comdirect

Danke für Dein Feedback. Ich antworte wieder ausführlich.

Wieso gibst Du bei einem unbekannten Shop Deine Kreditkartendaten inklusive CVV ein?

Der Shop hat schon gewonnen, wenn er diese Daten zusammen mit Deinem Namen und der PLZ hat, denn zumindest aktuell ist es noch so, dass Verified by Visa nicht für alle Zahlungen erforderlich ist. Falls das auch in Zukunft so bleibt, hat der Shop überhaupt keinen Grund Dich weiterzuleiten.

Es ist auch nicht klar, wohin er Dich eigentlich leiten sollte, denn aus der Kreditkartennummer geht der Name Deiner Bank gar nicht hervor.

Selbst falls es doch irgendwie einen Weg geben würde, das ist mit unglaublich viel Aufwand verbunden und die Chance, dabei entdeckt zu werden ist sofort unglaublich hoch (Seite enthält dynamische Daten aus dem Kundenkonto der Bank, jede Bank sieht anders aus und braucht eine eigene URL, TLS-Zertifikat muss passen und legitim aussehen). Das wird vermutlich nicht passieren und es bietet auch keinen Vorteil, denn mit der PIN alleine kann man nichts anfangen.

Ich sehe übrigens nicht nur das Gute. Ich habe das jetzt schon zweimal betont: Meine Kritik richtet sich gegen die vorgebrachten Argumente und die Panikmache der ersten Seite dieses Threads. In der Sache selbst habe ich mich noch gar nicht geäußert.

Das mache ich aber mal, wo wir schon dabei sind.

Ich finde, man kann das Verfahren in jedem Fall noch verbessern – es wurde z.B. schon eine explizite PIN/ein explizites Passwort für VbV/Visa Secure genannt. Es wäre besser, ein zweites, eigenes Passwort für diese Zahlungen zu haben. Und wo wir schon dabei sind, ein weiteres nur für die Telefonhotline. Dazu gibt es aber einen anderen Thread.

Die Abwägung über die Ausgestaltung der Zugangsdaten trifft die comdirect – zwei Passwörter sind in der Verwendung komplizierter als eins und erzeugen vielleicht mehr Supportaufwand bzw. senken die Kundenzufriedenheit, weil Zahlungen nicht mehr durchgeführt werden können, wenn das Passwort nicht zum richtigen Zeitpunkt bekannt ist oder gefunden wird. Es läge an den Kunden, entsprechend Druck zu machen oder am Regulierer, es vorzuschreiben.

Ich finde es auch nicht gut, dass man bei PushTAN keine PIN eingeben muss. Vermutlich beruft sich die codi darauf, dass die App ja mit einem Passwort bzw. Biometrie gesichert ist, wodurch sich wieder zwei Faktoren ergeben. Ich würde es aber lieber mit einem Passwort machen, das nicht an die App gekoppelt ist.

Da ich diese App nicht benutze, ist mir das aber egal.

Sicherheit steht oft der Bequemlichkeit im Weg. Wenn man sich mit der Thematik "Erkennung von Phishing" nicht auseinandersetzen will, ist man weniger sicher. Es kann sich also jeder selbst überlegen, wieviel Sicherheit er da gerne hätte, das betrifft ja nicht nur Kartenzahlungen.

Ein Sicherheitsverfahren der Bank muss für alle Kunden Sicherheit bieten. Ich sehe nicht ein, dass man dabei Abstriche machen sollte, damit es "einfacher" zu verstehen ist. Stattdessen muss man besseres Informationsmaterial bereitstellen, damit Kunden das Verfahren und die Schutzmechanismen verstehen können.

Also brauchen wir von der Bank z.B. auch die Veröffentlichung von TLS-Zertifikat-Fingerabdrücken und Informationen dazu, wie man diese im Browser überprüfen kann! Das hat die codi (und soweit ich weiß auch keine andere deutsche Bank) bisher nicht.

Ich biete mal wieder einen Vergleich an, mal sehen ob der diesmal gut verständlich ist: Erkennung von gefälschten Geldscheinen. Es gibt haufenweise Sicherheitsmerkmale.

Weißt Du, wie gut die nachzumachen sind? Könntest Du alle Merkmale auf einem 50 Euro-Schein nennen ohne sie nachzuschlagen? Würdest Du einen gefälschten Schein erkennen?

Ich vermute Nein. Aber die Information sind auffindbar und lernbar.

Wenn Du das nicht lernst und weiterhin 50 Euro-Scheine annimmst, trägst Du halt das entsprechende Risiko, auf eine Fälschung reinzufallen.

@Ihr Nickname 
Ich bin ein wenig überascht, dass ich das überhaupt noch erklären muss:

jemand sucht bei google ein Produkt und wird fündig bei "superduperprodukte.com". Dort kostet das Produkt nur 200€ statt 300€. Also klickt er auf "bestellen", wählt als Bezahlmethode "VISA" aus. Dann wird er aufgefordert, die Kartennummer einzugeben. Dann kommt ein Hinweis, dass eine Sicherheitsüberprüfung stattfindet und ein Popup geht auf. Dieses Popup ist ohne URL-Zeile, enthält aber eine gefakte Pseudo-URL. Das Popup ist eine Kopie der comdirect-Seite, liegt aber natürlich auf dem Server der Betrüger. Dort soll er sich jetzt mit PIN oder vielleicht auch TAN identifizieren. (Anhand der Visa-Nr 426354... weiss man, dass die von der comdirect ist).
Natürlich würden bei den Mitlesern hier die Alarmglocken anspringen, aber 95% der User draussen würden da nicht weiter nachdenken, zumal wenn man viel im Internet kauft.

Ich habe es nachgelesen, anhand der ersten 4 Ziffern kann man scheinbar tatsächlich die herausgebende Bank der Karte identifizieren. Ich hätte gedacht, dass es weltweit bestimmt mehr Geldinstitute gibt, so dass das nicht möglich wäre. Offenbar habe ich mich geirrt!

Wieso überrascht es Dich, dass Du das Angriffsszenario im Detail beschreiben musst?

So funktionieren Fachdiskussionen. Man sagt nicht einfach "es ist leicht, X zu machen" sondern gibt dann auch an, wie man es macht und wieso das leicht ist. Ich habe ja auch erklärt, wieso es nicht leicht ist und zudem überflüssig, aber darauf bist Du leider überhaupt nicht eingegangen.

In Deinem Beispiel basiert der Angriff darauf, dass es der Angreifer schafft, eine falsche Adresszeile zu implementieren, was 95% der Benutzer nicht erkennen würden. In einem solchen Fenster fragt er dann eine PIN und/oder TAN ab.

Mal abgesehen davon, dass ich am Ende schreibe, dass wir den Leuten mehr Informationen geben müssen, damit sie sowas eben doch erkennen können:

Was hat das von Dir geschilderte Szenario jetzt mit der konkreten Änderung im Verified by Visa/Visa Secure zu tun, um welches es hier im Thread geht?

Zusätzlich zur TAN.-Abfrage kommt die PIN hinzu. Ein Angreifer, der bereits TAN-Abfragen täuschend echt nachbauen konnte, wird durch die Änderung nicht betroffen sein. Das einzige Argument, was Du daraus ableiten könntest, ist "bringt nichts, kann man immernoch leicht überwinden". Das scheint aber nicht Dein Argument zu sein, also gehe ich da auch erstmal nicht weiter drauf ein.

Wenn in dem Fenster eine PIN abgefragt wird: Das ist nicht schlimm, damit kann der Angreifer nichts anfangen.

Wenn in dem Fenster eine TAN abgefragt wird: Hier fallen mir so viele Fragen zu ein, ich fange mal mit einer an: Welche Daten kodiert der Angreifer in die TAN-Challenge zur Anzeige auf dem Generator/in der App?

Und vor allem: Dein Szenario basiert darauf, dass der Kunde diese Zahlung tatsächlich durchführen will, also er wirklich dem "Händler" die 200 Euro zahlen will. Wieso sollte sich der Angreifer die Mühe machen und ein falsches Formular anzeigen? Er kann doch einfach eine ganz normale Zahlung durchführen lassen und bekommt dann das Geld. Sogar relativ rückrufsicher, weil die Bank dem Kunden sagen wird: "Ein Fehler war das nicht, Sie haben sich ja legitimiert und die Zahlung mit einer TAN bestätigt. Klären Sie das mit dem Zahlungsempfänger."

Das ist der Grund, wieso Du Deine Argumente erklären musst: Damit man nachprüfen kann, ob sie überhaupt Sinn ergeben.

Hallo @Ihr Nickname,

ich war bei den Meetings zur Umsetzung ja nicht dabei als Kunde (vielleicht wurde so etwas disktuiert und es sprach etwas dagegen), aber ad hoc fände ich folgendes schon besser: die comdirect führt für jeden Kunden unter "Persönlicher Bereich" eine neue PIN z.B. "PIN für Visa-Karte Authorisierung ein", die man als Kunde optimalerweise ändern kann. Diese PIN wird dann zusätzlich abgefragt bei Zahlung. So findet zumindest keine direkt Verwendung (ich sage hier mal bewußt nicht Herausgabe) meines "Haustürschlüssels" für mein Banking-Portal statt, sondern man nutzt eine PIN, die nur für den Zweck der Authorisierung für Kreditkartenzahlungen gedacht ist. Ich finde das fühlt sich schon ein wenig besser an vom Sicherheitsgefühl her und damit könnte ich als Kunde eher leben. Wieviel Aufwand es macht das so zu ändern weiß ich nicht.

Ich habe bislang keine entsprechende Mitteilung bekommen. Wobei ich nicht ausschliesse, das die im täglichen Mailchaos auch untergegangen ist.

Prinzipiell betrifft mich das aber sowieso nicht, da ich aufgrund unguter Erfahrungen Online-Zahlungen mit Kreditkarte kaum noch einsetze. Also nur bei Adressen, denen ich aus Erfahrung vertraue.

Shops, die nur Kreditkartenzahlungen zulassen, meide ich inzwischen. Denn es gibt genügend Alternativen, wie Sofortüberweisung, Paypal und Crypto.

Sofortüberweisung war übrigens früher ein richtig schönes Beispiel, wie seriös es aussehen kann, wenn man Daten statt Geld klaut: Denn man hat für eine Zahlung bei einem Händler seine Zugangsdaten fürs Online-Banking (Zugangsnummer und PIN) auf deren Seite eingegeben. Wenig überraschend haben sie dann, statt nur eine Zahlung auszuführen, sich auch direkt die letzten 90 Tage der Kontobewegungen abgerufen und gespeichert.

Heute läuft das Verfahren über die PSD2-Schnittstelle, wo stärker reglementiert ist, was der Zahlungsdienstleister mit dem Zugang anfangen darf. Trotzdem ist es noch unschön, dass man seine Zugangsdaten offenbar bei Drittanbietern eingeben kann (gerade erst wieder gesehen auf der Plattform depotwechselservice.de).

Stattdessen wäre ein modernes Verfahren wie OAuth2 sinnvoll gewesen. Bei diesem findet zuerst eine Weiterleitung zur Bank statt (wie bei Verified by Visa/Visa Secure) und man authorisiert den Zugriff des Anbieters dort nach dem Login und einer Kontrolle der angefragten Zugriffsrechte. So erhält der Anbieter die Login-Daten nicht und man kann sogar noch abbrechen, wenn es so aussieht, als ob zu viele Zugriffsrechte angefragt wurden.

@Ihr Nickname 

Das von mir beschriebene Szenario findet nicht auf den Seiten eines Internet-Händlers statt sondern auf den Seiten eines Betrügers. Der hat Webseiten gebaut, die wie ein Online-Shop aussehen, und die den Kunden verführen sollen, etwas zu bestellen. Der Betrüger hat aber überhaupt keine Produte. In Wirklichkeit geht es nur darum, PIN oder TAN abzuphishen. Damit kann der Betrüger dann einkaufen gehen.

Da es solche Webshops mehr oder weniger fertig gibt, hat eine Betrüger das in einer Stunde aufgebaut.

@jms, Du wirfst zwei verschiedene Betrugsarten zusammen. Das ergibt nicht unbedingt Sinn.

1) Es gibt Betrüger, die keine Shops betreiben sondern nur Zahlungen ködern. Diese Betrugsart meinst Du. Diese Betrüger wollen aber nicht an Deine PIN kommen, sondern wollen eine ganz normale Zahlung zu ihren Gunsten abwickeln. Neben Kreditkartenzahlungen kommen auch noch SEPA-Überweisungen zum Einsatz. Es geht hier darum, dass ganz normal erhaltene Geld schnell abzukassieren aber die Betrogenen erst lange hinzuhalten (um so lange wie möglich weitere Zahlungen zu verbuchen) und dann keine Ware zu liefern, den "Shop" zu löschen und mit dem Geld unterzutauchen.

Für diesen Betrug ist ein Umgehen von Sicherheitsfunktionen bei Online-Zahlungen nicht notwendig, der Aufwand und das höhere Risiko dafür also nicht gerechtfertigt. Das wird der Fake-Shop-Betrüger also gar nicht machen. Wenn der Kunde beim bezahlen eine TAN eingeben muss, ist das halt so, das stört für diesen Betrug kein bisschen und muss nicht umgangen werden.

2) Der andere (theoretische) Betrüger gaukelt Dir eine normale und gewollte Zahlung vor, will aber stattdessen eine ganz andere Zahlung (höherer Betrag, anderer Empfänger) durchführen. Der Wechsel des Empfängers ist relativ einfach und erfordert keine technischen Maßnahmen: Du teilst mit, dass die Zahlung von "anderer Person X" gesammelt wird oder weitergeleitet wird um Gebühren zu senken oder weil Zahlungen ins Ausland länger dauern zuerst in Deutschland gepoolt wird oder, oder, oder. Es ist einfaches Lügen, was den Zahler dazu verleitet, seine Zahlung einfach an jemand anderen zu senden.

Den Betrag zu ändern ist auf den ersten Blick nicht so leicht. Denn wie willst Du erklären, dass der Fernseher, den Du im Fake-Shop mit € 199,- beworben hast eine Überweisung von € 699,- erfordert?

Man kann es vielleicht mit extra Gebühren versuchen, die hinterher erstattet werden (ähnlich "Witwe aus Südafrika"-Scam), aber man kommt vermutlich nicht an beliebige Beträge ohne eine technische Methode, aus einer kleinen Überweisung/Zahlung eine viel größere zu machen.

Die Manipulation einer Online-Zahlung ist nicht trivial, wie man aus meinen bisherigen Kommentaren vielleicht bereits entnehmen konnte. Ich beschreibe jetzt mal im Detail, weshalb das so schwierig ist.

Mit meiner letzten TAN, 446232, könntest Du nicht "einkaufen gehen", selbst wenn ich Dir meine PIN sagen würde. Für jeden neuen Vorgang brauchst Du eine neue spezifische TAN. Die TAN wird aus einer TAN-Challenge berechnet, welche ebenfalls wieder spezifisch für einen Vorgang erzeugt wird. Dabei ist in der Challenge (z.B. buntes Pixel-Bild zum Einscannen bei PhotoTAN) enthalten, wie viel man an wen bezahlt, also Betrag und Empfänger (z.B. Name und IBAN). Außerdem gibt es einen Titel des Vorgangs, z.B. "Online-Überweisung" oder "Abruf Postbox". Diese Daten werden angezeigt und müssen durch den Menschen geprüft werden, bevor die TAN zur Zahlungsbestätigung irgendwo eingegeben wird.

Das gilt bereits jetzt bei Visa Secure, ist also nichts neues (eigentlich geht es ja hier um etwas neues bei Visa Secure, aber naja).

Reicht unser Angreifer also bei der Bank den Auftrag ein, 10000 Euro an "Crime Enterprises, Cayman Islands" zu buchen, dann steht das so in der TAN-App.

Wer für so eine Zahlung beim Kauf einer Wohnzimmerlampe für €14,99 von superdupershop.com nicht stutzig wird, dem ist vermutlich nicht mehr zu helfen. Taugt vielleicht für einen Angriff, ist aber immer noch keine technische Umgehung des Verfahrens, sondern wieder Lügen und auf die Naivität des Opfers vertrauen.

Um es technisch zu machen und somit die Chance deutlich zu reduzieren, dass es jedem normal geschäftsfähigen Menschen sofort auffällt, müsste der Angreifer dafür sorgen, dass man entweder die TAN-Challenge automatisiert beantworten könnte, ohne dass der Besitzer das mitbekommt, oder alternativ etwas harmloses im TAN-Gerät anzeigt, z.B. "superdupershop.com" und "14,99 Euro", obwohl der Auftrag bei der Bank mit 10k für Crime Enterprises vorliegt.

Man braucht dafür Hoheit über das TAN-Gerät, damit man eine dieser Methoden anwenden kann. Einfach nur eine TAN irgendwo "mithören" reicht leider nicht, denn die sind ja inzwischen nicht mehr alle gleich (100er TAN-Liste).

Die TAN-Apps sind jedoch inzwischen(!) gegen Eingriffe von anderen Apps geschützt, indem sie sich weigern auf gerooteten Geräten zu laufen, keine Screenshots zulassen, keine Overlays zulassen und mit einem gesicherten Speicherbereich arbeiten, in welchem das individuelle Secret gespeichert ist, welches zur Beantwortung der Challenge erforderlich ist. Dieser Schutz fehlte in den Anfangszeiten von TAN-Apps allerdings noch (siehe z.B. hier).

Nach aktuellem Stand gilt das aber als "sicher genug" für den Standardanwender (eben kein root, kein USB-Debugging, etc.). Die Sicherheit des separaten TAN-Generators vermag ich nicht einzuschätzen, aber der hat halt keinen Internetzugang und lässt sich nicht durch "Ich habe einen Bildschirmschoner installiert" hacken.

Das klappt also als Angriff auch nicht.

Es bleibt am einfachsten, nicht die Bank oder die Zahlungssysteme anzugreifen, sondern die Menschen.

@jms  Du darfst als nächstes gerne erklären, wie der Betrüger mit der PIN und einer TAN "dann einkaufen gehen" kann. Oder irgendetwas anderes vorbringen, was Deine Argumentation fundamental untermauert.

Solange Du weiterhin keine Details darüber beschreibst, welche das Risiko nachvollziehbar und konkret bewertbar machen, werte ich Deine kommenden Beiträge als Verschwörungstheorien und werde sie entsprechend ignorieren.

Ich bin weiterhin für den Diskurs mit jedem offen, der nicht nur mit inhaltsleeren Angstszenarien daherkommt.

@Ihr Nickname 

ich rede davon, dass es für einen Betrüger sehr leicht sein wird, die PIN abzufangen.

wenn du glaubst, die PIN hätte keine große Bedeutung: wie wäre es, wenn du deine PIN und deine VISA-Kartennr einfach hier mal postest? 

Deiner Meinung nach sollte ja niemand etwas damit anfangen können, oder?