EMV-Verfahren: PIN-Prüfung von Kreditkarten ausgetrickst

Heise online schreibt: „Betrüger haben einen im Jahr 2010 als Proof of Concept vorgeführten Angriff auf die PIN-Prüfung von Kreditkarten ausgebaut und so Transaktionen im Wert von 600.000 Euro getätigt. Mit einem selbst entwickelten Chip sollen Betrüger die Kommunikation zwischen Kreditkarte und Terminal als Man-in-the-Middle beeinflussen können. Im Zuge dessen akzeptieren manipulierte Kreditkarten jede PIN-Eingabe und einer Transaktion steht nichts im Wege…“

Zu lesen hier: http://www.heise.de/newsticker/meldung/EMV-Verfahren-PIN-Pruefung-von-Kreditkarten-ausgetrickst-2855951.html

Smartphone Tracking und Kreditkarte

Smartphone Tracking soll also Zahlungen mittels Kreditkarte zusätzlich absichern.

Das schreibt heise.de am 14.02.2015 hier. Und dabei heisst es:

„Kreditkartenanbieter Visa hat ein neues Verfahren vorgestellt, das Zahlungen auf Reisen besser absichern soll. Dafür sollen Standortdaten vom Smartphone des Kreditkartenbesitzers erfasst und mit dem jeweiligen Standort, an dem die Zahlung erfolgt, abgeglichen werden. Der Ortsvergleich soll dann als ein Faktor in die automatischen Systeme zur Betrugsdetektion einfließen.“…

Kontaktlos Bezahlen bis 2018 „ueberall“ bei MCI

Und das plant Mastercard (für Deutschland). Ein entsprechender Artikel wurde auf Omnicard.de Ende August veröffentlicht, der so lautet:

„MasterCard hat mitgeteilt, dass das Unternehmen bis 2018 bei allen deutschen Händlern, die MasterCard und Maestro akzeptieren, standardmäßig das kontaktlose Bezahlen einführen will. „Deutschland zählt zu den strategisch wichtigen Märkten für uns“, so Pawel Rychlinski…“

Nachzulesen auf:
https://www.omnicard.de/index.php/de/aktuelles-a/epayment/5268-mastercard-plant-kontaktlos-bezahlen-bis-2018-%C3%BCberall-in-deutschland

Swen Hopfe

Analoge Kreditkartenkopie plus Fax als Sicherheitsmaßnahme

Auf heise.de zu lesen: „Wieder einmal wurden bei einem US-Filialisten zigtausende Kreditkarten kopiert. Die Restaurantkette reagiert mit einer radikalen Sicherheitsmaßnahme: Hacker sollen mit Durchschlagpapier und Fax abgewehrt werden.
Die nordamerikanische Restaurantkette P.F. Chang’s muss sich in die Reihe jener Filialisten einreihen, bei denen Daten von Kredit- und Debitkarten in großem Umfang kopiert wurden…“

Hier weiterzulesen: http://www.rfid-ready.de/201405303483/tagitron-gmbh-und-erich-utsch-ag-gehen-partnerschaft-ein.html

Welche Prepaid-Karte magst Du?

Bezahlt man heutzutage Geld im Voraus, dann ist man wohl irgendwie von einem Angebot überzeugt oder hat einen Gutschein oder Karte erworben, welche sich eben eignet, für sich selbst oder für andere schon mal Geld zu bunkern, damit man jenes später im Markt wieder ausgeben kann. Das klassische Produkt ist hier die Prepaid-Kreditkarte, welche einen einbezahlten oder überwiesenen Betrag hält. Eigentlich kurios, denn bei Kredit-Produkten ist man ja im Allgemeinen erst später verpflichtet, für den ausgegebenen Betrag zu zahlen. Eher gilt ja für Debit-Karten (wie eine Girocard) die Maßgabe, dass ich sofort für meine Ausgaben gerade stehen muss. Aber Prepaid-Karten sind ein ganz besonderes Produkt.

Diese können auch ganz offline funktionieren und zudem kontoungebunden sein. Die Prepaid-Karte der Bank bekomme ich dort, oder ganz modern, an einem Issuing-Automaten. Die Geschenkkarte bekomme ich auch anderswo, oft nur als Karte für den ausgebenden Markt „Closed-Loop“ gültig. „Open-Loop“ bedeutet hier auch nur, dass über mehrere Anbieter eingelöst werden kann, nicht, dass es sich etwa um ein offizielles Zahlungsmittel handelt. Denn diverse Geschenk- oder Kundenkarten satteln erstmal nur auf einem bestehenden Gateway auf. So zum Beispiel mittels Barcode (Kasse) oder Magnetstreifen (ec-Zahlungsterminal). Eine Tankstelle z.B. hat damit ganz verschiedene Möglichkeiten, eine Lösung für die Flottenkarte (B2B) oder dem Privattanker (B2C) herauszugeben.

Um das gerade erwähnte Klientel herauszustellen: Man möchte dem Firmenkunden für seine Flotte (auf Sprit) Rabatt geben oder man möchte dem Privatkunden eine Kundenkarte an die Hand geben, mit welcher er für den Shop Punkte sammeln kann. Wenn er ordentlich einkauft. Möglich ist auch, an angeschlossene Firmenkunden Mitarbeitervorteile zu geben. Treue Mitarbeiter werden dann durch einen diversen Vorteil belohnt, welchen sie natürlich nur in der Tanke einlösen können. All das geht und ist im Übrigen Praxis. Die Karte ist hier vorallem Mittel zum Zweck, und ist aber „Prepaid“.

Wir sehen hier vor allem folgende Entwicklungen, nämlich das „Belohnungslösungen“ weiter zunehmen werden. Mitarbeiter-Incentives sind da eher der kleine Teil, Geschenkkarten im Markt wohl eher der Größere. Ein mittelfristiger Peek auf den Formfaktor Karte ist aber wahrscheinlich, da gibt es mehr. Außerdem muss man kein Prophet sein, um eine Vereinheitlichung abzusehen. Das Business verlangt schnelle und profitable Abwicklung, das geht mittelfristig nur mit Vereinheitlichung der Datenwege und Medien. Sind für das bargeldlose und kontaktlose Bezahlen, welches den globalen Trend vorgibt, erst einmal weitere Vorbedingungen geschaffen,so muss sich jede Nebenanwendung daran orientieren. Die Kredit- wie Debitkarte und Prepaidkarten (wie eine Geschenk- oder Kundenkarte mit Börse) werden also zwangsläufig kontaktlos und mit RFID augerüstet…

Angreifer erbeuten Kreditkartennummern

Bis zu 1,5 Millionen Datensaetze in USA kompromitiert. So lautete es heute bei heise online und anderen Medien. Was dort zu lesen war, ist ihnen vielleicht schon bekannt, jedenfalls hat der „Datenklau“ in größerem Umfang schon etwas Schlagzeilen gemacht. Hier also erst einmal der Link zu besagtem Artikel.
Sicher werden wir auch in Zukunft vor solch einem Szenario nicht verschont bleiben. Da spielt es in diesem Fall leider auch nicht die entscheidende Rolle, wie groß die Chip- oder EMV-Abdeckung in Deutschland oder Europa sein mag. Das „Erbeuten“ von Embossing- oder Magnetstreifendaten in großem Umfang birgt aufgrund der heterogenen Strukturen und einer globalen Bezahlwelt schon ein erhebliches Drohpotenzial bei solchen Vorfällen. Missbrauch ist (in New York) schon bekannt geworden und nachträgliche Analysen wirken immer etwas unbefriedigend an der Stelle. Weil eben nachträglich.
Bessere Technologie bei bargeldlosen Zahlungen tut wohl Not in den USA, genauso stellt sich die Frage, ob man die strengen Vorschriften, die z.B. für die Produktionsumgebung bei Personalisierern gelten, nicht auch auf die gesamte Kette der Beteiligten ausdehnen sollte. Glaube, dies ist bis dato nicht geschehen und Zeit dazu wäre es längst …