RFID Zapper bauen.

Moderatoren: Heaterman, Finger, Sven, TDI, Marsupilami72, duese

Antworten
Benutzeravatar
Hightech
Beiträge: 11306
Registriert: So 11. Aug 2013, 18:37

Re: RFID Zapper bauen.

Beitrag von Hightech »

Das Zahlen mit NFC geht so:
Bis 25Euro (glaubich) einfach drauf legen, dort wo das Symbol
Bild
zu sehen ist, das funktioniert fast mit jedem EC-Gerät (Tanke, Supermarkt, Restaurant ect).
Piep, fertig.
Ist der Betrag höher muss man Unterschreiben.
Es entfällt das Reinschieben und die Wartezeit.

Es besteht das "theoretische" Risiko das jemand mit einem gehackten oder geklautem mobilen EC-Gerät 25Euro von deiner Karte abbucht, wenn er das Gerät direkt auf deine Arschbacke drückt wo deine Gerlbörse drin ist.
Man muss die Karte schon sehr dircht dran halten.
Das kann man mit einer Schutzhülle verhindern.
Des weiteren kann eine gestohlene Karte misbraucht werden und mehrfach hintereinander in verschiedenen Geschäften bis 25 Euro benutzt werden.
Aber da haftet in der Regel die Bank, wenn man die Karte als gestohlen meldet.
Benutzeravatar
Bastelbruder
Beiträge: 11482
Registriert: Mi 14. Aug 2013, 18:28

Re: RFID Zapper bauen.

Beitrag von Bastelbruder »

Dicht dranhalten :lol: - ich bin seehr sicher, daß eine passende Antenne in einem Aktenkoffer die Abbuchung auf einen Meter Entfernung erlaubt.
Benutzeravatar
Hightech
Beiträge: 11306
Registriert: So 11. Aug 2013, 18:37

Re: RFID Zapper bauen.

Beitrag von Hightech »

Bastelbruder hat geschrieben:Dicht dranhalten :lol: - ich bin seehr sicher, daß eine passende Antenne in einem Aktenkoffer die Abbuchung auf einen Meter Entfernung erlaubt.
Natürlich ist das Möglich, keine Frage.
Nur der Aufwand ist doch recht groß für je 25Euro.
Gut, einmal mit dem Koffer durch die Berliner-S-Bahn am Morgen mach schon ein gutes Sümmchen, aber dazu braucht man ein Konto auf das das Lesegerät die Buchungen machen kann oder darf.
An dieser Stelle wird es kniffelig, denn es wird von der Karte kein "Guthaben" abgezogen, wie es früher mit der Geldkarte war, sondern da läuft ein Buchungsvorgang.
Benutzeravatar
Bastelbruder
Beiträge: 11482
Registriert: Mi 14. Aug 2013, 18:28

Re: RFID Zapper bauen.

Beitrag von Bastelbruder »

Für einen ernsthaften Frickler ist es egal, welchen Aufwand er in den Koffer investiert. Das Thema lautet: Proof of Concept.
Und damit morgens in der S-Bahn ...
Benutzeravatar
Hightech
Beiträge: 11306
Registriert: So 11. Aug 2013, 18:37

Re: RFID Zapper bauen.

Beitrag von Hightech »

In der Tat wurde das auch schon gemacht.
Till
Beiträge: 1162
Registriert: Di 13. Aug 2013, 16:00

Re: RFID Zapper bauen.

Beitrag von Till »

Das gleiche Prinzip macht sich ja jetzt auch "Apple pay" und "Google pay" zu nutze,
nur eben via NFC Schnittstelle des Handys.

Spätestens an dem Punkt wird es dann wirklich kritisch, vor allem bei Android.
Mittlerweile gibt es da ja auch jede Menge "ungewünschte" Software im Umlauf...
Benutzeravatar
queck
Beiträge: 411
Registriert: Mo 26. Aug 2013, 17:41

Re: RFID Zapper bauen.

Beitrag von queck »

Danke für die Tipps zur Deaktivierung und das Röntgenbild :) :)
Ich werde meine Visa-Karte mal anbohren 8-)

Mich stört auch mehr als das Risiko des Geldverlusts, dass ich einen auf mich verweisenden RFID-Tag mit mir herumtrage der bestimmt leicht ortbar ist (habe kein Smartphone ;))
Benutzeravatar
licht_tim
Beiträge: 1472
Registriert: Fr 28. Jun 2013, 09:40
Wohnort: Ganderkesee

Re: RFID Zapper bauen.

Beitrag von licht_tim »

Mit mehreren Karten zusammen im Portemonnaie funktioniert das auch nicht mehr im Vorbeigehen. Da antworten mehrere Karten > Datensalat
Benutzeravatar
Fritzler
Beiträge: 12579
Registriert: So 11. Aug 2013, 19:42
Wohnort: D:/Berlin/Adlershof/Technologiepark
Kontaktdaten:

Re: RFID Zapper bauen.

Beitrag von Fritzler »

Nö, die Karten sind adressierbar.

Und ihr werdet auch noch wundern was sich die Bankster ausdenken wenn das Bargeld weg ist.
Aber das sollte hier nicht diskutiert werden ;)
Benutzeravatar
Rial
Beiträge: 2358
Registriert: Mi 23. Jul 2014, 19:20
Wohnort: Region Hannover

Re: RFID Zapper bauen.

Beitrag von Rial »

Ok.Vielen Dank die Hintergrund-Info :shock:
Benutzeravatar
Freak
Beiträge: 1006
Registriert: Mi 14. Aug 2013, 13:38
Wohnort: 32UNC03848969

Re: RFID Zapper bauen.

Beitrag von Freak »

Rial hat geschrieben:Habe das jetzt aber schon öfter beim Discounter gesehen,
daß die Karte nur draufgehalten wird.Habe mal irgendwo was gelesen,
daß das aber nur bis zu einem bestimmten Betrag funktioniert ?!
Vielleicht kann mich da mal jemand aufklären :roll:
Geht bis 25 Euro ohne PIN. Ich lasse das lieber deaktiviert, obwohl die Karte es könnte.
Die fünf Sekunden habe ich auch noch - vor allem, wenn es um die Sicherheit geht, so ein Gerät kann ja jeder haben.
Wie immer, alles was die Faulheit des Menschen unterstützt, hat irgendwo einen Haken.
xanakind
Beiträge: 12538
Registriert: So 11. Aug 2013, 21:55

Re: RFID Zapper bauen.

Beitrag von xanakind »

Freak hat geschrieben:so ein Gerät kann ja jeder haben.
So ein Gerät hat mittlerweile jeder.
Die meisten haben es sogar immer und überall dabei und immer einsatzbereit: Das Smartphone.
Zumindest beim Android gibt es diverse tolle Apps, mit denen man die Karten auslesen kann.
funktioniert ausgezeichnet. Auch die aktuellen iPhones haben ja nun NFC eingebaut, ob es da allerdings solche Apps geben wird glaube ich eher nicht.
Wenn man jetzt noch die NFC Antenne rausfrührt und.... naja
Ich sehe das auch etwas kritisch.
Benutzeravatar
sukram
Beiträge: 3063
Registriert: Sa 10. Mär 2018, 18:27
Wohnort: Leibzsch

Re: RFID Zapper bauen.

Beitrag von sukram »

Edit: nächste Seite übersehen.

Die 25eur können aber "nur" max. 4 mal am Tag abgebucht werden, dann ist immer die PIN nötig. Genauso bei höheren Beträgen. Unterschrift gibt es hier nirgendwo mehr.

Abgesehen davon muss das Lesegerät ein Zielkonto haben. Und da wird bei missbräuchlicher Nutzung ganz schnell der Hahn abgedreht...
Benutzeravatar
Fritzler
Beiträge: 12579
Registriert: So 11. Aug 2013, 19:42
Wohnort: D:/Berlin/Adlershof/Technologiepark
Kontaktdaten:

Re: RFID Zapper bauen.

Beitrag von Fritzler »

Man muss ja nicht direkt 25€ vom Opfer abbuchen.
Diese Karten husten per NFC deine IBAN raus, eingebettet in anderen Zahlenmüll.
(Zumindest meine von der Sparkasse, aber da das ein Standard ist werden andere Karten das wohl auch tun)
Wenn wer genug IBANs gesammelt hat kann er immer mal kleine Beträge abbuchen, die kaum auffallen.
Das geht dann zB nach Rumänien.
(Mal ehrlich: wie oft checkt ihr euren Kontoauszug?)
Bevor ihr das merkt hat der Täter abheben lassen und ist verschwunden.

Das hat mal son Gelbling wunderbar zusammengefasst:
Digital first, bedenken second.

Nach dem Motto wird schon lange neues Zeug rausgerotzt :roll:
Guckt euch den Gesundheitsakten Talk vom 35C3 an, gruselig.
bastelheini
Beiträge: 1663
Registriert: So 11. Aug 2013, 13:55

Re: RFID Zapper bauen.

Beitrag von bastelheini »

Ja gut aber mit Handy etc. ist die Kontrolle auch einfacher.

Meine Androidapp ist Pingeschützt, meldet sich aber sofort bei Kontobewegung. Teilweise ~1 Sekunde nach Karte auflegen. (IngDiba)
Benutzeravatar
Bastelbruder
Beiträge: 11482
Registriert: Mi 14. Aug 2013, 18:28

Re: RFID Zapper bauen.

Beitrag von Bastelbruder »

Das werden die potenziellen Umbucher sicher wissen und beachten.
Benutzeravatar
Fritzler
Beiträge: 12579
Registriert: So 11. Aug 2013, 19:42
Wohnort: D:/Berlin/Adlershof/Technologiepark
Kontaktdaten:

Re: RFID Zapper bauen.

Beitrag von Fritzler »

Möchtest du dir nicht viel lieber den Vortrag angucken zu den Lücken in den ganzen Bankingapps?
Auf sonem Spielzeug Betriebssystem ist garnichts sicher!
Die Apps selber sind auch offen wie Scheunentore.
https://www.heise.de/newsticker/meldung ... 28363.html

Das ist seit letztem Jahr garantiert nicht besser geworden :twisted:
Benutzeravatar
MatthiasK
Beiträge: 2952
Registriert: Mo 19. Aug 2013, 22:12

Re: RFID Zapper bauen.

Beitrag von MatthiasK »

Diese ganze NFC-Technik bei den EC-Karten hat nur ein wirklich wirksames Sicherheitsmerkmal, das gleiche wie die Keyless-Klau-System: Die 1/r²-Dämpfung der Freiraumausbreitung und begrenzte Sendeleistung. Hier kann man mit sehr einfacher Analogtechnik (Mischer und Verstärker) schon viel reißen.

Die Hin-Richtung beim NFC-Verlängerer wäre wirklich nur das Trägersignal auf eine andere Frequenz umsetzen und wieder regenerieren. Auf dem Rückweg braucht man etwas mehr (man muss ja die Antwort der Karte erkennen und simulieren können), war aber schon alles in der Elektor beschrieben.

Jetzt fehlt nur noch ein NFC-Bezahlterminal, wo keiner komisch guckt, was man da macht. Hier bieten sich Verkaufsautomaten, z.B. für Tabakwaren, an. Das hätte zwei Vorteile: 1. ist das Terminal nicht mit dem eigenen Konto verknüpft und 2. soll man original versiegelte Zigarettenpackungen mit echter Steuermarke problemlos wieder an den Großhandel zurück verkaufen können (daher werden diese auch so gerne gestohlen).

Ein Arbeitskollege meinte zu mir sogar mal, dass er mir das Geld sogar schenken würde, wenn ich in einem PoC mit seiner Karte bezahlen würde, ohne dass er es merkt. Vielleicht sollte ich auch einfach nur mal versuchen, ihn an der Stechuhr aus der Entfernung auszubuchen...
Antworten