37C3 - Oh no: KUNO - Gesperrte Girocards entsperren
ฝัง
- เผยแพร่เมื่อ 5 ต.ค. 2024
- Über „Girodays“ & anderen Kuriositäten
Debitkarte/girocard geklaut? - Schnell sperren lassen … doch was, wenn die Sperrung nicht so wirksam ist, wie es scheint?
Im Rahmen des Vortrages werden Datenschutz- und IT-Sicherheitsmängel im KUNO-Sperrsystem vorgestellt. Das System ist bei > 90 % der Händler in Deutschland im Einsatz und soll seit einem Beschluss der Innenministerkonferenz im Jahr 2005 garantieren, dass das elektronische Lastschriftverfahren (ELV) vor Betrug sicher(er) ist.
Im Rahmen des Vortrages wird unter anderem aufgezeigt, wie es Unbefugten/Taschendieben (über Jahre) möglich war, gesperrte EC- & Debitkarten/ girocards für die ELV simpel zu entsperren. Darüber hinaus werden Streifzüge durch die Themen der IT-Sicherheit, des Datenschutzes und Payments vorgenommen - Vergnügen für alle Datenreisenden ist garantiert :)
Weitere Infos zu den Lücken (Ende des Jahres) unter: giroday.de
Das KUNO-Sperrsystem (Kriminalitätsbekämpfung im unbaren Zahlungsverkehr durch Nutzung nichtpolizeilicher Organisationen) wurde vor über 20 Jahren entwickelt, um Betrug mit EC-Lastschriftverfahren einzudämmen. 96 % aller Händler in Deutschland nutzen direkt oder indirekt die KUNO-Sperrdatei, um sich vor Betrug mittels gefälschter Lastschrift zu schützen. Das System wird vom EHI Retail Institute in Kooperation mit der deutschen Polizei und dem Hauptverband des Deutschen Einzelhandels betrieben. Pro Jahr laufen mehr als 120.000 Meldungen über das System.
Im Rahmen einer Untersuchung konnte nun ermittelt werden, dass Taschendiebe die entsprechende Sperrung von Girocards/Debitkarten simpel aufheben und weiter Betrug begehen konnten. Durch eine Meldung im Rahmen eines Responsible Disclosure-Verfahrens konnten zahlreiche Mängel im Bereich Datenschutz und IT-Sicherheit aufgedeckt und behoben werden.
Im Vortrag wird Tim Philipp Schäfers das KUNO-System genauer vorstellen und Streifzüge durch die Themen der IT-Sicherheit, des Datenschutzes und Payments vornehmen - Vergnügen für alle Datenreisenden (alle Level) ist garantiert :)
Weitere Infos zu den Lücken (Ende des Jahres) unter: giroday.de
Weitere Infos zum KUNO-Sperrsystem:
de.wikipedia.o...\_im\_unbaren\_Zahlungsverkehr\_durch\_Nutzung\_nichtpolizeilicher\_Organisationen
Tim Philipp Schäfers (TPS)
events.ccc.de/...
#37c3 #Security
![ตีสิบเดย์ [FULL] | อาจารย์โอเล่ ญาณสัมผัส ผ่าดวงคนดัง ประเทศไทยจะเป็นยังไงหลังจากนี้!](http://i.ytimg.com/vi/gszT2O76fL4/mqdefault.jpg)
In anderen Ländern hat man das einfach easy mit die Haftung gemacht: Sperrung = Haftung bei der Bank und schon hat die Bank ein Interesse daran sowas zu unterbinden.
In Deutschland auch. §675u BGB.
Sehr guter Talk. Kuno hatte ich 0 auf dem Schirm.
Ich arbeite übrigens im Einzelhandel - sehr großes Unternehmen - und Lastschrift war an dem Tag die Rettung als das Internet ausfiel: Da konnte das Kassensystem auf Lastschrift zurückgreifen.
Ich dachte immer Lastschrift ist so ein EC Karten Feature, geht das mit den neuen Debitcards überhaupt noch? Oder nur wenn sie gleichzeitig GiroCards sind?
Same bei mir. Arbeite in der Reihe der großen 3 Lebensmittelhändler seit 10jahren und hatte von Kuno noch nie gehört. Erschreckend wenn man sich das als Kassierer vorstellt, wie schnell der kund „legal“ abgezockt werden kann weil du der eigenen Bank einfach egal bist.
@@Fantaztig Ich bin mir nicht ganz sicher, das ist nämlich ein ganz schönes Wirrwarr was da in letzter Zeit mit den verschiedenen Kartensystemen passiert.
Meiner Meinung nach muss es aber auch eine Girocard sein.
Bezahlung per NFC funktioniert dann nicht, es muss der physische Chip ausgelesen werden.
Also wenn mal jemand vor dir an der Kasse steht und es mehrfach versucht, bzw immer wieder per NFC versucht, einfach mal darauf hinweisen, dass einstecken der Weg ist.
@@FantaztigNein OLV ist nur bei Girocard möglich.
Als ich aus der Schweiz nach Deutschland gezogen bin war ich sehr schokiert, dass man einfach mit einer Karte und einem Stift alles mögliche bezahlen kann, ohne auch nur den PIN der Karte zu kennen. Persönlich würde ich mir ja wünschen, dass man Lastschrift-Zahlungen mit Karten grundsätzlich sperren lassen kann.
Einfach keine Girocard mehr verwenden.
also die banken (und ggf auch die 116116 sollten über die Notwendigkeit von Kuno zumindest informieren
Oder, und das mag jetzt voellig abwegig klingen, aber man macht KUNO unnoetig und macht diese Sperrungen direkt automatisch wenn eine Karte gesperrt wird.
@@blockbertus nö, überhaupt nicht abwegig, aber solange man Kuno nicht unnötig machen KANN (eben wegen den in der Präsentation benannten Systemen, Kosten etc), sollte zumindest Aufklärung herrschen
Naja, die Banken (bzw. 116 116) empfehlen ja immer eine Anzeige bei der Polizei und die Beamten dort werden im Regelfall die KUNO-Meldung mit veranlassen.
Aber grundsätzlich ist es natürlich ärgerlich, dass man diese separate Meldung fertigen muss. Es wäre halt wirklich einfacher, wenn eine zentrale Meldung die Sperrung sämtlicher Zahlungsvorgänge mit der Kartennr. (ggf. eingegrenzt auf die Kartenfolgenr.) zur Folge hätte.
Mal abwarten, wann das ELV ausstirbt...
Das Problem betrifft ja nur Händler die aus Kostebgründen auf eine garantierte Zahlung verzichten.
Und die Banken haben keine Interesse die Händler für gesparte Bankgebühren auch noch zu belohnen.
@@JoE-68- wenns ums nicht belohnen von gesperrten Karten geht könnte die bank auch sagen "karte ist gesperrt, die Zahlung reichen wir nicht durch" denn den Kunden sollte für so nen scheiß keine Schuld treffen.
Es ist ja auch jede Sparkasse eine Sparkasse für sich selbst.
Genialer Vortrag, danke 🎉
Am Ende wurde gefragt welche Bank man verwenden kann um es zu verhindern. Was ich mich Frage wieso weitere Banken nicht das Feature der Bunq einbauen welches einem erlaubt Lastschriften manuell zu akzeptieren (da es laut Standard 5 Tage Zeit gibt eine anzunehmen aber jede Bank es automatisiert tut)
Einer der vielen Gründe warum ich seit Jahren zu bunq gewechselt bin. Deutsche Banken sind echt eine absolute Frechheit, sowohl was technischer Stand, als auch (Komfort)funktion(en) und Preis angeht. Würde bei einer Volksbank mehr zahlen als bei bunq, für ein Konto ohne Kreditkarte. Bleib dann lieber bei bunq mit 25 Konten und 25 Kreditkarten die ich jeweils jederzeit erstellen/schließen kann.
@@ezikhoyo für 10€ im Monat bekommt man halt wirklich alles was man sich wünschen kann und das bei einer mittlerweile seit >1 Jahr profitablen Bank bei der ich mir nicht sorgen machen muss wie bei den ganzen SolarisBank etc. frontends
@@ezikhoyo thx finally, bin seit ewig bei bunq , deutsche banken sind absoluter verdreckter ranz. Rueckstaendig und Dumm ... genauso wie deutsche IBANs
Weil man es nach Belastung auch komplett unkompliziert zurückgeben kann. 13 Monate lang.
@@thorz7304Ja, und? Dann ist doch das Geld trotzdem erstmal weg. Da ist doch manuelles akzeptieren mit automatischer Akzeptanz nach 7 Tagen deutlich besser, als grundsätzlich alles anzunehmen, völlig egal ob legitim oder nicht.
Interessant ist, dass sie mittlerweile einfach gar keinen Cookie Banner mehr haben, aber trotzdem drei Cookies setzen. Warum auch nicht.
Sind drei technisch notwendige First-Party Cookies. Da ist kein Cookie-Banner notwendig.
@@joestr_ Mein Stand war dass dafür keine Einwilligung, aber praktisch genau das was sie eben vorher hatten, nämlich lediglich die Info, trotzdem notwendig ist. Ist aber wohl tatsächlich so, dass die Erwähnung davon in der Datenschutzerklärung ausreichend ist. Wieder was gelernt.
Über technisch notwendig könnte man aber trotzdem streiten. Der reine Aufruf, ohne Login also ohne Session benötigt zwei Session Cookies? Ich weiß ja nicht.
@@ezikhoyotechnisch gesehen brauchst du für ein Login auch keine Cookies
@@lucsoft Mittlerweile ist vermutlich alles im Local Storage.
Da hat der Server ja auch Zugriff drauf.@@sweetdeal8951
Danke für den talk. Love ccc
Heute ist schönes Wetter, denn bei mir scheint die Sonne!(Niedersachen 10:22 22.09.2024)
Sehr angenehm vorgetragen 👍
Es müssten doch nur die Banken Mitglied bei Kuno sein. Bucht ein Einzelhändler ab, so würde die das ja verweigern. Oder erfolgt der Lastschrift Einzug nicht in Echtzeit sondern als Batch am Abend oder so?
als fix gegen die bruteforce attacke empfehle ich noch 20byte hinzuzufuegen.....
Schön informativ, danke.
Das tolle an Lastschriften ist ja, dass man sie 8 Wochen ohne Angabe von Gründen stornieren kann. Bei gesperrter Karte ist das ja dann auch nicht mehr das Problem des Kunden (§675u BGB regelt).
Übrigens der nächste Grund auf die nutzlose deutsche Sonderlösung Girocard zu verzichten.
Die schreiben dort überall EC-Karte, die letzten EC Karten sollten doch schon vor über einem Jahrzehnt abgelaufen sein. Wieso will man die dann noch sperren?
Ich finde, dass eher das kontaktlose Auflegen der Karte ein Risiko im Falle eines Diebstahls oder Verlustes darstellt.
Ich habe bei meiner Karte die Funktion "kontaktlos bezahlen" deaktiviert, was durchaus an der Kasse zu Verwirrung führt. Das Logo ist zwar drauf, aber die Funktion ist nicht nutzbar.
Andererseits hat das bei Verlust oder Diebstahl auch einen entscheidenden Vorteil: beim Nutzen der Karte muss grundsätzlich die PIN eingegeben werden. Bei anderen Kunden reicht das Auflegen, um zumindest geringen Schaden zu erzielen
Gab es den Talk nicht bereits online?
21:30 Wer skaliert(schönt) denn da die Statistiken? Mehr als 1/6 übrige geblieben, Grafik sagt natürlich 100% Reduktion. Die Zahlen sind sekundär unser Wahrnehmung sagt, sind ja keine Fälle mehr übrig....
Die Grafik sagt nicht 100% Reduktion, da keine Skala angegeben ist. Jeder Datenpunkt ist ausgeschrieben, daher bietet sich eine gestapelte Darstellung von minimal zu maximal zwecks besserer Lesbarkeit an. Dazu kommt, dass es niemals auf 0 fallen kann. Dagegen kann auch kein System schützen, außer man nimmt den Karten die Funktionalität ohne PIN zahlen zu können. Reduktion um ~85% ist doch aber recht enorm.
Ein Graph ist auch kein buntes Bild zum Bestaunen. Es ist eine mathematische Darstellung die es zu Lesen gilt sonst ist sie nutzlos.
@@sleepingcity85 Mir ist klar was die Aussage der Grafik ist und dass das niemals 0 sein kann und ja ich habe auch gesehen, dass die Grafik keine Scala hat.
Und ja ich finde es auch super, dass da so viel gemacht wurde, auch wenn wie hier angesprochen, Niemand wirklich weiß, dass es das gibt. KUNO war mir neu!
Trotzdem bleibt mein Kritikpunkt:
Wenn man aber eine Präsentation damit macht und ich ich kann mir gut vorstellen, dass diese Grafik auch durchaus in einer Präsentation genutzt wurde. Damit hat man visuell noch mehr getan, als die Daten hergeben. Und das ist mein Kritikpunkt. Gab hier mal einen schönen Vortrag über sowas.
Eine Sparkasse ist halt auch keine Bank. Und jedes Kaff hat seine eigene, die ein eigenständiges Unternehmen ist.
Also technisch alles Top, aber die beiden Lacher zeigen eigentlich, dass doch nicht so viel Ahnung da ist, ab der Technik. Das kostet Sympathiepunkte
Spannend, dass die Digitalisierung so weit fortgeschritten ist, dass man ein FAX einsenden kann.
Ist es nicht so, dass man zwangsläufig unterschreiben muss für Lastschrift?
So wie ich es verstehe wird nicht gesagt wer kuno benutzt, damit man aus der info nicht schliessen kann wo man mit gesperrten karten weiter kaufen kann. aber dunno
Wau Holland
Komisch das die Debit Karte keine Erwähnung findet. Giro Karten werden von den Banken doch nur noch verteilt wenn man sie gezielt darum bittet und manchmal auch nur gegen eine Kartengebühr.
Hätte gerne gewusst ob bei der Debit Karte irgend etwas anders ist.
Sperrung geht zumindest bei mir nicht über die 116116, da muss man bei der Bank anrufen.
Irgendwie denke ich nicht, dass dafür das Lastschriftverfahren in der Form existiert.
6:00 "...unbefugt in fremde Datensysteme eindringen..."
Gibt's das auch in befugt, oder muss man dazu ein Auslandgeheimdienst sein...?
20:13 "...wo eben absehbar war, das Banken keine Meldung an den Handel mehr vornehmen..."
a super, die Banken müssen in die Pflicht genommen werden und nicht ein extra Schutzsystem installiert um deren Nachlässigkeit aufzufangen.
6:00 Dafür reicht es auch Inlandsgeheimdienst zu sein ;) Aber klar gibt es das auch in befugt, bspw. im Falle eines Security Audits und/oder Pentests. Dann wirst du ja dafür bezahlst diese System zu testen und in dir fremde Systeme einzudringen.
Ich hoffe, dass eines tages wndlich die giro Card insellösung durch MasterCard und Visa ersetzt wird
Bitte nicht.
Europäische Alternative meinetwegen.
50:00 Die einstellige KartenFOLGEnummer ist überhaupt kein Problem. Es gibt alle vier Jahre eine neue KartenNummer (zum Konto) und die erste Karte hat die FOLGEnummer 1. Verliere ich die hat die Ersatzkarte die FOLGEnummer 2. Geht die in der Waschmaschiehne kaputt hat die nächste Karte die FOLGEnummer 3 usw. Man kann also maximal 10 Karten innerhalb 4 Jahren versaubeuteln. Oder man muss sich eine ganz neue Karten mit neuer KartenNummer zum Konto bestellen (lassen).
Hallo Mully-rv3ve, im Rahmen von KUNO findet keine Erfassung des Ablaufsdatums der Karten statt - sondern rein die Kartenfolgenummer wird erfasst (siehe unter anderem Ansicht von KUNO bei 30:52 im Video).
Insoweit können maximal 10 Sperrungen erfolgen, bis dann alle Karten dauerhaft gesperrt sind (oder komplett freigeschaltet werden müssen). Danke und Gruß Tim Schäfers (der aus dem Vortrag)
Hallo @TimOnSec das Ablaufdatum wird tatsächlich nicht erfasst, aber Mully-r3ve hat schon Recht: Kartefolgenummern sind an kontenbezogene Kartennummern gekoppelt. Die Kartennummerändert sich aber nach einem Turnus (idR 4 Jahre) bei Neuausstellung. Dies ist darin begründet, dass Banken einen jährlichen Rollout an fälligen (sprich abgelaufenen girocards) haben. Diese erhalten oft einen festen Kartennummerkreis. Sollte es bis zum nächsten Rollout einen vorzeitigen Austausch geben, findet eine individuelle Nachproduktion dieser Karte mit geänderter Kartenfolgenummer statt. Bei Volksbanken mit individuellen Designs werden Karten oft vorproduziert. Im Zweifelsfall kann der Bankberater des Vertrauens aber auch einfach eine neue Karte anlegen, die eine andere Kartennummer enthält und so ist das Problem gelöst :)
Danke für den Hinweis und das Ausstellverhalten ist so sicher korrekt dargestellt.
Aber inwieweit ist das Problem gelöst, wenn in der KUNO Sperrdatei bspw. steht, dass aktuell nur eine Kartennummer genutzt werden soll/darf? Dort findet keine Erfassung der Ablaufzeitpunkte statt, sondern das System basiert darauf per IBAN-Abgleich am Point of Sale (POS) mit der zugehörigen Kartennummer zu prüfen, ob Zahlungen möglich sind. Meines Erachtens kann es da weiterhin zu Problemen kommen.
@@TimOnSec Kuno kann einfach alle Sperren löschen, die 5 Jahre alt sind. Spätestens zu diesem Zeitpunkt kann die Karte nicht mehr genutzt werden. (Manche Händler machen das trotzdem, das ist dann allerdings tatsächlich so komplett deren Problem.)
Sind Sie Kunde einer Sparkasse, drücken Sie die 1, sind Sie Kunde einer Bank, dann drücken Sie … 😂 Ich weiß schon warum ich von der Sparkasse weg bin.
Ja da die SparKASSE keine BANK ist sondern ein Kreditinstitut.
Ist eben die richtige Bezeichnung
Jep, genauso ist es. Klassischer FAIL tät ich mal sagen
Meine Bank hat schon Ende 2022 meine Karte durch eine ohne Co-Badging mit Maestro ersetzt. Leider können einige kleine Händler damit nicht umgehen. Also nicht "keine Kartenzahlung" sondern "nur Maestro/Mastercard". (Hat mich schon 2x in peinliche Situationen gebracht, wenigstens wusste einer der beiden Händler, woran es liegt)
Die wollen das nicht, weil sie überteuerte Dienstleister haben.
unfassbar wie die mit unseren daten umgehen.
Wenn man die Lastschrift zurück bucht, dürfte der Laden auf den Kunden zukommen und nach einem Beweis für den Missbrauch fragen. Wenn man das nicht kann, wird man trotzdem bezahlen müssen und bleibt schlussendlich darauf sitzen.
Ist ja recht leicht nachweisbar, wenn man die Karte gesperrt hat.
Es ist primär ein Händlerproblem - Das durch den Geiz der Händler entsteht.
@@JoE-68- die Karte gesperrt zu haben, ist doch kein Nachweis über Missbrauch.
@@CMBurns1000
Der Händler kann ohne Pin oder Unterschrift keine Autorisierung nachweisen, das reicht.
Nach der Rücklastschrift muss der Händler ja vor Gericht nachweisen, dass die Zahlung korrekt war.
Kann man auch präventiv bei kuno sperren lassen? Ist ja eigentlich in meinem Interesse, dass man meine Karte nur mit pin nutzen kann
Talk geguckt?
@@RNLDishostin ja
@@szoszkDann solltest du mitbekommen haben, das es nicht möglich ist seine Karte bei KUNO präventiv sperren zu lassen.
@@crashoverride81 wo wird das denn gesagt?
@@szoszk kann dir nicht sagen wann, wurde es aber, sonst würde ich es auch nicht wissen
Der Hacker machte Hackepeter 😹😹😹
Yes, wirklich beängstigend, wie unbeleckt deutsche Unternehmen und Behörden im IT-Bereich sind.
absolute Gleichgültigkeit
Wäre ja irgendwie praktisch, wenn man die Überwachungskameras an der Kasse direkt damit koppelt und das Video speichert, falls jemand mit einer gesperrten Karte bezahlt.
Einfach kein Deutsches Konto haben.
ja, rueckstaendige banken verdienen nichtmal die aufmerksamkeit
das einzige was gehackt wird sind zwiebeln für MC Doof
Zwiebeln werden geschnitten, nicht gehackt.
ich verstehe seine Frisur nicht :)
er rockt den edgar cut, verstehen nur wenige
was kann Staat eigentlich
Wieso soll der sich um deine Karten kümmern? Eigenverantwortung
Bitcoin kümmert sich drum. Bzw Eth mit den neuen Rollups.😅
Bloß nicht. Internet Traffic heute verursacht schon absurd viel CO2, Proof of Stake Cryptos sind da nur nochmal tausend mal schlimmer. Und so volatil wie bspw Bitcoin ist, würde ich damit nicht bezahlt werden wollen, nur um mir morgen kein Essen mehr kaufen zu können weils mal wieder wie alle paar Monate gecrashed ist.
Dann geh mit deinen Bitcoin mal im Supermarkt Tomaten kaufen....
@@thorz7304Ist möglich, ist jetzt keine sonderlich große Hürde. Davon ab ist Crypto natürlich trotzdem super dämlich, vorallem Proof of Work coins. Alleine die Volatilität macht es nicht nutzbar für alltägliches. Wenn ich mir heute noch ein Luxes Restaurant leisten kann, morgen aber nicht mal mehr die Tomaten im Supermarkt... ist halt einfach keine realistische Alternative zu etablierten FIAT Währungen die (zumeist) nicht so extrem schwanken. Klar gibt's auch Fixed Coins, aber dann hat Crypto halt trotzdem noch tausend andere Issues.
Na toll, Bitcoin hat ja _ganz_ tolle Privatsphäre. ( *nicht* )
Find die DSGVO so nervig mittlerweile :D Aber das ist einfach Deutschland
was wichtig ist bei lastschriften, man kann auch ganz ohne die karte eine lastschrift machen. Einfach so auf "trust me bro"-basis.
Deshalb kann man missbräuchliche lastschriften 13 monate lang zurückbuchen lassen.
Das stimmt. Manche Banken stellen sich allerdings ziemlich an, wenn es weiter zurückliegt als die ersten paar Wochen (Standard-Cut-off). Es gibt sogar Mitarbeiter, die überhaupt nicht wissen, dass das geht, und dann die, denen das zu viel Arbeit ist... Wenn man einen guten Grund hat, dann muss man zur Not hartnäckig bleiben, und es funktioniert (zur Überraschung mancher Bankmitarbeiter). Es kommt da stark auf die Bank an, wie gut die Mitarbeiter darüber informiert sind, was rechtlich geht. Zum Glück für mich arbeite ich selbst in einer Bank und weiß daher einiges, aber es sollte eigentlich nicht sein, dass sowas wie eben beschrieben passiert.