-sind/400071611

Laut Informationen der Payment Services Austria, die als Technologie-Provider für die NFC-fähigen Bankomatkarten in Österreich verantwortlich ist, ist es seit Einführung der NFC-Funktion hierzulande noch zu keinem einzigen Schadensfall dadurch gekommen.

Der wahre Scam in diesem Zusammenhang sind die RFID-blockierenden Geldbörsen!

 

[blackdragon4]

Ich bin überzeugt, dass die Gefahr, dass du beim Bezahlen Falschgeld zurück bekommst oder einfach bestohlen wirst massiv größer ist.

Das habe zumindest ich nicht bestritten. Dennoch finde ich, dass das ein klassischer Fall von Whataboutism ist. Die inhärenten Sicherheitsrisiken von NFC-Zahlkarten (insbesondere mit Tap + Sign Konfiguration) werden mit der Begründung weggewischt, es gäbe ja woanders noch viel höhere Risiken. Dass diese Argumentationsstrategie in jeglicher Hinsicht zu einer Abwärtsspirale führt, dürfte doch offensichtlich sein.
In der IT-Security-Branche ist es klassischerweise so, dass man Risiken isoliert betrachtet und nicht mit hanebüchenen Vergleichen ("Aber Windows XP ist noch viel schlimmer!") beiseite wischt.

Bzgl. der Schadensfälle findet man woanders auch andere Zahlen:
https://www.independent.co.uk/money...ase-money-security-bank-account-a8722361.html

 

[Chris91]

Der Durchschnittsdeutsche ...

Allenfalls mäßige Argumentation von dir. Da fängt es bereits an... geh mal gedanklich ins Ausland. Betrüger denken nicht in Landesgrenzen!

Betrüger weisen sich nicht aus, sie nutzen gestohlene Identitäten. Auch Betrüger digitalisieren sich, meistens sind sie sogar digital besser gesattelt als so manch Durchschnittsbürger.
Ja, die Banken sperren betrügerische Konten... aber bis dahin können Wochen vergehen. Wie oft kontrolliert denn der Durchschnittsbürger seine Kontoauszüge? 1x im Monat? Außerdem können Banken auch nicht einfach so sperren, sie müssen selbst erstmal ermitteln und müssen gute Gründe vorweisen können. Da geht auch wertvolle Zeit verloren.

Ich stimme dir zu dass die Gefahr heute noch eher gering ist. Aber wir stehen auch noch am Anfang der Technologie. Viele der sich im Umlauf befindlichen Bankkarten sind noch gar nicht kontaktlos. Aber mit zunehmender Verbreitung wird das Problem größer, da es für Betrüger attraktiver wird.

 

[Yuwoex]

Die inhärenten Sicherheitsrisiken von NFC-Zahlkarten (insbesondere mit Tap + Sign Konfiguration) werden mit der Begründung weggewischt, es gäbe ja woanders noch viel höhere Risiken.

Mitnichten. Im Gegenteil werden Risiken, die woanders ganz genauso bestehen und dort als gegeben hingenommen werden (Verlust durch Verlieren & Taschendiebstahl) im Falle der Contactless-Zahlungen hochstilisiert.

 

[Yuwoex]

Der Durchschnittsdeutsche hat 103€ in Bar mit und die Taschendiebe sind inzwischen so geschickt, dass sie überhaupt nur noch das Geld aus den Geldbörsen stehlen und nicht die ganze Börse.
...
sich dann mit einem Viertel der an sonsten möglichen Summe zufrieden geben

Allenfalls mäßige Argumentation von dir.

@Chris91
Nein, die Argumentation ist mäßig von dir!
nacho.gll bezog seine Aussage des "Durchschnittsdeutschen" lediglich auf die durchschnittliche Summe von Bargeld, die dieser mit sich rumträgt!
Bei dir ist es das Doppelte? Okay, dann hat der Betrüger den ganzen Aufwand halt nur für ein Achtel der sonstigen Beute (statt einem Viertel).

Ich stimme dir zu dass die Gefahr heute noch eher gering ist. Aber wir stehen auch noch am Anfang der Technologie. Viele der sich im Umlauf befindlichen Bankkarten sind noch gar nicht kontaktlos. Aber mit zunehmender Verbreitung wird das Problem größer, da es für Betrüger attraktiver wird.

Nö. Wenn, dann deswegen, weil die ursprünglichen Höchstbeträge (3x 25 €) aufgeweicht werden.

 

[br33s]

In der IT-Security-Branche ist es klassischerweise so, dass man Risiken isoliert betrachtet und nicht mit hanebüchenen Vergleichen ("Aber Windows XP ist noch viel schlimmer!") beiseite wischt.

In der IT werden Prozesse ersetzt durch Prozesse mit weniger anfälligen Fehler. Aber Fehler sind immer vorhanden! So auch in der Weiterentwicklung des Payment Prozesses. Der Deutsche muss sich halt noch daran gewöhnen, das das Bargeld ausgedient hat. Aber so lange versucht man sich die Vorteile des Bargelds, welche es kaum noch gibt, schön zu reden.

Betrüger weisen sich nicht aus, sie nutzen gestohlene Identitäten. Auch Betrüger digitalisieren sich, meistens sind sie sogar digital besser gesattelt als so manch Durchschnittsbürger.
Ja, die Banken sperren betrügerische Konten... aber bis dahin können Wochen vergehen. Wie oft kontrolliert denn der Durchschnittsbürger seine Kontoauszüge? 1x im Monat? Außerdem können Banken auch nicht einfach so sperren, sie müssen selbst erstmal ermitteln und müssen gute Gründe vorweisen können. Da geht auch wertvolle Zeit verloren.

Ich stimme dir zu dass die Gefahr heute noch eher gering ist. Aber wir stehen auch noch am Anfang der Technologie. Viele der sich im Umlauf befindlichen Bankkarten sind noch gar nicht kontaktlos. Aber mit zunehmender Verbreitung wird das Problem größer, da es für Betrüger attraktiver wird.

Wer Abbuchungen nicht regelmäßig kontrolliert, ist selber schuld, oder? Lastschriften kann man 8 Wochen lang widersprechen, sollte hier eine Abbuchung innerhalb dieser Frist nicht aufgefallen sein, gilt sie als genehmigt.

Banken können auf Verdacht dein Konto innerhalb von Sekunden sperren. Selbst bei noch so kleinen Sparkassen oder VR Banken passiert dies in der Regel nicht händisch. Hier sind Algorithmen am Werk. Du als Kontoinhaber musst nun der kontoführenden Stelle nachweisen, das alles regulär ist. So lange bleibt alles eingefroren.

Um Lastschriften in höheren Beträgen ziehen zu können, brauchst du von deiner Bank ein Lastschriftenlimit, dies ist im Endeffekt eine Art Kredit. Beim Tap and Go Modell, können aktuell nur kleinere Beträge abgebucht werden, ob sich das lohnt ist mehr als fraglich.

Frag mal deine Hausbank, was du alles nachweisen musst, um ein Lastschriftenlimit von 10.000€ pro Monat zu erhalten. Wenn du dies erfolgreich erhalten hast, musst du aber in den nächsten Wochen die Bank schon wieder wechseln...

Am Ende hat die mobile Zahlung leider mehr Vorteile gegenüber der bargeldlosen Zahlung, selbst für den Einzelhändler. Und auch die Currywurst muss bald mit Karte bezahlt werden, schon alleine aus Kostengründen für den Einzelhändler.

 

[blackdragon4]

Was haben Lastschriften damit zu tun? Es ging hier um (Kredit-)Kartenzahlungen. Diese werden z.B. von SumUp nach wenigen Tagen als klassische Überweisung aufs Händlerkonto ausgezahlt. Ebenso kann das Opfer nicht einfach widersprechen, sondern muss einen Chargeback-Antrag stellen, d.h. Formular ausfüllen und auf Bearbeitung warten (bei Advanzia liegt die Bearbeitungszeit zurzeit bei > 3 Monaten).

Ferner: Mit z.B. Barclaycard und Advanzia kann das ganze Kartenlimit mit einem Tap abgebucht werden. Die Unterschriftabfrage wird einfach übersprungen.

 

[br33s]

ANZEIGE

Hier geht es um das Sammeln von Kontoinformationen.
Mit 98% der Karten gibt es halt die Höchstsumme ohne Eingabe von zusätzlichen PIN‘s.
Bei Zahlungen mit Unterschrift, so wie bei Barclays, handelt es sich um ELV. Auch hier kann man diese zurück buchen lassen und dies hat noch nichts mit einem Chargeback zu tun. Sollte der Kartenemittent sich nicht an das Zahlungsverkehrsgesetz und jetzt auch PSDII halten, und größere Zahlungen durch TAN und Co. verifizieren zu lassen, ist das nicht mein Problem. Wäre für mich dann auch keine Option für eine Zahlkarte auch wenn sie noch so günstig ist! Der Einzelhänder hat nun mit der Unterschrift des Kunden die Erlaubnis bei der Bank nach den persönlichen Daten anzufragen um sein Recht auf Zahlung durchzusetzen. Die Bank wird hier einen unterschriebenen Beleg ihres Kunden haben wollen.

Man kann ein Modell draus machen, wenn man aus dem übermittelten Token zusätzlich die PIN auslesen kann. Dieser wird aber selbstverständlich nicht mit übertragen.

Ich sehe es so wie ein paar andere hier, der Artikel/Beitrag ist einfach Panikmache ohne wirklich Gefahr.