ComputerBase Menü
Aktuelles

Sicherheit von Amazon, Onlinebankin und Co

xPrimatic

xPrimatic

Lieutenant
Registriert
Okt. 2014
Beiträge
846
Hallo zusammen,

keine Ahnung ob ich hier richtig bin und ob ich die folgende Thematik auch einfach so im Internet posten darf bzw. sollte.

Falls ich hier falsch bin bzw mein Anliegen generell besser nicht im Internet diskutiert werden sollte, sagt mir bitte bescheid, es geht um meiner Meinung nach recht "verfängliche" Themen.

Wir hatten gerade in der Mittagspause eine spannende Diskussion, die mich, je mehr ich darüber nachdenke, immer mehr beschäftigt - Zahlungsabwicklung im Internet mit Kreditkarte und Co.

Angefangen hatte das alles schonmal mit der "einfachen" Kreditkarte an sich. Wir haben ein wenig darüber debattiert wie sicher eine Kreditkarte ist und sind zu dem Schluss gekommen, dass wir überhaupt nicht begreifen können, dass eine Kreditkarte scheinbar eine so unsichere Sache ist, wie es scheint.

Betrachtet man zum Beispiel die Bestell- und Bezahlabwicklung bei einer Onlinebestellung von Amazon, so tauchen da meiner Meinung nach bereits erhebliche Sicherheitsrisiken auf.

Möchte ich meine Bestellung bei Amazon mit Kreditkarte bezahlen, so brauche ich lediglich die Kreditkartennummer, das Datum, bis wann die Karte gültig ist, einen Namen des Inhabers und im besten Fall noch einen "Sicherheitscode", der allerdings in den meisten Fällen auch (hinten) auf der Kreditkarte steht.

Heißt im Umkehrschluss, wenn ich meine Kreditkarte verlieren sollte und ein anderer Sie findet, kann er (solange ich es nicht bemerke und die Karte nicht gesperrt ist) uneingeschränkt damit einkaufen.

Das kann doch eigentlich nicht wirklich sein oder? Oder ist das wirklich so "einfach"?

Okay dann haben wir noch ein Paar Schritte weiter gedacht... Wenn man die (über die fremde Kreditkarte) bestellte Ware dann auch entgegen nehmen will braucht man noch einen "tote Adresse", um nicht seine tatsächliche Wohnadresse anzugeben und somit aufzufliegen, sowie eine gefakte E-Mail Adresse und ein Fake Amazonkonto, was jetzt aber wahrlich kein Hexenwerk ist. Wenn man dann noch in der Lage ist eine "fremde" IP-Adresse zu benutzen oder einen Proxy-Server zu verwenden steht einem potenziellen Kriminellen doch nichts mehr im Wege oder?

Fand ich schon sehr bedenklich, zumal ich selbst eine Kreditkarte besitze, aber wir haben nochmal weitergedacht und es geht eigentlich noch erschreckender.


Bedenkt man einmal wie leicht man an eine Bankverbindung kommt wird das Übel noch schlimmer. Alleine ein Kauf über E-Bay(Kleinanzeigen) setzt, wenn nicht über payPal bezahlt, schon einen Austausch der Bankverbindung vorraus und Firmen zum Beispiel haben ihre Bankverbindung meist direkt im Internet (am unteren Ende der Seite) oder auf Rechnungen usw stehen.

Jetzt könnte man doch mit den besagten Fakekonten, einer toten Lieferadresse und einer falschen IP Adresse her gehen und über besagte Konten unkompliziert einkaufen oder? Amzon verlangt ja nur eine gültige IBAN und den Namen eines kontoinhabers, der scheinabr auch nicht mit dem Konto abgeglichen wird.

Versteht mich nicht falsch ich oder wir haben nicht vor diese "Lücke" (sofern Sie denn existiert) auszunutzen, sondern machen uns lediglich gedanken, dass wir dadurch relativ schnell zum Geschädigten werden könnten.

Es wäre schön, wenn es hier im Forum Leute gibt, die evtl ein wenig Hintergrundwissen haben und dazu was sagen könnten. Am liebsten wäre es mir sogar, wenn ich mit meinen Vermutungen vollkommen falsch liege :D

Falls das allerdings tatsächlich so, oder so ähnlich umsetzbar ist - wo könnte ich so etwas denn melden? Beim Verbraucherschutz? Oder wer ist für sowas Ansprechpartner?

Bitte sagt mir bzw uns keine kriminelle Energie nach, wir haben lediglich darüber debattiert und die Diskussion hat so ihren Lauf genommen, wir sind echt keine böswilligen menschen :D

LG und danke für kommende antworten.
 
Da hat wohl einer deiner Kollegen oder du zu viel SternTV geschaut?

Grundsätzlich alles möglich, der Karteninhaber ist aber nicht der Geschädigte sondern Amazon/Kreditkartenausgebende Stelle.

Darum sollte man seine Kreditkartenabrechnungen auch prüfen :-)

Die Betrügereien scheinen für Amazon immer noch im Rahmen zu sein, denn glaubt nicht, dass Amazon nicht bewusst ist, dass sie es sehr einfach machen. Einfach für den Kunden, einfach für Betrüger.
 
Zuletzt bearbeitet:
Ja, der Kollege hat gestern SternTV geschaut, war der Grund warum wir das angesprochen hatten :D

Allerdings hatten wir das Thema ein paar Wochen zuvor schonmal angesprochen.
 
Zuletzt bearbeitet:
Na ja. Etwas Paranoia ist da schon in Spiel, oder?

Thema Kredikarte. Genau deswegen sollte man seine Karte niemanden anderen in die Hand geben. Problem gelöst. Und bei Verlust diesen sofort melden. Problem gelöst.

Thema Girokonto. Theoretisch möglich, was Du da schreibst. Man kann zB auch einfach einen Überweisungsträger ausfüllen mit einer bekannten fremden Kontoverbindung als zu belastendes Konto. Und es sich auf seinem gutschreiben lassen. Aber in DE gibt es keine anonymen Girokonten. Der Betrug fällt leicht auf und der Ärger kommt auf dem Fuße.

Und noch zum Thema Girokonten. Empfänger des Geldes und seine Anschrift sollte dann eben auch immer gleich sein mit dem sein, dem das Konto gehört. Da ist dann schon viel Missbrauchspotential weg.
 
So einfach ist das alles nicht. Amazon und eBay habe dabei ein sehr sensibles System. Vor 5 Jahren gab es mal eine Variante, wie man via Paypal und fremder Kreditkarte auf eBay bis 500€ ohne größere Probleme einkaufen konnte. Inzwischen dürfte das wohl gefixxt sein.
Und neuen Amazonaccount machen um mit fremder Kreditkarte oder auch IBAN einzukaufen, ist nicht so leicht wie gedacht. Händler schicken bei Lastschriftverfahren in der Regel nur an die Rechnungsanschrift heraus (bei der ersten Bestellung).
Um es kurz zu halten. Reine Panikmache...
 
Es ist aber durchaus möglich, dass nach Verlust der Kreditkarte und dessen Bemerkung bereits einige Stunden - Tage vergangen sein können (schon alleine aus dem Grund, dass Sie meistens nicht täglich und wenn doch, nicht stündlich benutzt wird). Wer also schnell ist hat eine gute Chance mal "kostenlos" shoppen zu gehen. Das was eigentlich erschreckend ist, ist die Tatsache, dass alle erforderlichen Informationen, die man für einen Kauf benötigt auf ein und der selben karte stehen. Dass es auch anders geht beweist ja zum Beispiel schon gängiges Onlinebanking (mit ihrem TAN Verfahren) oder PayPal (mit ihrem 1 Cent Betrag).

Das mit dem fremden Konto belasten und auf sein konto buchen lassen ist natürlich sehr "doof" - wenn man seine richtigen Kntodaten verwendet sollte ja klar sein, dass man mehr oder weniger direkt auffliegt. Es geht darum Ware mit einem fremden Konto zu bezahlen.
 
Kurze Antwort: Natürlich ist es nicht sicher, war es nie und wird es auch nie werden. (auch nicht mit zusätzlichem mobilTAN Verfahren, welches die neueren Kreditkarten schon unterstützen - man bekommt vor Abschluss der Bestellung noch einen TAN aufs Handy welcher eingeben werden muss. Es macht es sicherer falls man die Karte verliert)

Die Frage ist aber immer, lohnt es sich die Unsicherheiten auszunutzen? Die meisten Kreditkarten haben irgendein Limit, weiters braucht man eben eine entsprechende Adresse wohin die Ware geliefert wird, es muss dann noch unterschrieben werden usw. Dieser Aufwand ist ein paar tausend Euro eigentlich nicht Wert.

Die Bankverbindung ist wieder so ein Spezialfall. Ich weiß nicht wie es jetzt ist, aber die erste Bestellung an eine Adresse über Bankverbindung hatte vor ein paar Jahren ein ~100 Euro Limit bei Amazon. Erst wenn das reibungslos geklappt hat, konnte man sozusagen ohne Probleme mit der Bankverbindung einkaufen, wobei auch hier immer die Lieferadresse eine Rolle spielt und sich glaube ich nicht ändern darf.

Somit ist es nicht sonderlich lukrativ diese Methoden zu missbrauchen, da die tote Adresse einfach viel Aufwand ist und man die erstmal bekommen muss, ohne Rückschlüsse auf die eigene Person zuzulassen.
Der Rest ist einfach Kollateralschaden und geht normalerweise zu Lasten der Onlinehändler oder der KK Unternehmung (sofern man nicht fahrllässig gehandelt hat).

Es bleibt am Ende immer die Frage, wie sicher ist sicher genug. Aufwand + Risiko muss den möglichen Ertrag übersteigen.

Da sind Angriffe auf das Bankkonto an sich schon lukrativer, da lohnt es sich sogar die Mobiltelefone der Nutzer anzugreifen um etwaige mTAN Verfahren auszuhebeln (hab den Namen der Attacke vergessen, gab es vor ein paar Jahren im größeren Stil).
 
xPrimatic schrieb:
Es ist aber durchaus möglich, dass nach Verlust der Kreditkarte und dessen Bemerkung bereits einige Stunden - Tage vergangen sein können (schon alleine aus dem Grund, dass Sie meistens nicht täglich und wenn doch, nicht stündlich benutzt wird).
Zum Vergrößern anklicken....

Und wie soll Deiner Meinung nach dann Schutz aussehen? Wenn Du Dein Börse mit Bargeld verlierst, dann ist auch das weg. Und das auch schon vor der schönen neuen Zeit. Und wenn es wenige Stunden bis ein Tag ist, auch dann reicht das aus. Das KK Unternehmen wird dann gebuchte Zahlungen nicht dem Kunden belasten. Wenn man sich aber ewig Zeit lässt, ja dann ist es eben grob fahrlässig und man sollte einfach so ein Zahlungsmedium nicht verwenden. Zum eigenen Schutz.
 
Meiner Meinung nach sollten nicht alle erforderlichen Daten (die zur Bezahlung im Internet benötigt werden) auf dieser einen Karte stehen. Wie gesagt ein TAN - System (wie beim Onlinebanking) wäre ein gängiges Beispiel oder nicht? Oder halt ein Passwort oder ähnliches.

Aber dass die Bezahlungen rückgängig gemacht werden können (sofern der Verlust rechtzeitig bemerkt wird) hatte ich nicht bedacht und ist natürlich ein gutes Argument.
 
Du vergisst eines. Du bist im Internet nicht anonym. Da kannst du Fakeadressen verwenden wie du willst, deine IP Adresse ist bekannt. Zudem musst du irgendwann auch mal die Ware zu deiner Adresse bzw. in deine Hände kommen, ansonsten haste nicht viel von. Du musst also zwangsweise mal die Ware abholen und das kann man überwachen (die Lieferadresse ist ja bekannt...). Überweisungen, die von einem Überweisungsträger stammen, können zurückgeholt werden, ebenso nachweislich unberechtigte Zahlungen von Kreditkarten. Deine Kontenbewegungen zu überwachen bzw. deine Kreditkartenabrechnungen, dazu bist du ohnehin verpflichtet.

Alles in allem könnte man das 1-2 mal mit viel Glück und vor allem Aufwand durchbringen. Aufwand steht in keinem Verhältnis zu deinem Gewinn. Wiederholst du das aber landest du ganz schnell im Visier der Behörden und bist extrem leicht aufzufinden.

Das ganze ist also nur scheinbar ganz simpel und funktioniert ohnehin nur, wenn du zufälligerweise an jemanden geräts, der seiner Sorgfaltspflicht nicht ausreichend nachkommt.
 
Na ja, es gibt schon zusätzliche Schutzmechanismen bei Visakarten. zB jede Transaktion wir per PIN via SMA autorisiert. Nur nutzt das niemand. Weil es wohl so unbequem ist. Ich habe die Funktion bei meinen Karten aktiviert. Nur nutzt sie nahezu kein Dienstleister. Mit der Begründung, die Kunden wollen das nicht.
 
@ Mustis

Ich glaube du siehst das ein bisschen aus der falschen Sicht und scheinst dir wohl auch nicht alles durchgelesen zu haben!

1. Wenn ich deinen Text so lese, interpretierst du, dass ich das vorhabe auszunutzen?
Wenn ja hast du das falsch verstanden. Mir ist schon klar, dass man damit früher oder später auffliegt und ich würde sowas auch generell nicht machen, selbst wenn man so gut wie "nicht auffliegt". Wenn ich als Geschädigter davon betroffen bin ist mir selbst "nur" 1-2x schon zu viel (wenn man mal von mehreren hundert bis tausend € pro Betrug ausgeht).

2. Ich arbeite in einem mittelständigen IT Unternehmen als Anwendungsentwickler und weiß, dass man im Internet nicht volkommen anonym ist, weiß aber auch, dass es kein Hexenwerk ist über Proxyserver oder andere technische Mittelchen (zumindest erstmal) möglich ist eine "fremde" Identität anzunehmen.

3. Ware abholen könnte ich als krimineller auch um 3 Uhr nachts und maskiert (Es seidenn ich muss bei Erhalt unterschreiben), was aber seit der neuen Funktion "Nennen Sie einen Ablageort" eigentlich auch nurnoch selten der Fall ist?

Ich möchte auch garnicht mit euch streiten und bin froh wenn ihr mit dem geschriebenen Recht habt, da es ansonsten schon echt eine erhebliche Sicherheitslücke darstellt, die eben auch mich gefährdet.
Ergänzung ()

@ BlubbsDE

siehst du, ich zum Bsp wusste garnicht, dass es solche Funktionen gibt, danke für den Hinweis!
 
Das ist natürlich abstrahiert zu sehen wenn ich "du" schreibe. Ich meine damit keine Ansprache an dich direkt... :freak: Ich hätte auch "man" schreiben können, es ist für den Inhalt egal.

Natürlich kann man Proxys verwenden. Erhöht den Aufwand weiter und du entfernst dich immer weiter von deiner anfänglichen Annahme, es sei einfach, schnell gemacht und das System unsicher.

Wenn die Polizei den Ort der Abholung überwacht, weil du inzwischen aufgrund der wiederholten Betrugsmasche Ziel eines Ermittlungsverfahrens geworden bist, wird dich weder die Uhrzeit noch die Maske vor einer Festnahme in flagranti schützen. Maskerade und Uhrzeit unterstreichen dann vielmehr, dass du der gesuchte Täter und kein zufällig Vorbeikommender bist. Hinzukommt, dass du einen Ablageort erstmal bennennen musst und darauf Zugriff haben. Das geht einfach so anonym ebenfalls nicht. Eine Postbox muss du ebenfalls mieten und selbst wenn du das mit gefälschter Identität tust, was ziemlicher Aufwand ist, ist es eine fixe Adresse, die Ermittlern sofort bekannt ist und die man nur überwachen muss um dich als Täter zu identifizieren.
 
xPrimatic schrieb:
eine erhebliche Sicherheitslücke darstellt, die eben auch mich gefährdet
Zum Vergrößern anklicken....
Nicht wirklich. Im Missbrauchsfall meldet man das der entsprechenden Bank und der Betrag wird zurückgebucht. Das ist ärgerlich, aber sehr viel mehr auch nicht. Der eigentliche Leidtragende ist der Shop / Verkäufer. Der steht am Ende nicht nur ohne Geld und Ware da, sondern darf auch noch die Kosten für die Rückbuchung bezahlen.
 
Hmm okay das ändert aber alles letztlich nicht wirklich etwas an meiner Meinung zu der Sache.

Wenn man bedenkt, dass man lediglich eine gefundene Kreditkarte oder (sehr einfach zu besorgende bzw. teils frei zugängliche) Kontoinformationen sowie ein paar Fakeaccounts, eine tote Lieferadresse, einen Proxy und eine leicht kriminell angehauchte Persönlichkeit braucht und damit mal eben (Stundenlohn - technisch gesehen) an jedem Top Manager der Welt vorbei oder zumindest gleich zieht.

Da wird es mMn potenziellen Kleinkriminellen deutlich zu leicht gemacht und wie gesagt die Alternativen bzw sicherheitsrelevanten Ergänzungen scheint es ja zu geben.
Ergänzung ()

Aber schön zu hören, dass es nicht direkt meine Kohle ist, die da fahrlässig gefährdet wird, sondern die der Bank bzw des Kreditinstituts :D Das dürfen die zur Abwechslung ruhig auch mal übernehmen.
 
Zuletzt bearbeitet:
Nur kostet Sicherheit auch was. Sollte man ebenso wenig vergessen, wie all die Möglichen Fallstricke und Konsequenzen, wenn man mit geklauten KK-Daten auf Shoppingtour geht. Da wird ja auch nicht alles nur "blind" durchgewunken. Da bestellt z.B. ein Neukunde (teure) Ware über einen Proxy nach Deutschland an eine Packstation? Je nach System dürften da gleich einige Warnleuchten angehen.
 
Zudem werden systeme auch mißtrauisch wenn neukunden mit einer kreditkarte zahlen, deren besitzer meilenweit von der geüwnschten lieferadresse entfernt wohnt.
 
Jungs, es geht hauptsächlich um Amazon und die haben nun mal absolut lasche Sicherheitsstandards.

Der Rest ist wieder um den heißen Brei herumdiskutiert.

Zur generellen Aufklärung:

Visa und auch Mastercard haben jeweils ein zusätzliches Sicherheitssystem (Verified by Visa / MasterCardSecureCode). Vorteil liegt aber nur beim Händler bzw. der Kartenausgebenden Stelle. Denn mit diesem Sicherheitssystem ist jeder verursachte Schadensfall automatisch fahrlässig und kann dem Kunden angelastet werden. Nicht alle Banken unterstützten diese Verfahren. Man kann also durchaus eine Visa/Master haben ohne diese Verfahren nutzen zu können. Manche Händler/Zahlungsdienstleister setzen diese Verfahren allerdings voraus.

Amazon nimmt eine Sonderstellung ein, denn hier muss nicht ein mal der Name zur Kreditkartennummer passen, geschweige denn der CVC (3 stellige Sicherheitscode) eingegeben werden.

Das wiederum macht Amazon zu einem der wenigen Ausnahmen bei denen man etwas mit durch NFC erbeutete Kreditkartendaten anfangen kann.

In diesem Fall haftet aber Amazon.

Wie gesagt, die Controlling Abteilung von Amazon wird schon wissen was sich mehr rechnet. Entstandener Schaden oder Kosten für höhere Sicherheitsstandards. (Umsatzeinbußen/Umsetzung der Sicherheitsmaßnahmen)

Und das ist der Grund warum SternTV die Mittagspausen mit Panikmache füllt :-)
 
Zuletzt bearbeitet:
Und du verbreitest schlicht falschbehauptungen. Die cvc nummer muss bei amazon angegeben werden. Erst gestern wieder gehabt...
 
Und in welchem Schritt? Ich habe extra für dich noch mal eine Karte ins Konto hinzugefügt, kein CVC.

Zitat Stern:

Wie sicher ist der Online-Einkauf mit Kreditkarte? Überprüft Amazon, ob Name und Kartennummer zusammenpassen? stern TV hat es ausprobiert – und auf den Namen von "Thomas Gottschalk", "Helene Fischer", "Donald Trump" oder "Recep Tayyib Erdogan" bei Amazon die absurdesten Gegenstände geshoppt.
Anlass dafür war die Vermutung, dass es im Amazon-Bezahlsystem eine gravierende Sicherheitslücke gibt, da bei Bestellungen per Kreditkarte offenbar der Name des Karteninhabers mit den übrigen Daten gar nicht abgeglichen wird. Ebensowenig, wie bei Amazon eine Prüfziffer der Karte zur Authentifizierung erforderlich ist.
Zum Vergrößern anklicken....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Phanos
Onlinebanking mit Windows 8 Sicherheit ?
Antworten
14
Aufrufe
4.645
Boogeyman
Boogeyman

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz