RFID Skimming

    Zitat von Bardo Thodol

    Zusätzlich fehlt jeglicher RFID-Schutz. Mittlerweile ein absolutes Muss für mich.

    Warum das? Ich kann mich nicht erinnern je von einem Fall von RFID Skimming in Österreich gehört zu haben.


    Soweit ich weiß wird in anderen Ländern auch eher die Zahlungstransaktion mitgeschnitten. Diese findet statt, wenn die Karte nicht in der Geldbörse ist. Da bringt der RFID-Blocker auch nix.


    Außerdem erinnere ich mich an Videos, wo das getestet wurde und diese Scanner schon bei 2 Karten mit RFID Chip in einer Geldbörse versagt haben, weil sie nur eine verarbeiten konnten.


    Ich sehe da die Gefahr nicht gegeben in Österreich, weshalb ich keinen RFID-Schutz habe.

    Das mit den 2 Karten kann ich bestätigen. Ich hab 2 Karten in meinem Geldbörsel und einmal beim Spar versucht zu zahlen, indem ich das Geldbrösel draufgelegt hab, da kam eine Fehlermeldung. Solang so ein Kastel also net alle Karten-IDs abfragt (was zu lang dauert um Leute abzuzocken), ist eigentlich eine 2. oder 3. Karte ein besserer Schutz ;)

    Vorsicht ist die Mutter der Porzellankiste.

    Ich hab's gerade mal ausprobiert (am Smartphone, also ohne spezielle Hard- oder Software). Zwei RFID- und drei normale Karten reichen nicht, um das Signal zu blocken! Klar muss ich da ganz nahe dran, aber mit Spezialhardware geht das auch aus weiterer Entfernung.


    Kreditkartendaten (Name, Nummer und Ablaufdatum) können ganz einfach ausgelesen werden. Das reicht, um zumindest noch in absehbarer Zeit und in gewissen Shops einkaufen zu können. Wobei bei neueren Karten der Name angeblich nicht mehr übertragen wird.

    Allerdings lässt sich der Name oft relativ einfach eruieren (entweder durch Social Engineering, oder z.B. einfach beobachten, aus welchem Haus der "Datenspender" gerade gekommen ist.


    Nachtrag: Skimming-Angriffe hat es auch in Österreich schon gegeben. Nur halt meist mit manipulierten Lese-Terminals (Bankomat, Zapfsäule, ...). Klarerweise hilft hier eine Schutzhülle nicht, sondern nur Aufmerksamkeit. Ändert aber nichts an der Tatsache, dass Skimming bei uns praktiziert wird...

    There is no such thing as too much backup!

    Zitat von Bardo Thodol

    Zwei RFID- und drei normale Karten reichen nicht, um das Signal zu blocken!

    Was passiert denn in diesem Fall? Kann die Scanner-App beide Karten verarbeiten, oder nur eine davon? Die Videos die ich zum Thema sah, sind auch schon sicher 2 Jahre alt und die Technologie hat sich entsprechend weiter entwickelt. Damals gab es ja viel Medienrummel um die Einführung von NFC Karten und der angeblich fehlenden Sicherheit.


    Zitat von Bardo Thodol

    Ändert aber nichts an der Tatsache, dass Skimming bei uns praktiziert wird...

    Das ist korrekt, ich hatte mich unklar ausgedrückt. Mir ist bislang kein Fall in Österreich bekannt wo RFID-Skimming praktiziert wurde, während die Karten in einer Geldbörse waren.


    Gestern habe ich noch etwas mehr zum Thema gelesen. Angeblich ist eine der effektivsten Methoden, um das zu verhindern, tatsächlich eine Geldbörse mit Münzfach. Die Münzen scheinen den Versuch eines Scans auch sehr effektiv zu unterbinden. In meinem Fall mit minimalistischem Kartenetui ohne Münzfach eher blöd. :)


    Ich plane derzeit keine Neuanschaffung einer Geldbörse (hatte mal den iClip testweise, aber der ist mir zu klobig), würde aber vermutlich bei einer Neuanschaffung auch auf RFID-Schutz achten. Wie du sagst, Vorsicht ist immer besser als Nachsicht.


    Da das Thema RFID Skimming aber nicht ganz uninteressant ist: Was fängt man denn mit den gescannten Daten an? Meine Karten sind durch eine Zwei-Faktor-Authentifizierung geschützt (3D-Secure, bzw. Mastercard ID). Ebenfalls fehlt einem Angreifer der CVV Code, und bei neueren Karten der Name, somit kann er keinen Klon der Karte mit den entwendeten Daten erstellen. Beziehungsweise ist so ein Klon nur sehr eingeschränkt nutzbar. Aktuell mit 50 Euro pro Einkauf die kontaktlos möglich sind und ich denke maximal 5 Einkäufe bis der Code eingegeben werden muss. Was die potentielle Schadenssumme sehr reduziert.


    Darüber hinaus zeigt mir meine Banking-App alle Transaktionen per Push-Nachricht in Echtzeit an. Ich würde also sofort (!) auf verdächtige Transaktionen reagieren können und per App die Karte sperren können.


    All das wiegt mich in relativer Sicherheit. Aber 100%ige Sicherheit gibt es eh nie.

    Dreh deine Handy Lampe auf.

    Halte die Karte drüber und suche die RFID Bahnen, die an den Chip als Antenne andocken.

    Bohre ein 1,5 mm Loch in eine geeignete Stelle der Karte in die Leiterbahn.


    RFID Skimming Risk Mitigated


    Und ja, ich hab das schon ein paarmal gemacht, und auch vorher-nachher getestet.

    Bitte um mehr Infos. Was für einen Nutzen hat das? Funktioniert die kontaktlose Zahlung dann nicht mehr?

    Zitat von Ben

    Bitte um mehr Infos. Was für einen Nutzen hat das? Funktioniert die kontaktlose Zahlung dann nicht mehr?

    Passive NFC-Chips, so wie sie in Kreditkarten verbaut werden, haben keine eigene Stromversorgung, sondern werden durch Magnetinduktion über die Antennenspule versorgt. Wenn man diese Antennenspule wie von rand00m beschrieben zerstört - dafür genügt es, sie an einer mehr oder weniger beliebigen Stelle zu durchbrechen -, kann der NFC-Chip nicht mehr versorgt werden und daher weder senden noch empfangen. Damit sind alle kontaktlosen Funktionen der Karte dauerhaft tot.

    Zitat von Ad Lib

    dafür genügt es, sie an einer mehr oder weniger beliebigen Stelle zu durchbrechen

    Man muss vorher schon mit einer starken lichtquelle durchleuchten und gezielt die Antenne anbohren. Den Chip sollte man halt ned anbohren ;)

    Ich benutze schon seit Jahren eine Brieftasche, die alles abblockt. Ist für mich die einfachste Variante mich zu schützen.

    viribus unitis - acta non verba

    Zitat von Ben

    Was passiert denn in diesem Fall? Kann die Scanner-App beide Karten verarbeiten, oder nur eine davon? Die Videos die ich zum Thema sah, sind auch schon sicher 2 Jahre alt und die Technologie hat sich entsprechend weiter entwickelt. Damals gab es ja viel Medienrummel um die Einführung von NFC Karten und der angeblich fehlenden Sicherheit.

    Ich seh' mit der App nur jeweils eine Karte. Allerdings ist das ja eine 08/15-App aus'm Playstore, wo ich keinen Zugriff zu den Rohdaten habe. Daher kann ich die viel spannendere Frage - was würde ein Skimmer sehen - leider so nicht beantworten

    Ja, Münzfächer (und vor allem dann die sich daran ansammelnden Münzen) sind genau das, was minimalistische Geldtaschen NICHT haben. Darum setze ich ja auf eine Geldtasche, die RFID-Schutz quasi "per Design" bietet.

    Weil die Frage aufgetaucht ist, warum ich (man) solche Schutzhüllen nicht verwende(t): Ganz einfach: Ist mir zu aufwändig. Wenn ich an der Kassa stehe, mit den Einkäufen und dem Einkaufswagen hantiere, dann will ich nicht auch noch mit zwei Händen meine Geldbörse zerlegen müssen. Gerade mit der Secrid geht das ja im wahrsten Sinne des Wortes "auf Knopfdruck". Ich gebe zu, dass ich selbst erst davon überzeugt werden musste (weil ich vorher noch schlankere Geldtaschen wie z.B. die Elephant N Wallet im Einsatz hatte). Aber wenn man (wie ich) oft Karten zücken muss, ist Secrid (und die ganzen Klone, die es mittlerweile gibt) eigentlich nicht zu schlagen.


    Das mit der Zweifaktor-Authentifizierung ist übrigens noch immer nicht vorgeschrieben, sondern nur empfohlen. Und solange es Shops gibt, die auch Zahlungen ohne CVV zulassen, ist der dadurch erworbene Schutz ziemlich wertlos.

    Wenn dann ein Einkauf über z.B. 3.000 € gemacht wird, ist der Schaden eh schon eingetreten...


    Zusätzlich: "Mittlerweile" haben auch Zutrittsysteme oder z.B. der Mitarbeiterausweis meiner Firma RFID im Einsatz. Tendenz: Stark steigend. Damit erhöhen sich auch stetig die Missbrauchsmöglichkeiten.

    There is no such thing as too much backup!