Ist die PIN auf der EC-Karte gespeichert?

[Esmeralda]

Moin zusammen,

sind doch sicher ein paar Banker hier . Meiner Freundin haben sie die Handtasche mit Kredit- und EC-Karte aus dem Womo geklaut und gleich das Konto abgeräumt - mit ihrer Geheimzahl die sie angeblich nur zu hause liegen hatte. Sie sagt, die PIN wäre auf der EC-Karte gespeichert und mit bestimmten Geräten könne man die dann auslesen.

Stimmt das? Ich dachte immer, ohne Geheimzahl kann man mit der Karte nichts anfangen, man liest doch auch immer, daß diese Eingabegeräte von Betrügern manipuliert werden mit Folien auf den Tasten oder Minikameras oder so, das hätten die dann ja gar nicht nötig wenn man einfach die Karte auslesen könnte.

Anneke

[Bomber]

Vielleicht wurde ja ERST die Geheimzahl ausgespäht (eben mit ner Minikamera oder an mit den "Augen") und später wurde die Karte dann gezielt gestohlen. Das wäre "der übliche Weg".

[Esmeralda]

Ist in diesem Fall unlogisch, weil das auf einer Autobahnraststätte passiert ist - es sei denn sie hat da dann vorher irgendwo Geld abgeholt . Sonst müßte ja einer hinter ihr hergefahren sein.

Anneke

[Wiesenpilz]

Nein der Pin ist nicht auf der Karte abgespeichert. Vielleicht hat sie Vorher Geld abgehoben und jemand hat sie bei der Eingabe der PIN beobachtet.

PS na da waren ja wieder zwei schneller wie ich.

[polierpapst]

Die PIN steht nicht auf der EC-Karte. Sie wird durch ein "kompliziertes System" errechnet, das man (angeblich) nicht nachvollziehen kann.

Durch einen Kartenleser kann man aber nicht einfach die PIN ersehen.
Gruß
Ralf

[Wiesenpilz]

Vielleicht hat sie die Tankrechnung mit Karte bezahlt und der dahinterstehende Kunde hat die PIN mitbekommen.
Bekommst du das gestohlene Geld wieder?

[Esmeralda]

Das kann auch sein, ich werd sie mal fragen. Keine Ahnung ob sie das Geld wieder bekommt, aber sie hat das mit der PIN auf der Karte steif und fest behauptet, angeblich hat die Polizei ihr das erzählt . Ich kann es mir ja auch nicht vorstellen.

Anneke

[Schnuffi]

Moin Anneke

Von welchem Land aus wurde das Konto denn leergeräumt?

Ich hoffe, dass deine Freundin bei der Polizei eine KUNO-Sperrung veranlaßt hat, denn das macht die Bank nicht.
Dadurch wird eine Zahlung im Lastschriftverkehr unterbunden.


Gruß Werner

[WeserW]

Die PIN ist natürlich nicht auf der Karte gepeichert und kann auch nicht durch "ein kompliziertes System" berechnet werden.

Vereinfacht erklärt: Der Geldautomat muss an einen Bankserver gekoppelt sein auf dem Karte & eingegebene PIN mit der auf dem Server gespeicherten PIN verglichen werden.

Wenn das Konto der Bekannten nicht per Lastschrift o.ä. verfahren leergeräumt wurde für die man keine PIN braucht wurde sicherlich vorher die PIN ausgespäht, z.B. an der Raststättenkasse.

[Täuberich]

Meines Wissens nach ist der PIN nicht auf der Karte gespreichert, sondern u.a. eine Prüfnummer, aus der die PIN nicht ermittelt werden kann.
Andersrum gehts aber: aus PIN Eingabe in Kombination mit ausgelesener Prüfnummer, BLZ, Kontonummer lässt sich die Gültigkeit der Kombination Karte/PIN feststellen und die Zahlung freigeben.

Andreas

Nachtrag: auch die Bank speichert die PIN nicht. Bei vergesser PIN gibts immer eine neue Karte.

[VirginWood]

Eine beliebte Variante bei Frauen ist diese hier...wird aber keine zugeben wenn das Ding futsch ist

[SpassCaptain]

Zur PIN:

Natürlich ist sie nicht auf der Karte gespeichert.

Aber: Es braucht auch keine Verbindung zum Bankserver um sie zu überprüfen.

Die eingegebene PIN wird in ein Rechenprogramm eingespeist, das lokal auf jedem ec-Cash-Terminal vorhanden ist. Dieses Rechenprogramm spuckt dann eine Zahl aus, und diese Zahl wird mit einer auf der Karte gespeicherten Zahl verglichen, bei korrekter PIN sind sie identisch.

Das Rechenverfahren nennt sich DES = "Data Encryption Standard". Das Verfahren selber ist bekannt, aber es benutzt als Rechenparameter geheime Schüsselzahlen, diese sind aber ebenfalls in jedem ec-Cash-Terminal in geschützter Form gespeichert. Das Einbringen dieser Schlüsselzahlen in den geschützten Speicher des Terminals ist ein hoch abgesicherter und überwachter Vorgang, es ist (angeblich) nicht möglich, die Schlüsselzahlen aus dem Speicher des Terminals irgendwie herauszulesen.

Trotzdem funktioniert die Berechnung nicht rückwärts, d.h. auch das ec-Cash-Terminal kann mit Kenntnis der geheimen Schlüssel nur vorwärts aus der PIN die auf der Karte zum Vergleich benutzte Zahl berechnen, nicht aber umgekehrt.

[erichabg]

Wenn man aber so einen Bankautomaten hat, dann kann man einfach alle 9999 Möglichkeiten durchprobieren bis man die Geheimzahl hat. Oder nicht?
Meines Wissens wurden schon ein paar von den Dingern geklaut.

Grüße
Erich

[Graf Koks]

Zitat:

Zitat von erichabg

Wenn man aber so einen Bankautomaten hat, dann kann man einfach alle 9999 Möglichkeiten durchprobieren bis man die Geheimzahl hat. Oder nicht?
Meines Wissens wurden schon ein paar von den Dingern geklaut.

Grüße
Erich

Die Karte wird nach dem dritten ? Fehlversuch vom Automaten

eingezogen.

[Picton16ft]

Zitat:

Zitat von erichabg

Wenn man aber so einen Bankautomaten hat, dann kann man einfach alle 9999 Möglichkeiten durchprobieren bis man die Geheimzahl hat. Oder nicht?
Meines Wissens wurden schon ein paar von den Dingern geklaut.

Grüße
Erich

du meinst sicher 10.000 Kombinationen (incl 0000)

[Erposs]

Zitat:

Zitat von VirginWood

Eine beliebte Variante bei Frauen ist diese hier...wird aber keine zugeben wenn das Ding futsch ist

Hat meine Mutter auch so gemacht, aber eine fiktive PIn genommen. So ist die Chance erheblich größer, daß die PIN falsch eingegeben wird und der Automat die Karte schluckt.

[Antaris]

Zitat:

Zitat von Wiesenpilz

Vielleicht hat sie die Tankrechnung mit Karte bezahlt und der dahinterstehende Kunde hat die PIN mitbekommen.
...

oder eine Aushilfe in der Tanke hat die PIN,

ich kann nur davor warnen, unterwegs an fremden Tankstellen
mit EC oder Kreditkarte zu zahlen - da gibts bei mir nur bares,
ein mir bekannter Fall (nicht mir persönlich ist es passiert) reichte mir schon, um nur noch bar zu bezahlen. Es gibt dort leider schonmal Aushilfen, die es nur auf die Kartendaten absehen.

[Style]

Ich oute mich auch mal als KartennummeraufdieKarteschreiber.

Nur bin ich so "clever" die aufgeschriebene Nummer (egal welcher meiner diversen Karten auch) immer mittels einer (nur mir bekannten) Formel der höheren Mathematik umzurechen.

Einmal diese Formel gelernt - immer parat!

Nur die Kassiererinnen schauen immer verdutzt, wenn Sie meine Nummer (wie aufs VW Bilden) erblicken. Dann denken sie sich bestimmt - "man ist der bescheuert"!

Dass ich während des Kassiervorganges schon rechne... merken die gar net

[boetli]

oder den richtigen Code einfach im Kopf behalten, ist mir aber auch schon passiert das ich vor einem Bank Automaten gestanden bin und den Pin nicht mehr gewusst habe dann gings halt ohne Geld wieder weg. 15 Min später stand ich vor einem anderen Automaten und die Finger haben den Code ganz normal wie immer eingegeben. Natürlich immer mit abgedeckter Zifferntastatur

[plata]

Hallo zusammen,

Zitat:

Zitat von SpassCaptain

... Das Einbringen dieser Schlüsselzahlen in den geschützten Speicher des Terminals ist ein hoch abgesicherter und überwachter Vorgang, es ist (angeblich) nicht möglich, die Schlüsselzahlen aus dem Speicher des Terminals irgendwie herauszulesen. ...

Alles richtig; die private keys sind aber offensichtlich im Umlauf. Um auf die Ausgangsfrage von Anke zurückzukommen: Man kann die PIN anhand einer geklauten EC-Karte sehr wohl ausrechnen, sofern die EC-Karte einen Magnetstreifen hat. Mit den Daten aus dem Magnetstreifen startet man ein Programm, das alle möglichen Kombinationen unter Anwendung des private keys durchrechnet und das Ergebnis mit den Informationen der EC-Karte vergleicht. Bei entsprechender Rechenleistung funktioniert das in wenigen Minuten. Auf Details möchte ich hier nicht eingehen.

Man überlegt, auf den Magnetstreifen zu verzichten und nur noch einen Chip auf der Karte unterzubringen, mit dem auch die gesamte Kommunikation verschlüsselt wird. Da EC/MAESTRO aber ein europ. System ist und die Kosten des Mißbrauchs noch niedriger liegen als die Einführungskosten eines moderneren Systems, müssen wir weiterhin auf unsere Karten gut aufpassen.

VG Thilo

[Volker Sch]

Zitat:

Zitat von plata

Man kann die PIN anhand einer geklauten EC-Karte sehr wohl ausrechnen, sofern die EC-Karte einen Magnetstreifen hat. Mit den Daten aus dem Magnetstreifen startet man ein Programm, das alle möglichen Kombinationen unter Anwendung des private keys durchrechnet und das Ergebnis mit den Informationen der EC-Karte vergleicht. Bei entsprechender Rechenleistung funktioniert das in wenigen Minuten. Auf Details möchte ich hier nicht eingehen.

Ich hatte mich schon gefragt, wann die erste richtige Antwort auf die Frage kommt. Alle übrigen Antworten hatten etwas von "es nicht sein kann, was nicht sein darf."
Siehe auch hier http://www.schluender24.de/nuetzlich...en-betrug.html

Viele Grüße

Volker

[Akki]

Ich behalte meine PIN in der Regel im Kopf.

Zur Not habe ich sie in mir bekannter umgeschriebener Form nochmal als Teil
einer Telefonnummer eines fiktiven Eintrags im Adressbuch meines Handys.
Bei über 650 Telefonbucheinträgen viel Spass beim Suchen...

[SpassCaptain]

Zitat:

Zitat von plata

,Alles richtig; die private keys sind aber offensichtlich im Umlauf.

Ich denke, das ist weder ausgeschlossen noch erwiesen.

Sofern es die Fälle tatsächlich gibt, in denen die PIN zum Einsatz kam, obwohl der Karteninhaber diese selbst nicht benutzte, und sie sogar angeblich noch im verschlossenen Originalumschlag war, dann würde ich eher folgendes vermuten:

Der Dieb hat im stillen Kämmerlein ein ec-Kartenterminal offline mißbräuchlich verwendet, indem er die 9999 möglichen PINs nach der Reihe probiert und dabei immer wieder den Fehlbedienungszähler zurück gesetzt hat.

Dies kann rein manuell geschehen sein, oder zwecks Zeitersparnis könnte auch das Sicherheitsmodul des Terminals entnommen und an einen Rechner angeschlossen worden sein. Wie schnell das Modul dann diese Abfragen zuläßt weiß ich nicht, aber für grundsätzlich möglich halte ich das.

Damit hätte man dann aber noch nicht die Schlüssel selber ausgespäht, man hätte lediglich diese eine Karte geknackt.

Im Übrigen gibt es ja viele Schlüssel, wovon immer nur einer verwendet wird, jede Karte benennt also die Nummer des für sie zu verwendenden Schlüssels. Sollte also einer der Schlüssel gestohlen und im Umlauf sein, dann könnte man damit nur Karten knacken, die genau diesen Schlüssel verwenden, man müßte also X Karten stehlen, um eine verwenden zu können.

[Picton16ft]

Zitat:

Zitat von payed

Ich behalte meine PIN in der Regel im Kopf.

Zur Not habe ich sie in mir bekannter umgeschriebener Form nochmal als Teil
einer Telefonnummer eines fiktiven Eintrags im Adressbuch meines Handys.
Bei über 650 Telefonbucheinträgen viel Spass beim Suchen...

so hab ich das auch...

[Picton16ft]

Zitat:

Zitat von SpassCaptain

...indem er die 9999 möglichen PINs

Gerne auch noch ein 2. mal 10.000 PINs nich 9999