comdirect

Deco92 · ‎02.11.2021

Ich möchte hier auf einen Missbrauch im Zusammenhang der von Comdirect verschickten Visa-Debitkarte aufmerksam machen. Anfang des Jahres wurde von der Comdirect eine neue Visa-Debitkarte ausgestellt, ohne dass sie von mir beantragt wurde. Ich erwartete also keine Karte und habe somit nicht bemerkt, dass sie nie bei mir ankam. Der Dieb hat die Karte scheinbar in Google Pay registriert und konnte sie scheinbar ohne weiteres benutzen. Die Transaktionen wurden automatisch von meinem Girokonto abgebucht. Da ich das Konto mehrere Monate nicht genutzt habe sind mir die Abbuchungen erst später aufgefallen, und das Konto war schließlich leer geräumt.

Nach dem mir der Betrug aufgefallen war, habe ich die Karten sofort gesperrt und mich mit dem Kundenservice in Verbindung gesetzt. Der Kundenservice teilte mir mit das keine PIN freigeschaltet wurde. Der Kundenservice hat mich zudem auf die Reklamationsmöglichkeit hingewiesen und empfohlen zudem eine Strafanzeige zu erstatten. Die Polizei teilte mir daraufhin mit, dass eine Strafanzeige nur unter Angabe der vollständigen Daten (u.a. Uhrzeit) möglich sei, um u.a. Videoüberwachung auswerten zu können. Diese Daten habe ich bei Comdirect beantragt, woraufhin man mir mitgeteilt hat, dass die Polizei diese Daten bei der Bank bitte selbst beantragen solle.

Schriftlich wurde mir außerdem mitgeteilt, dass die Reklamation nicht plausibel erscheint, da eine Registrierung in Google Pay vorgenommen wurde, und deshalb nicht umgesetzt werden kann.

Wie kann eine Visa-Debitkarte verschickt werden und damit automatisch nutzbar sein? Neben Einkäufen bei Google wurde sie auch in verschiedenen Supermärkten und zur Geldabhebung benutzt.

Ich habe die Karte nie erhalten noch wusste ich von ihr. Ich habe keine Registrierung in Google Pay vorgenommen noch sie zu anderen Zwecken genutzt.

Frnk · ‎02.11.2021

Bargeldbezug und Google Pay deuten darauf hin, dass der Betrüger die Karte korrekt aktivieren konnte. Das klingt für mich danach, dass man auch Zugriff aufs Konto, nicht nur auf die Karte selbst, hatte.

Der Gedankengang ist wie folgt: Zum Aktivieren der Karte muss man nach Erhalt die PIN vergeben. Die PIN ist notwendig zum Bargeldbezug.

Theoretisch ist Bargeld auch per Google Pay zu bekommen, aber Geldautomaten, die das erlauben, gibts in Deutschland meines Wissens noch nicht.

Für die Aktivierung für Google Pay muss man entweder die App von Comdirect auf dem Smartphone installiert haben oder es wird per SMS eine TAN zur Aktivierung geschickt.

Also irgendwie scheint hier ein umfassenderer Angriff, z.B. per Phishing, stattgefunden zu haben.

baha · ‎03.11.2021

@Deco92 schrieb:
Die Polizei teilte mir daraufhin mit, dass eine Strafanzeige nur unter Angabe der vollständigen Daten (u.a. Uhrzeit) möglich sei, um u.a. Videoüberwachung auswerten zu können.

Das solltest du keinesfalls akzeptieren. Nicht du musst hier ermitteln, sondern die Strafverfolgungsbehörden! Bitte keinesfalls abwimmeln lassen, notfalls den Vorgesetzten verlangen. Es ist wie von der Comdirect schon gesagt Aufgabe der Behörden diese Daten bei der Bank einzuholen.

baha

ehemaliger Nutzer · ‎03.11.2021

Hallo @Deco92,

die Debitkarte wurde jedem Kunden im Zuge der Einführung des neuen Kontomodells geschickt.

Um eine Visa-Debitkarte für Google Pay zu aktivieren, werden zwingend die Zugangsdaten benötigt. Kennt evtl. jemand deine Daten?

Außerdem ist eine Aktivierung online nur möglich, wenn die comdirect App (mit bekannten Zugangsdaten) und ein für das entsprechende Smartphone aktiviertes photoTAN-Verfahren vorhanden ist.

Du siehst, so einfach ist die Aktivierung für Google Pay nicht. Da die PIN nicht postalisch versendet wird, ist auch keine "analoge" Nutzung der Karte möglich.

Das von dir Erlebte ist schlimm und ich hoffe, dass die Polizei hier erfolgreich weiterhelfen kann.

Viele Grüße

Mario

arthurschuessler · ‎12.12.2023

Ich habe auch einen Kreditkarten (VISA) Betrug bei Comdirect - über Google Pay. Kein Mensch kann mir sagen, wie es möglich war Google Pay als Zahlungsmethode für die VISA Karte - für ein mir unbekanntes Endgerät (und natürlich nicht mein Google Pay, dass ich nicht nutze) - zu aktivieren. Die Comdirect Bank lehnt Haftung ab, da es ja über Google Pay lief! 10 Buchungen an einem Tag, es waren >2300 Euro Schaden, knapp 1900 habe ich nach aufwändiger Eigeninitiative von einem Chinesischen Online Shop zurück bekommen. >400 sind weg (Musikclub und Bar in Osteuropa). Ich bekomme keinerlei Infos von der Comdirect, wann, wie, etc das ganze abgelaufen ist, trotz Anfrage mehrfach. Nur Standard-Vordruck Briefe. Strafanzeige wg. Betrug wurde erstattet. Ich überlege auch Anzeige gegen Comdirect zu erstatten. Unmögliches vorgehen dieser Bank, auch nahe Null Erreichbarkeit. Mein Konto wird aktuell aufgelöst. Finger weg von dieser Bank ...

kunteng · ‎21.12.2023

Hallo Herr Schüssler,

mir ist genau das gleiche passiert, mein Schaden beläuft sich auf ca. €2000. Auch hier sollen angeblich via Google Pay Bezahlungen gemacht worden sein - in meinen Falle mehrere Hotelbuchungen in Frankfurt und offensichtlich Bargeldabhebung bei REWE, einmal sogar in Höhe von €450. Die Karte ist weder gestohlen noch nutze ich sie bei Einkäufen, Google Pay nutze ich überhaupt nicht. Ich habe niemals diese Transaktionen persönlich freigegeben, ich kann es mir nicht erklären. Habe die Karte sofort sparen lassen und die Beträge reklamiert. 3 Tage später die Antwort der Comdirect in der mir indirekt unterstellt wird, hier Mithilfe geleistet zu haben ("... geht nur mit Wissen des Karteninhabers...."). Ich bin unglaublich enttäuscht und sauer. Wenn ich ihre Geschichte lese dann ist es ja kein Einzelfall. In meinem Falle war der Betrug wohl am 9-11.12.2023, vor etwa zwei Wochen. Ich wusste gar nicht das man sich bspw. €450 bei REWE auszahlen lassen kann, ich dachte es gibt eine Grenze von €200. Die Comdirect kümmert sich nicht um ihre Kunden und sendet Allgemeinfloskeln, hier stimmt doch was nicht...

Morgenmond · ‎21.12.2023

@kunteng schrieb:
Hallo Herr Schüssler,

mir ist genau das gleiche passiert, mein Schaden beläuft sich auf ca. €2000. ... Die Comdirect kümmert sich nicht um ihre Kunden und sendet Allgemeinfloskeln, hier stimmt doch was nicht...

Hallo @kunteng ,

ich kann da nur den Rat geben:

1. Dringend Betrugsanzeige bei der Polizei zu erstatten

2. Einen Rechtsanwalt aufsuchen und abzuklären inwiefern die Bank schadensersatzpflichtig ist ggf. Klage

Gruß Morgenmond

Krügerrand · ‎21.12.2023

Ich habe eine Theorie:

Zur Aktivierung einer VISA Card in Google Pay benötigt man:

- Die Kreditkartennummer

- Den Security Code auf der Rückseite der Kreditkarte

- Zugriff auf die Mobilfunknummer, die beim Karteninhaber im persönlichen Bereich hinterlegt ist

Ein Angriff könnte theoretisch folgendermaßen ablaufen:

Einfallsvektor: Sie geben auf einem kompromittierten Onlineshop oder einem Fakeshop ihre Kreditkartendaten samt Handynummer ein.

Das Folgende geschieht in Echtzeit, während Sie sich noch im Bezahlvorgang befinden:

1. Der Angreifer registriert Ihre Karte bei Google Pay. Dies triggert automatisch eine Autorisierungs-SMS an ihre Nummer.

2. Gleichzeitig schreibt der Angreifer an Sie eine Nachricht, dass Sie die Ihnen zugesendete TAN bitte an ihn zwecks Freigabe ihrer Zahlung schicken sollen. Ist der Shop ein Fake Shop, kann er sie sogar auf diesem zur Eingabe der TAN auffordern.

3. Der Angreifer kann mit der TAN ihre Karte aktivieren und hat kompletten Zugriff

4. a) Beim Fake-Shop gibt dieser eine Fehlermeldung zurück, dass die Zahlung abgebrochen wurde und leitet Sie an den echten Shop weiter. Sie ahnen von nichts und bestellen erneut.

b) bei kompromittierten Shop geht ihre Bestellung ganz normal durch.

PS: Bei genauer Betrachtung brauche ich beim Fake-Shop gar nicht die Handynummer...

Griseldis · ‎21.12.2023

Ich frage ich, was ein "komprimierter" Shop ist ... 😂

Krügerrand · ‎21.12.2023

Wenn der Shop beispielsweise von einem Schadprogramm befallen ist, der Shop-Betreiber selbst also nicht in betrügerischer Absicht handelt.

now I get it... ein seeehr seehr kleiner und platzsparender Store ;D

comdirect

Visa-Debitkarte in falsche Hände geraten