habe heute eine Bestellung bei Promarkt.de aufgegeben, bezahlt sofort
per Kreditkarte.
Nun bekomme ich per Mail die Aufforderung, meinen Personalausweis zu
faxen oder zu mailen, als zusᅵtzliche Sicherheit. Wenn ich das nicht
wolle, mᅵsse ich die Zahlungsweise auf Vorkasse oder Nachnahme
umstellen. Wenn ich auch das auch nicht wolle, kᅵnne man den Auftrag
nicht ausfᅵhren.
Kann ich natᅵrlich machen mit dem Fax und werde ich auch tun, da die
Ware dringend benᅵtigt wird und nur Promarkt liefern kann.
Allerdings finde ich es merkwᅵrdig, das sowas *nach* der Belastung der
Kreditkarte kommt (auch noch durch Verified By V**A abgesichert) -
meiner Meinung nach kommt dadurch schon der Vertrag zustande, aus dem
sich Promarkt nicht so einfach lᅵsen kann. Wenn ich jetzt nochmal per
Vorkasse oder Nachnahme zahlen wᅵrde, mᅵsste das Kreditkarten-Geld ja
wieder zurᅵckerstattet werden und so weiter...
Ist das Vorgehen von Promarkt bekannt? Wie seht Ihr das?
Gruᅵ,
Martin
--
Martin Schneider - wie der Komiker, nur nicht so lustig
www.film-retter.de
> Allerdings finde ich es merkwürdig, das sowas *nach* der Belastung der
> Kreditkarte kommt (auch noch durch Verified By V**A abgesichert) -
Was genau steckt denn hinter diesem Verified by Visa?
> meiner Meinung nach kommt dadurch schon der Vertrag zustande, aus dem
> sich Promarkt nicht so einfach lösen kann. Wenn ich jetzt nochmal per
Klar, der Vertrag steht. Aber die wollen sicher gehen, dass es auch
wirklich die Kreditkarte des Vertragspartners ist, mit der bezahlt
wurde. Ansonsten könnte die Buchung platzen, oder wird das durch VBV
verhindert?
> Vorkasse oder Nachnahme zahlen würde, müsste das Kreditkarten-Geld ja
> wieder zurückerstattet werden und so weiter...
Entweder so, oder der Inhaber widerspricht der Belastung. Bei
Zahlungen ohne Vorlage der KK sollte das relativ einfach gehen.
Wenn man irgendwas per Kreditkarte einkauft, bekommt man einen vorher
bei VISA hinterlegtes Schl�sselwort angezeigt. Wenn das nicht stimmt,
ist die Seite gefakt. Man muss mit einem geheimen Passwort antworten.
Nachteil f�r den Benutzer: Daraus ergibt sich eine Haftungsumkehr.
Nachteil f�r den Shopbesitzer: Die Geb�hren sind mit Verified By VISA
h�her. Vorteil nur f�r VISA, also ziemlich �rgerlich.
>> meiner Meinung nach kommt dadurch schon der Vertrag zustande, aus dem
>> sich Promarkt nicht so einfach l�sen kann. Wenn ich jetzt nochmal per
>
> Klar, der Vertrag steht. Aber die wollen sicher gehen, dass es auch
> wirklich die Kreditkarte des Vertragspartners ist, mit der bezahlt
> wurde.
> Ansonsten k�nnte die Buchung platzen, oder wird das durch VBV
> verhindert?
Jein :-) Es m��te ja das Geheimwort mit der Kreditkarte zusammen
abhanden gekommen sein, kann aber ja auch passieren.
> Entweder so, oder der Inhaber widerspricht der Belastung. Bei
> Zahlungen ohne Vorlage der KK sollte das relativ einfach gehen.
Meines Wissens nur bei Mi�brauch. Sowas wie R�ckbuchung bei Lastschrift
geht bei Kreditkarte nicht, und schon gar nicht, wenn man die Zahlung
selbst autorisiert hatte.
Gru�,
Ich wᅵrde es nicht faxen, diese zusᅵtzlichen Daten (Geburtsdatum & Co.)
gehen den Promarkt nichts an. Soweit ich weiᅵ, muss man fᅵr die
Kreditkartenbestellung ohnehin ein paar Euro Aufpreis zahlen.
Ich glaube nicht, dass sie die Bestellung platzen lassen.
Besondere Probleme habe ich ᅵbrigens mit AMEX, da die hᅵhere Gebᅵhren
verlangen, gibt es immer mal wieder ganz unerklᅵrliche Probleme mit der
Karte ...
Es gibt auch VISA-Karten mit Chip (Hersteller: z.B.: AustriaCARD).
Gem. ELV kann der Kartenausgeber festlegen, wann die Karte
ohne PIN,
mit PIN,
mit PIN und Unterschrift,
mit Unterschrift
und mit PIN und Unterschrift und Ausweis
akzeptiert werden soll.
Wenn jetzt VISA die Unterschrift und einen Beleg
für die Ausweiseinsicht haben möchte, hat der Händler
ein Problem, wenn er dies nicht nachweisen kann.
Ich glaube aber, dass die PIN meistens ausreicht aber das
liegt im Belieben der kartenausgebenden Stelle. Offline-Buchungen
machen dann den Ärger, wenn VISA naträglich doch mehr Belege
haben möchte. Ich nehme an, dass im Anschluss an Kartensperrungen
schon mal die Sicherheitsstufe für die nächste Abbuchung ganz hoch
gefahren wird und dann die Karte normal funktioniert.
Kreditkarten sind dank der neuen ELV-Karten nur noch
kaum zu durchschauen. Dazu trifft dem Händler bei
ELV-Karten, die klassisch ausgelesen werden, die
volle Beweislast.
> > Entweder so, oder der Inhaber widerspricht der Belastung. Bei
> > Zahlungen ohne Vorlage der KK sollte das relativ einfach gehen.
>
> Meines Wissens nur bei Mißbrauch. Sowas wie Rückbuchung bei Lastschrift
> geht bei Kreditkarte nicht, und schon gar nicht, wenn man die Zahlung
> selbst autorisiert hatte.
Das lässt sich ja eben in solchen Fällen nicht ohne weiteres
feststellen. Die KK-Nummer kann jeder eingegeben haben.
Aber mit dem geheimen Passwort wird es für Ganoven schwieriger.
Und das die fehlt ist auch gut so. Die Beweislast bei gehackten PINs
reicht mir jetzt schon.
Grüße,
Lars Friedrich
Ludger Averborg schrieb:
...
> Was fehlt?
> Eine gesicherte digitale Unterschrift, die tatsächlich nur die
> jeweilige Person selbst leisten kann. Die fehlt überall. Für den
> elektronischen Umgang mit Behörden, mit Banken, mit dem Handel, mit
> allen möglichen Geschäftspartneren, ja sogar für eine simple email.
gibts schon lange!
--
Viele Gruesse Klaus-Holger Trappe
(E-Mail hierauf verbleibt unbeachtet)
Lars spielt zweifellos auf Abhebungen von Geldautomaten mit PIN-Eingabe
an, wenn die Karte (unstreitig) entwendet wurde oder abhandenkam, aber
streitig ist, ob die PIN mit der Karte zusammen "in falsche Hände
geriet" ("abhanden kommen" kann sie als reines "Datum" ja nicht). Mit
Regelmäßigkeit behauptet der Chaos Computer Club und Ähnliche, aus den
Daten auf der Karte alleine wäre die PIN rückrechenbar, und mit
Regelmäßigkeit behauptet die GZS, dies wäre ausgeschlossen. Nicht selten
schließt sich der Geschädigte im Prozess dann der ersten, das
kartenausgebende Institut der zweiten Ansicht an bzw. trägt diese als
Faktum vor. Die Unaufklärbarkeit führt nach derzeit wohl herrschender
Ansicht - und damit sind wir bei Lars' Bemerkung - zum Unterliegen des
Kunden.
--
Dr. Christian E. Naundorf alias CEN
Nicht zufrieden mit Compliance oder Service in DSRM?
Richten Sie Ihre schriftliche Beschwerde an: Usenet Central
Administration, 1060 W. Addison St, Chicago, IL 60613-4305, USA
> ja nicht). Mit Regelm��igkeit behauptet der Chaos Computer Club und
> �hnliche, aus den Daten auf der Karte alleine w�re die PIN
> r�ckrechenbar, und mit Regelm��igkeit behauptet die GZS, dies w�re
> ausgeschlossen.
was der CCC behauptet, kann man ja zum glueck einfach nachlesen:
http://www.chaoscomputerclub.de/faq/money?language=de#card-robbering
man muss allerdings ganz klar sagen, dass *ohne* die arbeit im umfeld
des CCC weder die unsicherheit der frueher vergebenen PINs aufgedeckt
worden waere, noch die speicherung der PIN auf dem magnetstreifen ein
ende gefunden haette.
> Nicht selten schlie�t sich der Gesch�digte im Prozess
> dann der ersten, das kartenausgebende Institut der zweiten Ansicht an
> bzw. tr�gt diese als Faktum vor. Die Unaufkl�rbarkeit f�hrt nach
> derzeit wohl herrschender Ansicht - und damit sind wir bei Lars'
> Bemerkung - zum Unterliegen des Kunden.
das *war* so, bis vor gut einem jahrzehnt.
http://www.ccc.de/crd/CRD19980921.html
heute ist zwar die PIN wieder auf vielen karten gespeichert, naemlich im
chip, aber da wird von keinem erfolgreichen angriff berichtet. welche
form von angriffen ueblich geworden ist, kann man der tagespresse
entnehmen...
--
"Der letzte Wahlleiter in diesem Land, der derart undemokratisch mit
kleinen und anderen Parteien umgesprungen ist, ist 1946 von einem
alliierten Milit�rtribunal hingerichtet worden."
> Lars spielt zweifellos auf Abhebungen von Geldautomaten mit PIN-Eingabe an,
> wenn die Karte (unstreitig) entwendet wurde oder abhandenkam, aber streitig
> ist, ob die PIN mit der Karte zusammen "in falsche H�nde geriet" ("abhanden
> kommen" kann sie als reines "Datum" ja nicht). Mit Regelm��igkeit behauptet
> der Chaos Computer Club und �hnliche, aus den Daten auf der Karte alleine w�re
> die PIN r�ckrechenbar, und mit Regelm��igkeit behauptet die GZS, dies w�re
> ausgeschlossen. Nicht selten schlie�t sich der Gesch�digte im Prozess dann der
> ersten, das kartenausgebende Institut der zweiten Ansicht an bzw. tr�gt diese
> als Faktum vor. Die Unaufkl�rbarkeit f�hrt nach derzeit wohl herrschender
> Ansicht - und damit sind wir bei Lars' Bemerkung - zum Unterliegen des Kunden.
Es soll F�lle gegeben haben (ich finde das jetzt nicht und wenn ichs
f�nde, h�tte ich keinen Beweis, dass es whar ist), wo der Kunde den noch
verschlossenen Umschlag mit seiner Geheimzahl vorweisen konnte. Aber da
nur sehr wenige Kunden das k�nnen, ist f�r die �brigen wohl nach wie vor
der Beweis erbracht, dass das gar nicht sein kann.
--
Helmut Richter
> On Wed, 21 Oct 2009 10:51:16 +0200, Helmut Richter <hh...@web.de>
> wrote:
>
> >Es soll F�lle gegeben haben (ich finde das jetzt nicht und wenn ichs
> >f�nde, h�tte ich keinen Beweis, dass es whar ist), wo der Kunde den noch
> >verschlossenen Umschlag mit seiner Geheimzahl vorweisen konnte. Aber da
> >nur sehr wenige Kunden das k�nnen, ist f�r die �brigen wohl nach wie vor
> >der Beweis erbracht, dass das gar nicht sein kann.
>
> Und selbst das w�re kein Beweis daf�r, dass die PIN "gehackt" wurde.
Immerhin kann der Kunde den Beweis f�hren, dass er nicht durch sein
Verhalten die PIN offengelegt hat. Ob sie "gehackt" oder erraten wurde,
kann dem Kunden egal sein -- jedenfalls hat er sie nicht versemmelt.
--
Helmut Richter
Wie gesagt, wᅵr's nicht eilig, wᅵrde ich es auch darauf ankommen lassen.
> Immerhin kann der Kunde den Beweis f�hren, dass er nicht durch
> sein Verhalten die PIN offengelegt hat.
Wie soll er das beweisen? In einem Streit gegen die Bank ist
er Partei und kann daher nicht als Zeuge auftreten.
W.
Der Scan meines Personalausweises ist schon einige Jahre alt, die
Adresse stimmt auch nicht mehr (und schon gar nicht mit der
Bestelladresse ᅵberein), war aber zu faul, das Ding nochmal zu scannen.
Hat Promarkt aber offensichtlich gereicht, sie haben die Bestellung
daraufhin freigegeben.
So viel zu zusᅵtzlicher "Sicherheit".
> Mit
> Regelm��igkeit behauptet der Chaos Computer Club und �hnliche, aus den
> Daten auf der Karte alleine w�re die PIN r�ckrechenbar, und mit
> Regelm��igkeit behauptet die GZS, dies w�re ausgeschlossen.
Das war fr�her mal so, heute steht die PIN nicht mehr auf der Karte.
Kannst du gerne beim Club nachfragen.
Gru� Carsten
--
ID = 0x2BFBF5D8 FP = 53CA 1609 B00A D2DB A066 314C 6493 69AB 2BFB F5D8
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://www.temporaryinbox.com/ - Antispam
cakruege (at) gmail (dot) com | http://www.geocities.com/mungfaq/
>> Immerhin kann der Kunde den Beweis f?hren, dass er nicht durch
>> sein Verhalten die PIN offengelegt hat.
>
> Wie soll er das beweisen? In einem Streit gegen die Bank ist
> er Partei und kann daher nicht als Zeuge auftreten.
Um den noch verschlossenen PIN-Umschlag als Beweismittel vorzulegen,
muᅵ er auch nicht Zeuge sein.
... Martin
Er braucht einen Zeugen, da� der verschlossene Umschlag mit der PIN
immer verschlossen war?
Tsch��
Dietmar
--
Lesbar quoten kann so einfach sein:
http://www.learn.to/quote
http://www.volker-gringmuth.de/usenet/zitier.htm
> Er braucht einen Zeugen, da� der verschlossene Umschlag mit der PIN
> immer verschlossen war?
Die PIN-Umschl�ge, die ich kenne, kriegt man nicht mehr zu. Sie werden
ge�ffnet, indem man auf beiden Seiten einen Streifen abrei�t.
--
Helmut Richter
> Das war fr�her mal so, heute steht die PIN nicht mehr auf der Karte.
> Kannst du gerne beim Club nachfragen.
Glaub ich Dir sofort. Und wie funktioniert derzeit eine Auslandsabhebung
am Automaten? (Nur interessehalber - ich habe nicht vor, Straftaten zu
begehen ...)
> Glaub ich Dir sofort. Und wie funktioniert derzeit eine
> Auslandsabhebung am Automaten? (Nur interessehalber - ich habe nicht
> vor, Straftaten zu begehen ...)
durch online-abfrage.
es gibt eigentlich nur noch einen relevanten unterschied zwischen
deutschen und auslaendischen automaten (in bezug auf EC-PIN und den
magnetstreifen): deutsche geldautomaten pruefen ueber das 'Modulierte
Merkmal', ob die verwendete karte ein original ist. an auslaendischen
automaten kann man auch karten mit kopiertem magnetstreifen verwenden.
> Erstens die Karte abgreifen auf dem Postweg und kopieren
> Zweitens die PIN (und den Umschlag kopieren)
> und drittens mein Geld abgreifen.
warum sollte man den aufwendigen zweiten schritt mit dem kopieren des
umschlages einschieben? man kann die zustellung des PIN-briefes ja
einfachst unterdruecken, wenn man ihn eh in den fingern haelt und die
kartendaten schon hat.
> Ludger Averborg <ludger_...@web.de> writes:
>
>> Erstens die Karte abgreifen auf dem Postweg und kopieren
>> Zweitens die PIN (und den Umschlag kopieren)
>> und drittens mein Geld abgreifen.
>
> warum sollte man den aufwendigen zweiten schritt mit dem kopieren des
> umschlages einschieben? man kann die zustellung des PIN-briefes ja
> einfachst unterdruecken, wenn man ihn eh in den fingern haelt und die
> kartendaten schon hat.
Wird in D keine Aktivierung der Karte bei einer Bankfiliale gefordert?
--
Space - The final frontier
> frank paulsen <frank....@gmx.net> writes:
>
>> warum sollte man den aufwendigen zweiten schritt mit dem kopieren des
>> umschlages einschieben? man kann die zustellung des PIN-briefes ja
>> einfachst unterdruecken, wenn man ihn eh in den fingern haelt und die
>> kartendaten schon hat.
>
> Wird in D keine Aktivierung der Karte bei einer Bankfiliale gefordert?
die wird nicht (ueberall) gefordert, obwohl es regelmaessig dazu kommt,
dass karte und/oder pin auf dem postweg abgefangen werden.
> On Wed, 21 Oct 2009 22:56:03 +0200, frank paulsen
> <frank....@gmx.net> wrote:
>
>>Ludger Averborg <ludger_...@web.de> writes:
>>
>>> Erstens die Karte abgreifen auf dem Postweg und kopieren
>>> Zweitens die PIN (und den Umschlag kopieren)
>>> und drittens mein Geld abgreifen.
>>
>>warum sollte man den aufwendigen zweiten schritt mit dem kopieren des
>>umschlages einschieben? man kann die zustellung des PIN-briefes ja
>>einfachst unterdruecken, wenn man ihn eh in den fingern haelt und die
>>kartendaten schon hat.
>
> Warum das gemacht worden ist ahne ich nicht. Es ist aber ganz offenbar
> gemacht worden, denn sonst h�tte ich die ganze Sache ja bemerkt.
ich habe das jetzt bewusst nicht eingekuerzt, weil ich deinen fall noch
nicht so ganz verstehe.
um das mal etwas einzugrenzen:
- fand das vor oder nach 1998 statt?
- fanden die abhebungen im inland oder ausland statt?
- wurde der PIN-brief untersucht, oder ordnungsgemaess vernichtet?
nach den veroeffentlichten faellen ist da naemlich eigentlich nichts
'ganz offenbar', die angelegenheit ist in der von dir vermuteten form
eher nicht typisch.
> Wird in D keine Aktivierung der Karte bei einer Bankfiliale gefordert?
Nein. Wo verlangt man denn das, und wie mu� man sich das vorstellen?
Gr��e,
-thh
--
Deutsches Bundesrecht: <http://www.gesetze-im-internet.de/>
Juristische Informationstexte: <http://th-h.de/infos/jura/>
Linkverzeichnis von Gesetzestexten: <http://rechtliches.de/>
Verbreitete Gesetzestexte im Volltext: <http://dejure.org/>
Menschen fordern viel, wenn der Tag lang ist.
> (OK, wenn die Bank PINs so verschließen kann, dass es aussieht als
> seinen sie nicht geöffnet, werden das andere doch auch können, oder?)
>
Milchverpackungen sind auch so verschlossen, dass es aussieht,
als seien sie nicht geöffnet. Dabei ist das am Anfang ein Stück
Pappe und kein Gefäß.
Genauso funktioniert das mit den Umschlägen.
Man kann sogar einen verschlossenen "Umschlag" innen bedrucken,
ich glaube jedoch nicht, dass dieses Verfahren noch benutzt wird.
> Milchverpackungen sind auch so verschlossen, dass es aussieht,
> als seien sie nicht geöffnet. Dabei ist das am Anfang ein Stück
> Pappe und kein Gefäß.
> Genauso funktioniert das mit den Umschlägen.
> Man kann sogar einen verschlossenen "Umschlag" innen bedrucken,
> ich glaube jedoch nicht, dass dieses Verfahren noch benutzt wird.
Wie muß man sich das vorstellen?
Gruß,
Herbert
>Wie mu� man sich das vorstellen?
Es gibt Papier, in dem druckempfindliche Farbkapseln eingebettet sind.
Innen ein solches Blatt, mit "Nadeldrucker" von aussen bedrucken. Kapsel
platzt, Farbe l�uft aus, Druckpunkt entsteht.
--
mit freundlichen Gr��en! Password Must Be at Least 18770 Characters
Holgi, +49-531-3497854 ! Can't Repeat Any of Your Previous 30689 Passwords
Druckempfindliches Papier. Probier es mit Thermo-Papier aus,
die Beschichtung ist ähnlich. Thermopapier mit stumpfen
Gegenstand "beschreiben" => Text entsteht. Papier drüberlegen
und beschreiben (mit einem nicht schreibenden Gegenstand)
=> Text entsteht.
Oder meinst Du das erst drucken, dann falten und verkleben?
Ist selbstdurchschreibendes Papier schon kostengünstig genug?
Naja, gibt es ja auch lange genug.
Für den Ursprungsfrager, falls er das sehen möchte:
http://www.xerox.de/suppliespage/pdf/katalog.pdf
ist der xerox Produkt-Katalog, in welchem solche Papiere angeboten werden.
> Glaub ich Dir sofort. Und wie funktioniert derzeit eine Auslandsabhebung
> am Automaten? (Nur interessehalber - ich habe nicht vor, Straftaten zu
> begehen ...)
�ber eine Onlineverbindung oder garnicht.
> Glaub ich Dir sofort. Und wie funktioniert derzeit eine Auslandsabhebung
> am Automaten? (Nur interessehalber - ich habe nicht vor, Straftaten zu
> begehen ...)
�ber eine Onlineverbindung oder garnicht.
Gru� Carsten
PS: Ein gro�es Problem ist, da� man die PIN leicht mit manipulierten
Readern abgreifen kann und die Karte dabei ebenfalls kopiert werden kann.
Die kopierten Karten funktionieren zwar nicht in Deutschland aber im
Ausland.
Besserung ist aber in Sicht, der Magnetstreifen wird ausgemustert.
Ist das Fakt, ja? Wenn ich in Las Vegas an den ATM trete, dann baut der
eine Verbindung nach good old Germany auf und wenn das warum auch immer
nicht funzt, dann nix Geld? (Auch an frank) In Moskau? In Warschau? In
Siebenb�rgen?
Nicht dass ich das nicht glauben wollen w�rde, aber ich kann's mir
irgendwie nicht richtig vorstellen. Seid Ihr da sicher?
Also die *offiziellen* Ansagen sind: Es darf nur noch Online
verifiziert werden und es steht noch nicht mal der kleinste
Hinweis auf die PIN auf der Karte (seit ca. 1997).
Damit müsste ein ATM eine Verbind nach "Good old Germany"
aufbauen (oder halt in das Bankennetz der Kartenausgebenden
Bank und dort eine Validierung abfordern).
Es steht natürlich jeder Bank frei, Dir auch Geld so auszuzahlen,
ohne die PIN zu verifizieren. Das könnte außerhalb Europas schon
vorkommen, ist mir aber nicht offiziell bekannt.
Ich werde versuchen, da mal mehr Informationen herauszubekommen.
Es wird jedoch schwer sein, da was "Bankoffizielles" zu bekommen.
> Oliver Jennrich schrieb:
>
>> Wird in D keine Aktivierung der Karte bei einer Bankfiliale gefordert?
>
> Nein. Wo verlangt man denn das, und wie mu� man sich das vorstellen?
UK und NL - jedenfalls die Banken bei denen ich Kunde bin. Man geht mit
der Karte zu einer Filiale der ausstellenden Bank, identifiziert sich
durch das landes�bliche Verfahren, bekommt ein Keypad r�bergeschoben,
steckt die Karte hinein und tippt die PIN ein. Danach erst ist die Karte
auch an Geldautomaten oder anderen PIN-Terminals zu gebrauchen.
> Carsten Krueger schrieb:
>> Am Wed, 21 Oct 2009 21:37:20 +0200 schrieb Christian E. Naundorf:
>>
>>> Glaub ich Dir sofort. Und wie funktioniert derzeit eine
>>> Auslandsabhebung am Automaten? (Nur interessehalber - ich habe
>>> nicht vor, Straftaten zu begehen ...)
>>
>> �ber eine Onlineverbindung oder garnicht.
>
> Ist das Fakt, ja? Wenn ich in Las Vegas an den ATM trete, dann baut
> der eine Verbindung nach good old Germany auf und wenn das warum auch
> immer nicht funzt, dann nix Geld? (Auch an frank) In Moskau? In
> Warschau? In Siebenb�rgen?
>
> Nicht dass ich das nicht glauben wollen w�rde, aber ich kann's mir
> irgendwie nicht richtig vorstellen. Seid Ihr da sicher?
Warum denn nicht? Wenn du eine Webseite aufrufst, die in Siebenb�rgen
gehostet ist, dann klappt das in aller Regel doch auch.
> Ist das Fakt, ja? Wenn ich in Las Vegas an den ATM trete, dann baut der
> eine Verbindung nach good old Germany auf und wenn das warum auch immer
> nicht funzt, dann nix Geld? (Auch an frank) In Moskau? In Warschau? In
> Siebenb�rgen?
>
> Nicht dass ich das nicht glauben wollen w�rde, aber ich kann's mir
> irgendwie nicht richtig vorstellen. Seid Ihr da sicher?
Er braucht die Verbindung doch auf jeden Fall um sicherzustellen,
dass noch genug Kohle drauf ist!
U.
> Ist das Fakt, ja? Wenn ich in Las Vegas an den ATM trete, dann baut
> der eine Verbindung nach good old Germany auf und wenn das warum auch
> immer nicht funzt, dann nix Geld? (Auch an frank) In Moskau? In
> Warschau? In Siebenb�rgen?
naja, ganz so einfach ist es nicht. der automat baut erst mal eine
verbindung zu seiner bank / seiner clearingstelle auf, und dort wird
dann geklaert, wer befragt werden muss, um die zahlung zu autorisieren.
das wird fuer deutsche karten in der regel das system Maestro sein, die
abwicklung erledigt da zumindest im aussereuropaeischen ausland ueber
Mastercard.
> Nicht dass ich das nicht glauben wollen w�rde, aber ich kann's mir
> irgendwie nicht richtig vorstellen. Seid Ihr da sicher?
da gibt es eine schicke grafik mit dem ablauf ueber Maestro unter
verwendung des magnetstreifens:
in der praxis sind auch mischformen im einsatz: in New York, Hong Kong
oder London wirst du automaten finden, die aus gebuehrengruenden direkt
das clearing in deutschland anstossen. dazu braucht es aber in der regel
eine niederlassung einer deutschen bank vor ort.
bedingt durch die einfuehrung des europaeischen zahlungsraumes sehen
die wege innerhalb der EU leicht anders aus, am prinzip der online-
abfrage aendert das (bei verwendung des magnetstreifens) aber nichts.
> On Wed, 21 Oct 2009 23:59:12 +0200, frank paulsen
> <frank....@gmx.net> wrote:
>
>>nach den veroeffentlichten faellen ist da naemlich eigentlich nichts
>>'ganz offenbar', die angelegenheit ist in der von dir vermuteten form
>>eher nicht typisch.
>
> Es w�re eine (dritte) Erkl�rungsm�glichkeit f�r F�lle, wo illegal
> abgehoben wurde, obwohl ein unge�ffneter PIN-Umschlag vorlag.
>
> 1. PIN geraten
> 2. PIN aus der Karte "gehackt"
> 3. PIN-Brief ge�ffnet und eine neue geschlossenen Version erstellt und
> an den Kunden gesandt.
deine moeglichkeit 3. bietet aber fuer mich keinen erkennbaren vorteil
gegenueber der variante 'PIN-Brief ge�ffnet und behalten'...
wesentlich interessanter ist doch bei einer erfolgreichen zusendung
eines verschlossenen PIN-briefes die frage, ob die PIN nicht voellig
ohne angriff auf den brief schon in der bank oder beim dienstleister
abgegriffen wurde.
>>> Wird in D keine Aktivierung der Karte bei einer Bankfiliale gefordert?
[...]
> UK und NL - jedenfalls die Banken bei denen ich Kunde bin. Man geht mit
> der Karte zu einer Filiale der ausstellenden Bank, identifiziert sich
> durch das landes�bliche Verfahren, bekommt ein Keypad r�bergeschoben,
> steckt die Karte hinein und tippt die PIN ein. Danach erst ist die Karte
> auch an Geldautomaten oder anderen PIN-Terminals zu gebrauchen.
Ah, das ist eine interessante L�sung, aber auch wieder ein h�herer
Aufwand (f�r den Kunden). Ich habe bspw. keine Filiale des in meinem
Fall ausstellenden Geldinstituts in 100 km Umkreis ...
-thh
> On Fri, 23 Oct 2009 11:32:23 +0200, frank paulsen
> <frank....@gmx.net> wrote:
>
>>Ludger Averborg <ludger_...@web.de> writes:
>>
>>> 3. PIN-Brief ge�ffnet und eine neue geschlossenen Version erstellt und
>>> an den Kunden gesandt.
>>
>>deine moeglichkeit 3. bietet aber fuer mich keinen erkennbaren vorteil
>>gegenueber der variante 'PIN-Brief ge�ffnet und behalten'...
>>
>>wesentlich interessanter ist doch bei einer erfolgreichen zusendung
>>eines verschlossenen PIN-briefes die frage, ob die PIN nicht voellig
>>ohne angriff auf den brief schon in der bank oder beim dienstleister
>>abgegriffen wurde.
>
> Das w�re dann M�glichkeit Nummer 4.
bis mir jemand erklaert, wo der vorteil fuer den angreifer bei deinem 3.
liegt, halte ich das schlicht fuer ausgeschlossen. ich kenne auch keinen
fall, in dem das mal gerichtsfest belegt wurde, ganz im gegensatz zu den
anderen szenarien.
> Oliver Jennrich schrieb:
>
>>>> Wird in D keine Aktivierung der Karte bei einer Bankfiliale gefordert?
> [...]
>> UK und NL - jedenfalls die Banken bei denen ich Kunde bin. Man geht mit
>> der Karte zu einer Filiale der ausstellenden Bank, identifiziert sich
>> durch das landes�bliche Verfahren, bekommt ein Keypad r�bergeschoben,
>> steckt die Karte hinein und tippt die PIN ein. Danach erst ist die Karte
>> auch an Geldautomaten oder anderen PIN-Terminals zu gebrauchen.
>
> Ah, das ist eine interessante L�sung, aber auch wieder ein h�herer
> Aufwand (f�r den Kunden).
You can't have the cake and eat it.
> Ich habe bspw. keine Filiale des in meinem Fall ausstellenden
> Geldinstituts in 100 km Umkreis ...
Ja, das ist ein Problem. Man kann die Karten angeblich auch per Telefon
aktivieren, allerdings ist mir das noch nicht gelungen - bisher war es
einfacher das anl��lich einer Dienstreise zu erledigen.
>> Ah, das ist eine interessante L�sung, aber auch wieder ein h�herer
>> Aufwand (f�r den Kunden).
>
> You can't have the cake and eat it.
Ja, klar, das ist Abw�gungssache. Das Abfangen der Karte *und* der
getrennt �bersandten PIN halte ich allerdings f�r zwar m�glich, aber
doch eher aufwendig - zumal sich die PIN ja nicht �ndert, man das
Problem also nur einmal bei der (Neu-)Ausstellung einer Karte hat.
Insofern entspricht das in Deutschland �bliche Abw�gungsergebnis
meiner Einsch�tzung.
Gr��e,
-thh
> Oliver Jennrich schrieb:
>
>>> Ah, das ist eine interessante L�sung, aber auch wieder ein h�herer
>>> Aufwand (f�r den Kunden).
>>
>> You can't have the cake and eat it.
>
> Ja, klar, das ist Abw�gungssache. Das Abfangen der Karte *und* der
> getrennt �bersandten PIN halte ich allerdings f�r zwar m�glich, aber
> doch eher aufwendig
Ja, das ist es. Obwohl - man hat schon Pferde kotzen sehen. Das Problem
taucht immer dann auf, wenn PIN und Karte in der Urlaubszeit versendet
werden oder wenn der 'Briefkasten' anderweitig beliebig zug�nglich ist
(z.B. Postfach im B�ro).
> - zumal sich die PIN ja nicht �ndert, man das Problem also nur einmal
> bei der (Neu-)Ausstellung einer Karte hat.
Das ist eine andere Sache. Hier (NL) kann man die PIN �ndern.
> Insofern entspricht das in Deutschland �bliche Abw�gungsergebnis
> meiner Einsch�tzung.
Ich halte das auch f�r ein eher konstruiertes Problem.
>>> Die Beweislast bei gehackten PINs reicht mir jetzt schon.
>> Kannst du das bitte n�her ausf�hren?
> Lars spielt zweifellos auf Abhebungen von Geldautomaten mit PIN-Eingabe
> an, wenn die Karte (unstreitig) entwendet wurde oder abhandenkam, aber
> streitig ist, ob die PIN mit der Karte zusammen "in falsche H�nde
> geriet" ("abhanden kommen" kann sie als reines "Datum" ja nicht). Mit
> Regelm��igkeit behauptet der Chaos Computer Club und �hnliche, aus den
> Daten auf der Karte alleine w�re die PIN r�ckrechenbar, und mit
> Regelm��igkeit behauptet die GZS, dies w�re ausgeschlossen. Nicht selten
> schlie�t sich der Gesch�digte im Prozess dann der ersten, das
> kartenausgebende Institut der zweiten Ansicht an bzw. tr�gt diese als
> Faktum vor. Die Unaufkl�rbarkeit f�hrt nach derzeit wohl herrschender
> Ansicht - und damit sind wir bei Lars' Bemerkung - zum Unterliegen des
> Kunden.
Die Tatsache, ob eine Karte in falsche H�nde geraten ist, hat rein gar
nichts mit der Tatsache zu tun, ob sich allein aus den Daten auf der
Karte die PIN errechnen l�sst.
--
Das ist zwar abstrakt richtig, aber ein Rechtsproblem entsteht nur,
_wenn_ die Karte in falsche H�nde geraten ist. Der Berechtigte wird nur
h�chst selten das Bed�rfnis versp�ren, die PIN r�ckzurechnen.
Oder ich versteh vielleicht nicht, worauf Du mit Deiner Bemerkung hinaus
willst.
--
Dr. Christian E"in Gast auf Erden" Naundorf (aka: CEN)
"Je deutlicher ein OP macht, welche Antwort man gerne h�tte, um so
wahrscheinlicher wird es, dass es gegenteilige, an der Sache vorbei-
gehende oder nicht ernstgemeinte Antworten hagelt." (CENs Korollar 1)
> Und drittens braucht man die PIN gar nicht: Die Karte wird geklaut und
> der Inhalt "mit Telekommunikationsmitteln" an 333 Vertrauensleute im
> Ausland verschickt, die damit ihren Kartenrohling beschreiben.
> Vertrauensmann A probiert die PINs 0000, 0001 und 0002 aus,
> Vertrauensmann B 0003, 0004 und 0005, C ...
Also sind PINs ᅵber 0999 sicher? ;-)
> Entscheidend dabei: Vertrauensmann V hatte einen "Treffer" mit der PIN
> wxyz, und daraus folgert die Bank, daᅵ der Kunde die PIN nicht
> geheimgehalten hat - von den anderen fehlgeschlagenen 997 Versuchen
> weiᅵ die Bank gar nichts.
Spᅵtestens wenn die gefᅵlschte Karte beim dritten fehlgeschlagenen Versuch
eingezogen wird, sollte die Bank davon erfahren. Wenn nicht sogar schon
der erste Fehlversuch an die Bank gemeldet wird.
... Martin
> Die gef�lschten Karten werden nicht eingezogen, sondern nach jedem
> Versuch neu �berschrieben und dadurch der Fehlversuchsz�hler
> zur�ckgesetzt.
warum neu ueberschreiben? der fehlversuchszaehler auf den karten wird
zwar traditionell noch beschrieben, praktisch aber bei der bank
gefuehrt.
dass karten tatsaechlich kopiert werden hat andere gruende.
> Uff, wir kommen doch mit weitaus weniger als 5000 Mitarbeitern aus,
> und die Bank merkt trotzdem nichts...
sie (bzw. das von ihr mit der abwicklung betraute unternehmen) kann
jeden einzelnen fehlversuch sehen.
Bei der Abfrage über den Server (Online-PIN-Validierung) wird der
Fehlerzähler *bei der Bank* hochgesetzt. Bei mehr als 3 Versuchen
weigert sich "der Bankrechner" (nicht der Auszahlungsautomat!), eine
weitere Validierung vorzunehmen. Unter der Randbedingung, das eine
Online-Validierung passiert.
>Sp�testens wenn die gef�lschte Karte beim dritten fehlgeschlagenen Versuch
>eingezogen wird, sollte die Bank davon erfahren.
kann man den Fehlerz�hlern nicht mehr zur�cksetzen?
> Deshalb macht man das ja auch offline im Ausland. Falls �berhaupt so:
abhebungen von kopierten 'EC'-karten finden im ausland statt, da nur
dort die verwendung von kopien moeglich ist.
> Es gibt doch in den Offline-Ger�ten sicherlich einen Algorithmus, der
> pr�ft, ob die PIN g�ltig ist. Und der soll wirklich geheim sein?
es gibt keine offline-geraete mehr, die mit dem kopierbaren
magnetstreifen der 'EC'-karte arbeiten.
der algorithmus der pin-speicherung ist oeffentlich, die ehemals
verwendeten institutsschluessel wahrscheinlich kompromitiert.
> Falls er es nicht ist: Einfach die PINs brute force durchprobieren.
oder man stellt den orbital mind control laser auf 'auslesen'.
> (Ok, ich wei� nicht, ob das wirklich funktioniert.)
weisst du ueberhaupt irgendetwas ueber das thema?
>>>>> Die Beweislast bei gehackten PINs reicht mir jetzt schon.
>>>> Kannst du das bitte n�her ausf�hren?
>>> Lars spielt zweifellos auf Abhebungen von Geldautomaten mit PIN-Eingabe
>>> an, wenn die Karte (unstreitig) entwendet wurde oder abhandenkam, aber
>>> streitig ist, ob die PIN mit der Karte zusammen "in falsche H�nde
>>> geriet" ("abhanden kommen" kann sie als reines "Datum" ja nicht). Mit
>>> Regelm��igkeit behauptet der Chaos Computer Club und �hnliche, aus den
>>> Daten auf der Karte alleine w�re die PIN r�ckrechenbar, und mit
>>> Regelm��igkeit behauptet die GZS, dies w�re ausgeschlossen. Nicht selten
>>> schlie�t sich der Gesch�digte im Prozess dann der ersten, das
>>> kartenausgebende Institut der zweiten Ansicht an bzw. tr�gt diese als
>>> Faktum vor. Die Unaufkl�rbarkeit f�hrt nach derzeit wohl herrschender
>>> Ansicht - und damit sind wir bei Lars' Bemerkung - zum Unterliegen des
>>> Kunden.
>> Die Tatsache, ob eine Karte in falsche H�nde geraten ist, hat rein gar
>> nichts mit der Tatsache zu tun, ob sich allein aus den Daten auf der
>> Karte die PIN errechnen l�sst.
> Das ist zwar abstrakt richtig, aber ein Rechtsproblem entsteht nur,
> _wenn_ die Karte in falsche H�nde geraten ist. Der Berechtigte wird nur
> h�chst selten das Bed�rfnis versp�ren, die PIN r�ckzurechnen.
> Oder ich versteh vielleicht nicht, worauf Du mit Deiner Bemerkung hinaus
> willst.
Vorausgesetzt war das Abhandenkommen der Karte. Also kann dies nicht
unaufkl�rbar geblieben sein, sondern nur, ob aus den Kartendaten die
PIN zur�ckgerechnet werden kann.
Wie kann es aber unaufkl�rbar sein, ob man aus den Kartendaten die PIN
zur�ck rechnen kann, wenn der CCC behauptet, das sei m�glich (und im
�brigen ein Sachverst�ndiger zu einem eindeutigen Ergebnis und damit
einer Aufkl�rung kommen kann)?
--
G�be es in den totalit�ren L�ndern tats�chlich weniger Kriminelle
als woanders, wäre es kein Wunder - dort wurde auch das Verbrechen
verstaatlicht.
-- Gabriel Laub
> Wie kann es aber unaufklᅵrbar sein, ob man aus den Kartendaten die PIN
> zurᅵck rechnen kann, wenn der CCC behauptet, das sei mᅵglich
Auch der CCC ist nicht unfehlbar. Auᅵerdem behauptet er meines Wissens nur,
daᅵ es vor lᅵngerer Zeit mal mᅵglich *war*.
> (und im ᅵbrigen ein Sachverstᅵndiger zu einem eindeutigen Ergebnis und
> damit einer Aufklᅵrung kommen kann)?
Ein (auch von den Banken) unabhᅵngiger Sachverstᅵndiger fᅵr dieses Thema
kᅵnnte nicht leicht zu finden sein.
... Martin
> Auch der CCC ist nicht unfehlbar. Auᅵerdem behauptet er meines
> Wissens nur, daᅵ es vor lᅵngerer Zeit mal mᅵglich *war*.
Es ist aber sehr lange her.
Damals errechnete sich der PIN tatsᅵchlich aus Kartendaten und du
bekamst mit jeder neuen Karte einen neuen PIN, das liegt einige Jahre
zurᅵck.
Die Automaten damals standen ohne Telefonverbindung und mussten die
PIN aus den vorhandenen Daten prᅵfen, lang ist es her.
Harald
> Vorausgesetzt war das Abhandenkommen der Karte. Also kann dies nicht
> unaufkl�rbar geblieben sein, sondern nur, ob aus den Kartendaten die
> PIN zur�ckgerechnet werden kann.
Exakt.
> Wie kann es aber unaufkl�rbar sein, ob man aus den Kartendaten die PIN
> zur�ck rechnen kann, wenn der CCC behauptet, das sei m�glich (und im
> �brigen ein Sachverst�ndiger zu einem eindeutigen Ergebnis und damit
> einer Aufkl�rung kommen kann)?
Seit wann kommen Sachverst�ndige zu eindeutigen Ergebnissen?
In diesem Bereich wird - �hnlich wie bei der Abstammungsfeststellung o.
�. - mit Wahrscheinlichkeiten gearbeitet. Die Beweislastverteilung WAR
(zu den Zeiten, zu denen ich mich damit besch�ftigte) im Prinzip so,
dass der Kunde vollen Gegenbeweis gegen den Anschein, die PIN sei mit
der Karte weggekommen (ergo Kunde habe grobfahrl�ssig gehandelt),
erbringen musste, dies nicht, sondern nur mit einer gewissen, regelm��ig
aber nicht ausreichenden Wahrscheinlichkeit konnte und folglich den
Prozess verlor. Aber ich habe in diesem Thread gelernt, dass meine
Kenntnisse betreffend die technische Seite extrem veraltet sind (was,
wenn es nach dem Rechten ginge, auch die rechtliche Einwertung ver�ndert
haben sollte - hofft man zumindest :-)
>> Wie kann es aber unaufkl�rbar sein, ob man aus den Kartendaten die PIN
>> zur�ck rechnen kann, wenn der CCC behauptet, das sei m�glich
> Auch der CCC ist nicht unfehlbar.
Was nichts daran �ndert, dass eine Beweisaufnahme zur Kl�rung der Frage
f�hrt.
> Au�erdem behauptet er meines Wissens nur, da� es vor l�ngerer Zeit
> mal m�glich *war*.
Na, das ist aber eine etwas andere Aussage.
>> (und im �brigen ein Sachverst�ndiger zu einem eindeutigen Ergebnis und
>> damit einer Aufkl�rung kommen kann)?
> Ein (auch von den Banken) unabh�ngiger Sachverst�ndiger f�r dieses Thema
> k�nnte nicht leicht zu finden sein.
Wieso nicht?
--
"Die Jurisprudenz f�ngt an, mir zu gefallen. So ist's doch mit allem wie mit
dem Merseburger Bier, das erste mal schauert man, und hat man's eine Woche
getrunken, so kann man's nicht mehr lassen."
-- Johann Wolfgang von Goethe
>> Ein (auch von den Banken) unabhᅵngiger Sachverstᅵndiger fᅵr dieses Thema
>> kᅵnnte nicht leicht zu finden sein.
>
> Wieso nicht?
Weil die meisten Leute, die sich mit aktueller Technik fᅵr Bankkarten
auskennen, vermutlich entweder bei Banken oder bei Firmen arbeiten,
deren Kunden Banken sind.
... Martin
> Naja, wie kann man beweisen, da� man etwas *nicht* getan hat?
>
> Also welcher Hafer die Richter gestochen hat, die eine solche
> Rechtssprechung (Beweislast) sich ausdenken, mag mir nicht eingehen.
Hallo Hannah,
das ist an und f�r sich nichts so besonderes, sondern einer der vielen
Spezialf�lle von "Unaufkl�rbarkeit", mit denen die Rechtsprechung halt
irgendwie klarkommen muss. Es ist logisch, dass sich das, was man im
Raum der Unaufkl�rbarkeit f�r "normal", f�r "logisch", f�r "typisch"
h�lt, an dem orientiert, was man kennt und erlebt hat, und da
_unterscheiden_ sich dann halt die Wahrnehmungen der Parteien. Siehe den
Thread von M. Ulrich "Warnung vor der Postbank" - f�r den ist "v�llig
klar", dass ihn die Bank betr�gen will, weil er sich sicher ist, dass
ihm die Karte nicht weggekommen, f�r die Bank ist "v�llig klar", dass
der Kunde sie betr�gen will, weil wer soll denn sonst die Karte mit
fehlerfreier PIN-Eingabe benutzt haben.
Da kann man sich nur anhand dessen, was aktueller Stand der Technik ist,
irgendwie "ranapproximieren" - und _nat�rlich_ wird ein gewisser
Prozentsatz der F�lle im Vergleich mit der "objektiven Wahrheit" -
unterstellt, das gibt es :-) - falsch entschieden werden. Das kann nicht
anders sein bei Beweislastentscheidungen. Man kann die Regeln nur so
versuchen zu bauen, dass sie logisch, widerspruchsfrei sind und
_hoffentlich_ die "gr��ere" Zahl der F�lle richtigherum l�sen helfen.
Aber manchmal erledigt sich das ja auch. Wenn z. B. der Kartentyp
nachweislich ein vor Auszahlung nachweislich abgefragtes Merkmal
besitzt, dessen man sich NICHT durch z. B. Skimming bem�chtigen kann,
hat der Kunde (richtigerweise) schlechte Karten - das Szenario mit der
nachts unbemerkt geklauten und unbemerkt an gleiche Stelle
zur�ckgelegten Karte halte _ich_ f�r zu unwahrscheinlich, um es in die
Betrachtung einstellen zu wollen - aber YMMV :-)
>>> Ein (auch von den Banken) unabh�ngiger Sachverst�ndiger f�r dieses
>>> Thema k�nnte nicht leicht zu finden sein.
>>
>> Wieso nicht?
>
> Weil die meisten Leute, die sich mit aktueller Technik f�r Bankkarten
> auskennen, vermutlich entweder bei Banken
Dann wird er wohl in der Regel nicht als Sachverst�ndiger auftreten.
> oder bei Firmen arbeiten, deren Kunden Banken sind.
Und Du meinst, dass er deswegen vor Gericht wissentlich l�gt? Denn es
geht ja nicht einmal um eine Bewertungsfrage, sondern ein Ja oder Nein -
also wenig Speilraum f�r "schiefe" Darstellungen.
W,
> Und Du meinst, dass er deswegen vor Gericht wissentlich lᅵgt? Denn es
> geht ja nicht einmal um eine Bewertungsfrage, sondern ein Ja oder Nein -
> also wenig Speilraum fᅵr "schiefe" Darstellungen.
Der Fall, dass es auf eine Beweisfrage an einen Sachverstᅵndigen eine
eindeutige Binᅵrentscheidung gibt, ist so selten, dass man ihn mit
hinreichender Genauigkeit ignorieren kann :-9
Wer sein Leben lang nur die taz gelesen hat, wird bestimmte Fragen
anders beantworten - und zwar im Brustton der ᅵberzeugung - als jemand,
der sein Leben lang nur die FAZ gelesen hat. Das ist halt so. Und hat
mit "lᅵgen" nichts zu tun.
--
Dr. Christian E. Naundorf alias CEN
"'Welcher Schwager?' ruft Vetternwirt und wird vor lauter Unschuld
ganz rot - 'Ich habe keine Schwester, und die hat keinen Mann,
und auch der ist schon lange tot!!'" (U. Roski, Die Kuh muss vom Eis)
>> Und Du meinst, dass er deswegen vor Gericht wissentlich l�gt? Denn es
>> geht ja nicht einmal um eine Bewertungsfrage, sondern ein Ja oder Nein -
>> also wenig Speilraum f�r "schiefe" Darstellungen.
>
> Der Fall, dass es auf eine Beweisfrage an einen Sachverst�ndigen eine
> eindeutige Bin�rentscheidung gibt, ist so selten, dass man ihn mit
> hinreichender Genauigkeit ignorieren kann :-9
Na ja, die Frage, ob beim Einlesen der Karte der Echtheitstest erfolg-
reich durchgef�hrt wurde, ist schon ziemlich bin�r. *
Schwieriger wird es dann nat�rlich bei den Nachfragen (wie sicher...).
Trotzdem - es gibt weichere Fragestellungen.
W.
*) People can be divided into 10 categories:
- Those who understand binaries
- and those who don't.
> Ferner k�nnte die PIN im Supermarkt ausgesp�ht und anschlie�end die
> Karte geklaut worden sein.
Eben. Wenn ich hier im Supermarkt sowohl die Geldautomaten als auch die
Kassen sehe - bei der (gef�hlt) deutlichen Mehrzahl der Kunden muss man
regelrecht bewusst und gezielt wegschauen, um die PIN nicht zu sehen.
Unter Anderem, weil die Dinger bis auf einen derma�en ungeschickt
aufgestellt sind und keine Haube/Maske f�r daas Eingabefeld haben, wie
das vielerorts zum Gl�ck �blich ist.
Klar, das ist der Fehler des Kunden, und dass die Bank nicht jedem
ihrer Kunden zus�tzlich noch ein SecurID o.�. bezahlen mag (was auch
wieder geklaut werden kann und wird), ist auch verst�ndlich. Aber
irgendwie ist mir die Sicherheit des Gesamtsystems ob dieser
Beobachtungen dann doch suspekt. (Zum Gl�ck ist das ein Parameter, den
der einzelne Nutzer selbst in der Hand hat. Aber beweis mal vor Gericht,
dass Du die PIN immer zweih�ndig eingibst.)
--
F�r zuverl�ssige Statistiken sind bislang noch
nicht ausreichend viele Universen beobachtet worden.
[Hans Crauel zur Zuverl�ssigkeit von Klimamodellen]
>Kassen sehe - bei der (gef�hlt) deutlichen Mehrzahl der Kunden muss man
>regelrecht bewusst und gezielt wegschauen, um die PIN nicht zu sehen.
Dann schau mal an die Decke des Supermarktes. Ich kenne da einige wo
sich dort (an jeder Kasse) Kameras befinden.
Auf den Baendern ist die PIN sicher zu sehen.
Atschuess
Andreas
Ich habe auch Berichte gelesen, nach denen eine Sparkasse eine Zeit
lang GAen mit Kameras aufgestellt hatte, die das PIN-Feld im Blick
hatten. Was die Berichte allerdings unglaubw�rdig machte, war die
Behauptung, man habe diese Automaten ausgerechnet in Bielefeld gesehen � ;-)
--
F�r 10 EUR im Jahr erfahre ich hier sogar was meine Meinung ist.
Andere Leute m�ssen daf�r heiraten.
[Lars Friedrich �ber UseNet]
> On Mon, 02 Nov 2009 10:08:46 +0100, "Ralf . K u s m i e r z"
> <m...@privacy.invalid> wrote:
>
>>Die gefīŋŊlschten Karten werden nicht eingezogen, sondern nach jedem
>>Versuch neu īŋŊberschrieben und dadurch der FehlversuchszīŋŊhler
>>zurīŋŊckgesetzt.
>
> ... und wir rīŋŊtseln mal wieder, dass der FehlversuchszīŋŊhler auf der
> Karte tatsīŋŊchlich noch genutzt wird und nicht der im Rechenzentrum und
> rīŋŊtseln, ob das in Holland, Marokko oder Asserbeitschan vielleicht
> anders ist.
> Und wirklich wissen wir gar nix.
ja, das ist schon klar, dass ihr nicht wirklich was wisst. aber das
liegt ja nun primaer daran, dass ihr die veroeffentlichten quellen
einfach ignoriert. fuer den fehlversuchszaehler auf dem magnetstreifen
ist seit jahren klar, dass er sicherheitstechnisch nicht mehr relevant
ist, also auch der von Ralf vorgeschlagene angriff ins leere laeuft.
(und das laesst sich ja nun wirklich mit endlichem aufwand ausprobieren:
ein schreibgeraet kostet irgendwas um EUR 200, nach Belgien faehrt man
ganz rasch rueber und nach zehn minuten ist das spielen ja auch schon
wieder vorbei)
die technisch interessanten angriffe liegen doch ganz woanders, und die
konkret stattfindenden, absolut nicht seltenen kartenbetruegereien sind
doch dem modus nach mitlerweile jeder dorfpolizei bekannt.
wenn ihr wirklich kohle machen wollt, gibt es doch nur ein paar wenige
zu diskutierenden loesungswege:
1. ihr fahrt die lukrative standardschiene mit skimmen und schnellem
abheben im ausland
2. ihr fahrt eine neue schiene und skimmt das MM mit, oder wisst, an
welchen automaten das MM nicht abgefragt wird: damit koennt ihr
schnell im inland abheben
3. ihr skimmt oder klaut die karte und bezahlt damit irgendwas leicht
konvertibles. das funktioniert einerseits, weil menschen unvorsichtig
sind, und andererseits, weil an ueblichen kassenterminals das MM
ignoriert wird
4. ihr greift erfolgreich den chip an und holt damit bargeld...
der fall eins ist lullifax, passiert taeglich zig bis sogar hunderte
male und das risiko laesst sich gegen den aufwand relativ genau
abschaetzen. (kein witz, fuer 2008 reden wir von etwa 10.000 sauber
dokumentierten faellen)
der fall zwei ist bisher nicht oeffentlich dokumentiert, aber in
anbetracht der groesse unseres landes auch nicht sooo interessant, dass
man sich ernsthaft einen kopp drum machen muesste.
der fall drei ist die haeufigste fallklasse, wenn man das nach taten
betrachtet, so um die kante 25.000 in 2008. aber der schaden ist halt in
der regel deutlich geringer als bei eins, und die aufklaerungsquote ist
auch deutlich hoeher.
der fall vier ist lustig, und wenn ihr das hinbekommt, bekommen eine
menge leute ganz, ganz grosse schweissflecken im hemd. warum das so
bedrohlich ist, ist uebrigens auch wieder oeffentlich dokumentiert, man
muss es halt nur lesen wollen.
--
"Der letzte Wahlleiter in diesem Land, der derart undemokratisch mit
kleinen und anderen Parteien umgesprungen ist, ist 1946 von einem
alliierten MilitīŋŊrtribunal hingerichtet worden."
>>Spᅵtestens wenn die gefᅵlschte Karte beim dritten fehlgeschlagenen Versuch
>>eingezogen wird, sollte die Bank davon erfahren. Wenn nicht sogar schon
>>der erste Fehlversuch an die Bank gemeldet wird.
> Der groᅵe Mist an der ganzen Sache sind eben diese "sollte", "wenn
> nicht sogar". Wenn das System sicher ist, kᅵnnten die Banken doch die
> Vorgehensweise zu 100 % offen legen, aber so wird verschleiert,
> verschwiegen, geheimgehalten, unbewiesen behauptet und und und.
Meine Ausdrucksweise mit "sollte" u.a. bezog sich darauf, daᅵ *mir* das
nicht genau bekannt ist. Ich weiᅵ einfach nicht, ob und wie genau die
Vorgehensweise bei falsch eingegebener PIN ᅵffentlich dokumentiert ist.
Andere, die sich damit genauer auskennen, haben sich ja dann auch dazu
geᅵuᅵert: offenbar wird tatsᅵchlich jeder Fehlversuch an die Bank ge-
meldet.
... Martin