comdirect

jms · ‎16.12.2020

Ist bei einer Kartenzahlung bei einem Online-Händler eine starke Kundenauthentifizierung erforderlich, wird vor der Eingabe einer mTAN oder photoTAN zukünftig Ihre 6-stellige Online-Banking-PIN von uns abgefragt. Die Eingabe Ihrer PIN an dieser Stelle ist unbedenklich. Sie wird nur zur Authentifizierung benötigt und daher verschlüsselt übertragen und nicht an den Händler übermittelt.

Das ist ja wohl ein Witz! In Zukunft werden massenhaft Fake-Shops auftauchen, die zur Eingabe der PIN auffordern und diese dann weiterverkaufen. Und die Kunden werden dazu erzogen, irgendwo im Internet einfach so ihre PIN einzugeben.

Ihr Nickname · ‎20.12.2020

Informationen für die Mitleser dieses Threads:

Mich aufzufordern, irgendetwas weiter zu "beweisen", indem ich meine persönlichen Daten preisgebe, lässt seine Argumentation leider nicht glaubwürdiger wirken. Er fordert von mir etwas, von dem er ausgeht, dass ich es mit Sicherheit nicht tun werde. Das lässt mich dann als Heuchler erscheinen, weil ich scheinbar meiner eigenen Argumentation, dass das Verfahren sicher ist, nicht vertraue. Denn sonst könnte ich die geforderten Daten ja preisgeben.

Obwohl ich bisher viele Argumente dargelegt und mögliche Angriffsszenarien entkräftet habe, fordert @jms weitere Beweise von mir. Stattdessen wäre es angebracht, dass er seinerseits Argumente und Belege für seine Position liefert.

Bitte lasst ihm diese Masche nicht durchgehen.

Das ist zusätzlich noch ein Strohmann-Argument, weil ich niemals behauptet habe, dass man mit den Kreditkartendaten (Name,Nummer,Ablaufdatum,CVV) nicht Missbrauch betreiben kann. Ich habe sogar explizit erwähnt, dass der typischerweise in einem Online-Shop eingegebene Datensatz einer Kreditkarte bereits ausreichend ist, um eine Buchung durchzuführen.

Um die Kreditkartendaten ansich geht es aber in diesem Thread weiterhin nicht.

ehemaliger Nutzer · ‎22.12.2020

Die Lösung für diese Bredouille heißt: ausländischer Zahlungsanbieter, der es schafft, bei Händlern seit Jahren immer gleiche Zahlungsflows und überdies noch mit Mehrfaktorauthentifizierung einen auch fachmännisch akzeptablen Sicherheitsstandard bei der Authorisierung von Zahlungen anzubieten (gut für Händler und Kunden). Im Idealfall sieht der Händler die Zahlungsmittel des Kunden gar nicht erst: Amazon Pay, Google Pay, PayPal, Apple Pay, Klarna … es ist wohl kein Zufall, dass sich nicht ein deutscher Anbieter unter den Großen befindet.

Jedenfalls habe ich so für mich die Unzulänglichkeiten im digitalen Zahlungsverkehr gelöst.

Martin Z · ‎23.01.2021

@Ihr Nickname schrieb:
Danke für die Frage. Die Implementierung des Verfahrens sieht vor, dass der Zahlungsdienstleister (z.B. Adyen, Stripe, etc.) direkt zur Visa Secure-Page der Bank leitet. Deine Bank wird als vertrauenswürdig eingestuft.
Du kannst also davon ausgehen, dass die Adresszeile auf die Bank hinweist. Experten prüfen noch das TLS-Zertifikat (hauptsächlich den Inhaber), seit die EV-Eigenschaft nicht mehr angezeigt wird.
Bei Einbindung in einem IFrame würde die Adresszeile (der einbindenden Seite) nicht zur Bank gehören. Ein Popup ohne Adresszeile sollte ebenso nicht legitim auftreten.

Genau das ist mir gerade passiert: der Zahlungsdienstleister shareit.com (Digital River GmbH) hat meine Online-Banking-PIN in einem iframe (oder ähnlichem, ich habe mir den Quellcode nicht angesehen) abgefragt.

Natürlich habe ich den Zahlungsvorgang abgebrochen, aber ein unbedarfter Nutzer hätte vermutlich weitergemacht. Die Abfrage der PIN wurde schließlich von der comdirect als legitim angekündigt.

Ich verstehe, dass Online-Zahlungen sicherer werden müssen. Aber hier wird die Sicherheit der einzelnen Bezahlvorgänge mit der Sicherheit der Kontodaten "bezahlt". Das sind Technischen Schulden, die spätestens dann beglichen werden müssen, wenn die ersten Listen mit Kreditkartennummern und PINs auftauchen.

Ob man Nutzern dann allerdings wieder abtrainieren kann, ihre PIN überall einzugeben, wage ich zu bezweifeln. Verhaltensänderungen gehören nicht gerade zu den Stärken des Menschen.

__dpk · ‎24.01.2021

Verwendet man PushTAN, dann muss man keine PIN eingeben, steht so in der Berschreibung und war bei mir auch so.
Einfach in der PushTAN-App den Vorgang bestätigen und fertig.

Wenn die Menschen nur über das sprächen, was sie begreifen, dann würde es sehr still auf der Welt sein.
- Albert Einstein -

jms · ‎24.01.2021

@__dpk schrieb:
Verwendet man PushTAN, dann muss man keine PIN eingeben, steht so in der Berschreibung und war bei mir auch so.
Einfach in der PushTAN-App den Vorgang bestätigen und fertig.

Dazu braucht man doch bestimmt eine SIM-Karte im Handy? Ich mache meine bei Fernreisen immer raus.

Fraenky · ‎24.01.2021

Dazu braucht man doch bestimmt eine SIM-Karte im Handy? Ich mache meine bei Fernreisen immer raus.

Nein, Internetverbindung (z.B. WLAN) reicht

Fips · ‎06.04.2021

Hallo,

ich möchte das Thema nochmal aufgreifen. SMT_Erik schreibt: "Dabei ist sichergestellt dass die Eingabe der Zugangsdaten immer auf Seiten von comdirect erfolgt und nicht auf externen Seiten."

Wie kann ich das als technischer Laie sehen? Ich habe gerade im Online-Shop www.galeria.de bestellt. Die Eingabe der Online Banking PIN sollte ich auf der Seite https://www.galeria.de... vornehmen - zumindest zeigt mir das die Adresszeile meines Browsers an.

Grüße

Fips

jms · ‎06.04.2021

Du könntest es daran sehen, dass die URL nach comdirect.de zeigt. Aber es ist eben nicht so, wie der Kollege sagt. Man muss die PIN auch auf fremden Seiten eingeben. Das bedeutet aber auch, dass der Kunde bei Mißbrauch der PIN nicht mehr haftet, weil die comdirect jeden Prozess verlieren würde.

ehemaliger Nutzer · ‎06.04.2021

@jms schrieb:
Aber es ist eben nicht so, wie der Kollege sagt. Man muss die PIN auch auf fremden Seiten eingeben.

Ich möchte nur kurz anmerken, dass das vielleicht so aussehen mag ("wegen der Adresszeile des Hauptfensters") aber technisch nicht richtig ist. Wie eine Matrjoschka können Webseiten ineinander eingebettet werden, sodass sie zwar als eins erscheinen, aber technisch so sauber vom Browser getrennt sind, dass die "äußere" Seite den Inhalt der "eingebetteten" Seite gar nicht beeinflussen kann bzw. die Isolierung nahezu der eines "neuen Tabs" entspricht, die Konstruktion also eigentlich "sicher" ist. Das ist auch bei der eingebetten Darstellung der TAN-Masken so, nicht nur bei der Comdirect, sondern bspw. auch der DKB. Solche Iframes von ungeschachtelten Seiten zu unterscheiden kann man dem Durchschnittsnutzer ohne Hintergrundwissen natürlich absolut nicht zumuten, zumal das Erscheinen von Iframes völlig ohne Adresszeile möglich ist.

Ich kann nur folgendes empfehlen, eigentlich für alle Banken: In den Einstellungen des Browsers festlegen, dass "Popups" nur als neuer Tab geöffnet werden können. Auf diese Weise landet nämlich bei den Zahlungsflows, die ich schon kenne, die Comdirect-Maske immer in einem neuen Tab. Natürlich kann ich nicht sagen, ob dass immer und überall bei jeder möglichen Art der Einbindung so klappen kann.

jms · ‎07.04.2021

Es geht um die Frage: kann ein Kunde bei der Eingabe der PIN für sein Konto sicher sein, dass die PIN nicht in falsche Hände gerät. Und die Antwortet lautet: nein, er kann nicht sicher sein, denn anhand der URL kann er nicht erkennen, wohin seine PIN tatsächlich gesendet wird. Wenn der Kunde eine Online-Bestellung bei chinasupergadges.com macht und er muss seine Konto-PIN eingeben, obwohl in der URL "chinasupergadges.com" steht, dann weiss er nicht, ob seine PIN an die comdirect übertragen wird oder ob die PIN an einen Phisher geht.

Und btw liebe comdirect: es ist der absolute Knaller, dass man über dieses hochbrisante Sicherheitsproblem hier wochenlang diskutieren muss und die comdirect sich wegduckt.

comdirect

Änderung bei Online-Zahlungen mit Visa-Karten