Kann man Kreditkarten aus der Ferne wirklich mit einer kostenlosen App scannen und unbemerkt beliebig viel Geld abzocken? Nein und das ist auch ganz einfach zu erklären.
Es gibt Mythen, die sind einfach nicht tot zu kriegen. Eine davon ist die Sache mit dem Abscannen von Scheckkarten/ Kreditkarten/ Debitkarten/ Bankkarten/ Girokarten aus der Ferne, um dann unerlaubt und vor allem unbemerkt Geld vom Konto abzuheben. Gerade auf Facebook, Instagram oder TikTok wird vor dieser Masche immer wieder gewarnt. Zumal es nur eine kostenlose App dafür braucht, mit der alle Daten der Kreditkarte aus bis zu 10 Meter Entfernung ohne das man es bemerkt abscannen und dann beliebig viel Geld abheben kann. Was für ein Schwachsinn und die Leichtgläubigkeit der Leute nutzen Geschäftemacher gnadenlos aus und bieten die idiotischen RFID/NFC Schutzkarten und Wallets an.
Warum das absoluter Unsinn ist, was es mit dem scannen wirklich auf sich hat, was man da wirklich abscannen kann und warum man nichts mit diesen Daten anfangen kann, beschreibe ich hier.
Die Welt ist voll mit leichtgläubigen Menschen, die alles glauben, was man ihnen erzählt, ohne sich nur eine Sekunde die Mühe zu machen, genauer zu hinterfragen. TikTok und Instagram ist voll mit den kuriosesten Tipps und Tricks für Smartphones und die eigene Sicherheit. Total bekloppt, was diese Videos für Aufrufe haben, dabei aber echte Fakten gezielt unter den Tisch fallen lassen. In diesem Artikel nehme ich mir mal den Mythos mit dem unerkannten Abscannen von Kreditkarten aus der Ferne.
Welche Technik steckt hinter NFC bzw. RFID?
Die heutigen Bankkarten haben heute einen Chip eingebaut, ähnlich dem neuen Personalausweis, mit dem wir kontaktlos bezahlen können. Sehr bequem, kontaktlos und vor allem schnell. Die Technik dahinter nennt sich NFC (Near Field Communication), bedeutet übersetzt Nahfeldkommunikation und basiert auf Induktion. Es ist so etwas wie der Nachfolger von RFID (Radio Frequency Identification), welches ebenfalls kontaktlos funktioniert und man bis heute von Hotelkarten kennt. Zimmerkarte kurz an den Türgriff halten und wie von Geisterhand öffnet sich die Tür zum Hotelzimmer.
Beim Bezahlen legt man kurz die Bankkarte auf das Terminal oder hält seine Smartwatch dran, um den Bezahlvorgang einzuleiten. Wenige Augenblicke später ist die Zahlung erledigt. Allerdings müsste man dafür tatsächlich nicht mal das Terminal berühren, denn an sich ist die Bezahlung ja kontaktlos möglich, also mit einem gewissen Abstand. Was uns zum Punkt Reichweite von NFC bzw. RFID führt.
Welche Reichweite hat NFC/ RFID?
Die maximale Reichweite von RFID und NFC ist technisch auf rund 10 cm beschränkt. Das kann man auch nicht erweitern, da das dafür genutzte Frequenzband von 13,56 MHz gibt schlicht nicht mehr her. Egal, wie man es dreht und wendet und welche tolle Erfindungen es da geben soll. Es ist nicht möglich, die Reichweite von NFC oder RFID zu erhöhen. Somit ist die Mär vom Scannen der Kreditkarten aus Gott weiß wie viel Metern absoluter Unsinn. Es ist schlicht unmöglich. Moderne Terminals zum Bezahlen erreichen nicht mal annähernd die zuvor genannten und technisch durchaus möglichen 10 Zentimeter. Kann man an jeder Kasse gerne mal ausprobieren. Man hält die Karte oder Smartwatch zum Bezahlen zuerst mal in einem Abstand von ca. 10 Zentimetern an das Terminal. Was wird passieren? In 100% der Fälle rein gar nichts. Dann nähert man sich langsam mit der Karte oder Smartwatch dem Terminal und erst bei gut 4 Zentimetern oder noch weit darunter, wird dann der Kontakt hergestellt und die Zahlung durchgeführt, denn selbst bei modernen Smartphones hat das NFC eine Reichweite von weniger als 2 Zentimetern. Der böse Bube müsste also schon sehr nahe an meine Kreditkarte herankommen, um da etwas auslesen zu können. Wenn es denn etwas wichtiges auszulesen gäbe, denn…
Funktioniert das wirklich mit dem Abscannen der Karte im Vorbeigehen?
Davor wird immer wieder gewarnt. Die bösen Buben scannen die Bankkarte im Vorbeigehen ab. Auf der Rolltreppe, in der Bahn, Bus oder im Getümmel der Großstadt. Kurz mit dem Handy am Opfer entlang streichen, schon hat der böse Bube alle Daten auf dem Handy. So ein Quatsch. Schon mal probiert mit der Karte im Vorbeigehen an der Kasse zu bezahlen? Wird nicht funktionieren, denn zuerst muss mal der Kontakt hergestellt werden, dann kurz die Zahlung autorisiert werden und dann gebucht. Im Vorbeigehen wird nicht einmal der Kontakt aufgebaut werden können, geschweige denn die Zahlung über die Bühne gehen. Genauso wenig funktioniert das im Bus oder Bahn. Erst recht nicht, wenn sich zwischen Karte und Smartphone des bösen Buben etwas Stoff befindet. Auch das habe ich mit einem Kollegen ausprobiert. Trägt der Kollege das Portemonnaie ganz normal in der Jackentasche, ist da schon so viel Stoff dazwischen, so dass kein Kontakt aufgebaut werden kann. Selbst dann nicht, wenn ich das Handy von außen direkt auf die Karte drücke. Da ist einfach zu viel dazwischen.
Dasselbe, wenn der Kollege das Portemonnaie in der Hosentasche trägt. So wie halt die meisten ihr Portemonnaie im Alltag tragen. Selbst durch die dünne Jeans kann ich die Daten nicht auslesen. Auch hier drücke ich mal das Handy direkt auf die Karte. Keine Chance. Also der nächste Versuch. Der Kollege steckt die Karte „nackt“, also ohne Portemonnaie, direkt in die Gesäßtasche seiner Jeans. Wird so zwar niemand machen, aber ich konnte die Karte auf diesem Wege tatsächlich auslesen. Aber auch hier musste ich die Karte zuerst mal richtig unter dem Smartphone positionieren und dann noch kurz warten, bis die Daten angezeigt wurden.
Zum Abschluss dann noch der ultimative Test. Ich lege meine Karte „nackt“ auf den Tisch und versuche die Karte im Vorbeigehen zu scannen. Und klappt das? Nein. Selbst wenn ich gaaanz langsam an der Karte vorbeigehe, kann ich rein gar nichts auslesen. Genau wie eben nackt in der Gesäßtasche, musste ich das Handy auf die Karte legen und kurz warten. Mal so eben im Vorbeigehen abscannen? Unmöglich.
Was kann man da eigentlich per App auslesen?
Tatsächlich genügt eine kostenlose App wie z.B. „Contactless Credit Card Reader“ (Link zum Google Playstore), um ein paar Daten der Bankkarte oder Kreditkarte auslesen zu können. Diese Mär stimmt also schon mal. Aber was liest man da jetzt so aus? Das habe ich natürlich mit meiner Debitkarte von der N26 direkt mal ausprobiert. Man startet die App und hält die Karte hinten an den NFC Chip des Smartphones. Natürlich muss das Smartphone über NFC verfügen. Nach wenigen Sekunden erscheint meine Kreditkarte im Display, aber viel mehr als die Kreditkartennummer und das Ablaufdatum sieht man nicht. Nicht einmal den Namen und erst recht nicht die CVC Nummer. Und ohne den Namen und den dreistelligen CVC Code sind die Kreditkartennummer und das Ablaufdatum nutzlos. Ich habe dutzende Apps ausprobiert, eine Pro-Version einer App sogar gekauft, aber weitere Daten habe ich nicht bekommen. Versucht man nur mit der Kartennummer und dem Ablaufdatum zu bezahlen, wird man nicht weit kommen. Also ist auch diese Panikmache unbegründet.
Geht das Abscannen der Karte auch per Bluetooth?
Auch so ein Märchen. Statt mit NFC, kann man jede Bankkarte im Notfall auch per Bluetooth auslesen. Was für ein Schwachsinn. Keine Bankkarte der Welt verfügt über einen Bluetooth-Chip.
Was, wenn es doch funktioniert?
Selbst für den Fall, dass ein böser Bude die kompletten Kartendaten bekommt, weil er die Karte schlicht klaut, gibt es Grenzen. Von wegen, dass komplette Konten binnen Sekunden leergeräumt wurden und das absolut unbemerkt. Totaler Blödsinn, denn es gibt zwei Schwellen. Entweder 5 Abbuchungen nacheinander oder 150 Euro Gesamtbetrag. Bis dahin sind Transaktionen in der Tat ohne Abfrage des PIN möglich. Also wenn der böse Bube fünf mal 30 Euro abzieht, wird beim nächsten mal der PIN verlangt. Oder beim ersten mal 100 Euro und beim zweiten Versuch noch einmal 100 Euro. Damit liegt er über 150 Euro und muss den PIN eingeben. Hat der natürlich nicht.
Es hält sich auch hart das Gerücht, dass man mit einem mobilen Bezahlterminal im Vorbeigehen das Geld abziehen kann. Das würde in der Theorie tatsächlich funktionieren. Aber wie wir mittlerweile wissen, müsste der böse Bube das Bezahlterminal etwas länger ganz nahe an die Karte bringen. Schon etwas auffällig oder? Zudem sind alle Terminals registriert. Ohne Registrierung bei einer öffentlichen Bank mit damit einhergehender Prüfung der Person, ist so ein Terminal nutzlos, weil es schlicht nichts macht. Somit ist der böse Bube nicht mehr anonym, denn alle Zahlungen sind nachvollziehbar und damit höchst gefährlich für den bösen Buben.
Nutzen diese RFID-Blocker etwas?
Wie man mit dem Unwissen und der Angst so richtig Geld verdienen kann, zeigen die schier unüberschaubare Zahl an Karten mit RFID-Blockern oder ganzen Wallet und Portemonnaies, die die Karten zur spezielle Einlagen schützen sollen. So ein Schwachsinn. Das Geld kann man sich getrost sparen. Denn schon ein bisschen Kleingeld verhindert das Auslesen der Karte. Genauso, wenn man wie ich, mehrere Karten, zusammen im Fach hat. Bei sind es zwei Debitkarten, die zusammen in einem Fach meines Slim-Wallet liegen. Keine Chance da was zu scannen. Wer wirklich Angst hat, soll sich einfach ein Stückchen Alufolie in das Fach legen und schon ist nichts mehr mit scannen.
Und was lernen wir daraus?
Abscannen der Kreditkarte im Vorbeigehen nur mit einem Smartphone und einer kostenlosen App? Alles erstunken und erlogen, um nicht zu sagen Abzocke. Nicht alles glauben, was da so erzählt wird. Am besten selbst ausprobieren. Kurz Google fragen und schon wird man die allermeisten Scharlatane und Dummschätzer enttarnen können. Bevor ein böser Bube das mit dem Abscannen einer Karte probiert, ist es „sicherer“ die Karte direkt zu klauen. Wenn er Glück hat, hat das potentielle Opfer ja noch seine PIN bzw. CVC Code auf die Karte geschrieben oder einen Zettel mit diesen Angaben mit im Portemonnaie und wer so etwas heutzutage wirklich noch macht, dem gehört es nicht anders…