Wer denkt er ist alleine, hat sich getäuscht...

[Onassis]

Hi Leute,

 

habe ich grade eben selbst entdeckt.

Ich weiß, das man "normale" Menschen auf die unterschiedlichsten Arten überwachen kann.

Seid ihr Euch drüber klar, wo, wann und wer einen wie ausspionieren kann.

Das heißt nicht, das jeder ausspioniert wird, aber es ist möglich!

 

Seht selbst: http://www.spiegel.de/flash/0,5532,15385,00.html

 

Onassis

 

PS: Wahre Geschichte:

3 km von mir entfernt wurden in einem Baumarkt die Daten von EC-Karten gelesen und gestohlen.

In Paris und noch wo wurde dann entsprechend Geld abgehoben.

Das "Lesegerät" war direkt an der Kasse installiert.

Keiner weiß, wie es da hingekommen ist.

Die Geschädigten haben wohl kaum eine Chance!

Ich bin echt heilfroh, das ich dort die letzten Monate nicht mit Karte bezahlt habe. :-

[BarGain]

ganz effe und simpel - da wird ein einbruch inszeniert, ein bisschen was wird geklaut, aber der eigentliche sinn der aktion ist es, dem laden ein manipuliertes ec-karten-lesegerät unterzujubeln, welches munter die karteninformationen samt der eingegebenen pins wahlweise auf nem chip speichert oder per funk weiterüberträgt (die speicherung ist der üblichere weil weniger leicht zu entdeckende weg).

nach ein paar wochen wird der laden wieder hochgenommen und dann das gekaperte lesegerät mitgenommen, und schon ist das kind in den brunnen gefallen.

sehr wirksame man-in-the-middle-attacke, kaum aufzuspüren und überaus wirksam.

blöderweise kann man als bankkunde da nischt für, insofern muß eigentlich die bank in dem fall haften. aber versuch das mal ohne schweres geschütz durchzubringen.

[lil_jensi]

Die Geschädigten haben wohl kaum eine Chance!

 

 

Haftet da nicht der Baumarkt ?

 

Boa ich hasse Bargeld...aber mittlerweile bekommt man ja regelrecht Angst mit EC-Karte zu zahlen ?

 

Wie sieht es da beim Schutz von Kreditkarten aus ? Sind die sicherer als das dämliche PIN-Eingeben bei EC-Karten ? Sollten doch eigentlich oder...

[Reigning Lorelai]

ganz effe und simpel - da wird ein einbruch inszeniert, ein bisschen was wird geklaut, aber der eigentliche sinn der aktion ist es, dem laden ein manipuliertes ec-karten-lesegerät unterzujubeln, welches munter die karteninformationen samt der eingegebenen pins wahlweise auf nem chip speichert oder per funk weiterüberträgt (die speicherung ist der üblichere weil weniger leicht zu entdeckende weg).

nach ein paar wochen wird der laden wieder hochgenommen und dann das gekaperte lesegerät mitgenommen, und schon ist das kind in den brunnen gefallen.

sehr wirksame man-in-the-middle-attacke, kaum aufzuspüren und überaus wirksam.

blöderweise kann man als bankkunde da nischt für, insofern muß eigentlich die bank in dem fall haften. aber versuch das mal ohne schweres geschütz durchzubringen.

also warum die Bank haften soll ergibt sich mir nicht ganz da sie ja auch nix dafür kann. Der Baumarkt muss eher dafür sorgen, daß die Geräte in Ordnung sind.

 

Gruß

 

W. Hynes

[BarGain]

is es nich eigentlich so, daß die bank in der regel die geräte zur verfügung stellt (leasing, miete oder so? ich kann mich jedenfalls nich entsinnen, sowas einfach bei conrad aus dem regal nehmen zu können), folglich obläge der bank das wartungsrisiko. ich bin da wirklich nicht sicher, aber intuitiv wäre für mich die bank derjenige, der schadenersatz leisten müßte. is ja keine mangelnde sorgfaltspflicht des kunden mit seiner karte und pin, sondern ordnungsgemäße verwendung. kann der kunde ja nischt für, daß seinne daten dann gezockt werden.

 

da die masche inzwischen aber auch hinlänglich bekannt ist, kann man auf der gegenseite auch argumentieren, daß nach einem einbruch stets diese sensiblen geräte ausgetauscht werden sollten.

wie mans aber auch dreht und wendet - der kunde dürfte hier definitiv nicht der dumme bei der sache sein.

 

ach ja, noch zum flashfilmchen, das onassis da ausgebuddelt hat - das sollte man für das ganze dumme pack, das sich um den überwachungswahn in diesem land gar keine gedanken macht, mal zur pflichtlektüre machen.

[parti]

so wie ich es mitbekommen habe, haftet die bank dafür und gibt den leuten ihr geld zurück. die leute haben ja nicht fahrlässig gehandelt und haben dens chaden ja auch nicht zu vertreten. anders die bank, sie stellt die automaten auf und muss dem kunden ein einwandfreies abgeheben des geldes ermöglichen.

[Silver85]

Wie sieht es da beim Schutz von Kreditkarten aus ? Sind die sicherer als das dämliche PIN-Eingeben bei EC-Karten ? Sollten doch eigentlich oder...

 

Ich habe mal gelesen (ich glaube Wirtschaftswoche), dass bei Kreditkartenzahlung die Daten teilweise über Wireless-Lan zu einem PC gesendet werden, welcher mit der Bank/Kreditkarteninstitut verbunden ist und die Daten auf diese Weise übertragen werden und bei Wireless-Lan hängt ja die Sicherheit ganz klar von den Kentnissen des Benutzers ab, welcher das Netzwerk eingerichtet hat. Wenn das Netzwerk gar nicht bzw. nur schwach gesichert (z.B. WEP) ist, kann ein Hacker die Daten ohne große Probleme abfangen und eine Kartenkopie erstellen...

 

mfg

Villi

[bullriding trader]

is es nich eigentlich so, daß die bank in der regel die geräte zur verfügung stellt (leasing, miete oder so? ich kann mich jedenfalls nich entsinnen, sowas einfach bei conrad aus dem regal nehmen zu können), folglich obläge der bank das wartungsrisiko. ich bin da wirklich nicht sicher, aber intuitiv wäre für mich die bank derjenige, der schadenersatz leisten müßte.

 

Banken stellen die Kartengeräte zur Verfügung. Der Händler selbst muss jedoch entscheiden ob er den kostenpflichtigen Wartungsvertrag abschließen möchte.

 

Die Bank ist meines Erachtens hier nicht Schadensersatz pflichtig. In der Regel erstatten die Banken jedoch solche Schäden, analog Phising-Schäden beim Online-Banking, um das Vertrauen in Ec-Zahlungen nicht zu gefährden.

[Silver85]

so wie ich es mitbekommen habe, haftet die bank dafür und gibt den leuten ihr geld zurück. die leute haben ja nicht fahrlässig gehandelt und haben dens chaden ja auch nicht zu vertreten. anders die bank, sie stellt die automaten auf und muss dem kunden ein einwandfreies abgeheben des geldes ermöglichen.

 

Aber der Kunde hat bei EC-Karten Zahlungen immer das Problem mit der Beweislast. Ich habe mal bei Frontal 21 eine Reportage darüber gesehen. Darin wurde berichtet, das bei PIN-Raub bzw. Kartenkopie der Kunde immer das Problem hat, zu beweisen, das er nicht fahrlässig gehandelt hat. Im konkreten Fall ging es darum, dass der Kunde noch nicht einmal den PIN Brief der Bank geöffnet hat und ein Hacker jedoch anscheinend bereits mit der Karte Zahlungen vornahm. Trotzdem hat sich die Bank querstellt, da das PIN System angeblich so unhackbar sicher ist und in diesem Fall nur der Kunde schuld sein kann. Der Kunde hat in diesem Fall sein Geld nicht zurückbekommen. So ist die Realität. Sobald es ums Geld geht, verfliegt auch noch der letzte Hauch an Gerechtigkeit...

 

mfg

Villi

[BarGain]

daß ec-karten-pins mit moderner technik in minuten zu knacken sind, pfeifen eigentlich die spatzen von den dächern, und als ich während meiner studienzeit in der orga einer sparkasse als werkstudent gejobbt habe, lag ich darüber auch jahrelang mit unserer innenrevision im clinch, bis mich mal der chef unter vier augen beiseite nahm und das auch offen zugab, mich aber bat, das nicht an die große glocke zu hängen.

der trick is einzig und allein der, an ein lesegerät zu kommen, welches den fehleingabenzähler nicht hochzählt, das ist alles. und maximal 10.000 pin-kombis durchzujagen, ob bei irgendeiner was vernünftig lesbares rauskommt, ist dann ein klacks.

 

dabei geht es inzwischen sogar noch viel einfacher, nämlich indem man sich in die interbankenkommunikation im ausland reinhängt - was leider etwa in spanien dem vernehmen nach wesentlich leichter ist als es sein dürfte.

[schinderhannes]

"Wie sieht es da beim Schutz von Kreditkarten aus ? Sind die sicherer als das dämliche PIN-Eingeben bei EC-Karten ? Sollten doch eigentlich oder... "

 

Der technische Schutz von Kreditkarten ist nicht besser,allerdings sind die Kreditkartenunternehmen VISA, MasterCard etc. recht kulant wenn mit den Karten bzw. mit Kartendaten betrogen worden ist.

Die Warscheinlichkeit so einen Betrug ersetzt zu bekommen schätze ich relativ hoch ein.

 

Im übrigen kann ich aus eigener Erfahrung sagen,dass z.B. Phishing beim Onlinebanking in den allermeisten Fällen auf Unwissenheit der Kunden zurückzuführen ist.

[delubac]

der trick is einzig und allein der, an ein lesegerät zu kommen, welches den fehleingabenzähler nicht hochzählt, das ist alles.

 

 

Wird bei Fehleingabe etwa vom Lesegerät entschieden obs gewertet wird oder nicht? Da kann ich ja gleich auch den Steuerzahler die Höhe seiner Steuern bestimmen lassen, oder umgangssprachlich den Bock zum Gärtner machen.

 

Zum Spiegelflash: Die ganzen genannten (eher utopischen) Maßnahmen sind von staatlicher Seite nicht zu erwarten, und von wirtschaftlicher Seite interessiert sich sicher niemand für Klein-Paul. Aber irgendwie muss man sein Blatt ja verkaufen...

[BarGain]

schlimmer - soweit ich weiss, ist der zähler normalerweise direkt in der karte gespeichert - du musst also lediglich unterbinden, daß das lesegerät schreiboperationen auf diesen block durchführt, und schon kannst du alle 10000 kombinationen bei 5-stelliger pin durchjagen.

 

zu deiner auffassung des spiegel-flashs: du hast es schlichtweg nicht verstanden. das flash demonstriert anschaulich, welche überwachungsmaßnahmen schon aktiv genutzt werden. was meinst du, welcher tiefere sinn wohl hinter payback und co. liegt, warum die metro mit RFIDs massiv experimentiert und warum amazon dir bei deinem nächsten besuch auf deren website wieder einmal "zufällig" exakt die produkte zeigt, die thematisch zu deinen gesammelten vorlieben der letzten jahre passen?

gottogott, wenn du ernsthaft der meinung bist, es gäbe keinerlei wirtschaftliche interessen an pauls vorlieben jedweder art, dann bist du ja fürchterlich naiv und es wird dringend mal zeit, daß dich jemand aus dem goldenen käfig deines alice-wonderlands rausholt und du in der harten realität ankommst.

[schinderhannes]

Definitiv ist der Zähler nicht direkt auf der Karte,sondern auch per EDV zurücksetzbar ohne dass die Karte vorliegt.

Die Karte selbst beinhaltet ja nur fest codierte Daten wie Kontonummer und Bankleitzahl.

Anhand dessen wird eine Abfrage via Internet vorgenommen.

[BarGain]

das macht die sache ja noch einfacher

[schinderhannes]

Nein ich denke nicht.

Denn ist es sicherlich einfacher die Daten einer Karte auszulesen als auf den Server der kartenbetreibenden Gesellschaft zu gelangen.

[BarGain]

du siehst das falsch (bzw. aus der typischen banker-warte) - es ist schlichtweg nicht nötig mit dem server des kartenbetreibers zu kommunizieren. deine annahme ist genauso irrig wie die, man müsse tatsächlich das passwort erraten, um einen account zu knacken. die weitaus meisten passwortgeschützten bereiche im web arbeiten jedoch mit einer simplen MD5-"verschlüsselung" (letztlich verbirgt sich dahinter einfach nur ein hashwert in form einer mathematischen einbahnstraße). es reicht da vollkommen aus, per bruteforce so lange rumzuprobieren, bis man irgendwann eine zeichenkombination eingegeben hat, die den gleichen md5-hash ergibt - und das ist inzwischen mathematisch nachgewiesen wesentlich häufiger als man früher mal vermutet hat.

 

es bleibt also dabei, daß man lediglich die kommunikation mit dem fehlbedienungszähler unterbinden muss (sei der nun auf der karte oder auf nem server is da egal), um sich die tür für alle möglichen 10.000 kombinationen zu öffnen.

 

ich hab grad übrigens mal was geforscht.... du hast zwar recht, daß bei modernen karten der zähler in erster linie elektronisch übers netzwerk mitgezählt bzw. zurückgesetzt wird, jedoch war das vor nicht sooo langer zeit noch nicht der fall (und darauf basierte auch meine obige behauptung noch). also ein paar kartengenerationen ist das inzwischen zwar schon her, jedoch war das mitte der 90er, als ich die oben angesprochene diskussion mit der innenrevision hatte.

[ghostkeeper]

Ganz so ist es aber nicht.

 

Die Zahlungsterminals werden nicht von Banken zur Verfügung gestellt.

Sondern von Betreiberfirmen, die entsprechende Nachweise bringen müssen. Eine ist z.B. TeleCash.

 

Diese wickeln über ihre Server den gesamten Zahlungsverkehr mit den Banken ab. So auch die Zahlungsart mit Unterschrift, die teilweise noch offline abgewickelt wird (hier liegt das Risiko voll beim Händler).

 

Die Module mit den Ziffertasten für die PIN unterliegen bestimmten Anforderungen. So ein Modul lässt sich z.B. nicht öffnen, ohne die relevante Technik darin zu zerstören.

Wie man daran etwas anzubauen kann wie bei Geldautomaten praktiziert ist mir schleierhaft.

 

cu

[Kamiryn]

PS: Wahre Geschichte:

3 km von mir entfernt wurden in einem Baumarkt die Daten von EC-Karten gelesen und gestohlen.

In Paris und noch wo wurde dann entsprechend Geld abgehoben.

Das "Lesegerät" war direkt an der Kasse installiert.

Keiner weiß, wie es da hingekommen ist.

Die Geschädigten haben wohl kaum eine Chance!

Ich bin echt heilfroh, das ich dort die letzten Monate nicht mit Karte bezahlt habe. :-

Keine Ahnung, ob das jetzt derselbe Fall ist, aber zumindest so einen ähnlichen Fall hat es vor einiger Zeit schon einmal gegeben. Da wurde das Gerät, wie auch schon erwähnt, im Zuge eines (vorgetäuschten) Einbruchs manipuliert. Erst durch die Rückverfolgung der EC-Kartenbenutzungen kam man auf die Baumarktkasse, wo dann auch die Manipulation nachgewiesen werden konnte. So weit ich weiß haben aber alle Geschädigten ihr Geld zurückbekommen, weil eben nachgewiesen werden konnte, dass kein Verschulden der Karteninhaber vorlag. Und in einem solchen Fall haftet ja (soweit ich weiß) das kartenausgebende Institut.

[chartprofi]

nur weil du paranoid bist heißt das ja nicht, dass SIE nicht wirklich hinter dir her sind

 

:D

[Feldmann]

@ Onasis

 

das Thema EC-Kartenklau ging auch an mir nicht vorbei, zumal ich aus nur wenige Km von dem Baumarkt entfernt wohne.

Witzigerweise war hier auch ein Familienmitglied von mir betroffen dem 1500 gestohlen wurde.

 

Zum Tathergang:

 

Die Gauner sind in den Baumarkt eingebrochen, haben an einer Kasse das EC-Kartenlesegeräte manipuliert. Von allen Kunden die an dieser Kasse mit EC Karte bezahlt haben, wurden auf dem manipulieren Lesegrät die Daten der EC karte inklusive PIN gespeichert. Einen Tag später sind die Gauner wieder in den Baumarkt eingebrochen und haben das Kartenlesegerät ausgelesen. Anschließend haben sie mittels den Daten die EC-Karten dupliziert und damit übers Wochenende in Paris und Madrit Gelder abgehoben. Das geschickte war, das sie dies übers Wochenende getan haben da es da kaum jemandem auffällt.

Da man an automaten maximal 500-1000 pro Tag abheben kann, haben sie Freitags, Samstags und Sonntags das Geld abgehoben. Aktuell hab ich gehört es wären über 200 Leute betroffen, somit hat sich das Ding wohl ordentlich gelohnt.

 

Den meisten Leuten ist nicht mal aufgefallen das Geld auf dem Konto fehlt. Erst den Bankangestellen kam es etwas spanisch vor als sie die Abbuchungen sahen.

So war es dann auch bei meinem verwanten der Fall, das der Bankangestellte angerufen hat und fragte ob er übers Wochenende in paris war und dort 1500 abgehoben hat. Da macht man natürlich ein dummes Gesicht, vor allem dann wenn die eigene EC karte noch im Geldbeutel stickt.

 

Im übrigen sind die Hersteller der EC karte gegen sowas versichert. Die leute werden also ihr Geld wieder bekommen, nur so wie der Polizist sagte, wird das verdammt lange dauert weil die Versicherung erst abwartet bis die Ermittlungen abgeschlossen sind.

[delubac]

zu deiner auffassung des spiegel-flashs: du hast es schlichtweg nicht verstanden. das flash demonstriert anschaulich, welche überwachungsmaßnahmen schon aktiv genutzt werden. was meinst du, welcher tiefere sinn wohl hinter payback und co. liegt, warum die metro mit RFIDs massiv experimentiert und warum amazon dir bei deinem nächsten besuch auf deren website wieder einmal "zufällig" exakt die produkte zeigt, die thematisch zu deinen gesammelten vorlieben der letzten jahre passen?

gottogott, wenn du ernsthaft der meinung bist, es gäbe keinerlei wirtschaftliche interessen an pauls vorlieben jedweder art, dann bist du ja fürchterlich naiv und es wird dringend mal zeit, daß dich jemand aus dem goldenen käfig deines alice-wonderlands rausholt und du in der harten realität ankommst.

 

Na und? Das steht ja jedem frei sich bei Payback, Amazon etc. anzumelden.

Verwerflich ist Datensammlung und Überwachung nur dann wenn sie heimlich und ohne Einverständnis bzw. entgegen dem Willen des Betroffenen geschieht.

 

Freies Leben für freie Bürger gibts hin in D.

Und er dumm und frei ist der hat halt die Freiheit beliebige Dummheiten zu begehen...