Das hat mich schon immer gewundert: Der CVC-Code ist ja sowas wie eine PIN zur Legitimation bei Onlinezahlungen. Vor 3-D-Secure war es quasi die einzige "digitale Unterschrift". Und genau diesen Code drucken fast alle Kreditkarten-Herausgeber direkt auf die Karte. Wie dämlich ist das?
Das finde ich halb so wild. Viel schlimmer finde ich, dass jeder Händler Kartennummer und CVC bekommt. Und was der damit macht und speichert...
Das finde ich halb so wild. Viel schlimmer finde ich, dass jeder Händler Kartennummer und CVC bekommt. Und was der damit macht und speichert...
Bei diesem Punkt hatte ich immer (naiv?) gehofft, dass dies nicht der Fall ist. Man wird ja meist zu einer externen Zahlungsseite geleitet, wo diese Daten einzugeben sind. Aber spätestens dort liegen tatsächlich sowohl Kartennummer als auch CVC-Code vor und könnten (?) zusammen abespeichert werden. Ein Datenleck und jemand hätte Zugriff. Deshalb beruhigt mich die Existenz des 3D-Secure-Verfahren schon arg. Das ist faktisch ein sehr großer Sicherheitszugewinn beim Onlinezahlen mit Kreditkarten.
Das finde ich halb so wild. Viel schlimmer finde ich, dass jeder Händler Kartennummer und CVC bekommt. Und was der damit macht und speichert...
Ich habe die immer mit einer kleinen feinen Feile entfernt.
Man wird ja meist zu einer externen Zahlungsseite geleitet, wo diese Daten einzugeben sind.
Das Problem liegt bei "meist". In den anderen Fällen hat der Händler deine Kreditkartendaten.
Das finde ich halb so wild. Viel schlimmer finde ich, dass jeder Händler Kartennummer und CVC bekommt. Und was der damit macht und speichert...
Das Problem sind in der Regel nicht die Händler, von denen wohl kaum einer zur Generierung eines Zusatzeinkommens Daten im Darknet verkaufen wird. Problematisch ist die Kompromittierung der IT bei vielen Händlern, wenn Kriminelle auf diesem Wege Daten stehlen.
Ich verwende bei Online-Bestellungen, bei denen man praktisch immer eine Mailadresse angeben muss, für jeden Händler eine exklusive Adresse, also z.B. shop4711@mydomain.com. Falls ich dann irgendwann Spam- oder Phishing-Mails an eine dieser Adressen bekomme, kann ich davon ausgehen, dass der jeweilige Händler gehackt wurde. Das kommt häufiger vor als man annehmen würde. Getroffen hat es bisher zwei Edelmetallhändler, einen Hersteller von Sicherheitshardware für Online-Banking(!) und eine Anstalt des Öffentlichen Rechts.
Man darf davon ausgehen, dass bei solchen Einbrüchen in IT-Systeme nicht nur die Mail-Adresse abfließt, sondern auch weitere Daten wie Kreditkartennummern, Kontonummern oder auch vollständige Adresse, Telefonnummer und manchmal auch das Geburtsdatum. Mit diesen Daten als Grundlage und krimineller Energie kann man schon einigen Schaden anrichten. Es lassen sich immer Bestell- und Bezahlprozesse finden, die nicht sicher implementiert sind und bei denen dann schon der Einsatz der genannten Daten reicht, um den Betrug durchzuführen. In solchen Fällen braucht es gar keinen Anruf beim Opfer, um diesem eine weitere Information zur Autorisierung zu entlocken. Der Betrogene hat nichts falsch gemacht und wundert sich dann, dass er ein Smartphone in Litauen gekauft haben soll.
Bei diesem Punkt hatte ich immer (naiv?) gehofft, dass dies nicht der Fall ist. Man wird ja meist zu einer externen Zahlungsseite geleitet, wo diese Daten einzugeben sind. Aber spätestens dort liegen tatsächlich sowohl Kartennummer als auch CVC-Code vor und könnten (?) zusammen abespeichert werden. Ein Datenleck und jemand hätte Zugriff.
Exakt das ist der Fall. "Nette" Anbieter fragen, ob diese Daten wirklich gespeichert werden sollen. Was man im Umkehrschluss so verstehen kann, dass bei "Opt out" diese Daten nicht dauerhaft gespeichert, sondern nur im Rahmen der Transaktion verwendet werden.
Aber letztendlich kann man nicht kontrollieren, ob und wie ein Händler diese Daten speichert. Und es gab auch schon in der Vergangenheit genug solcher Datenlecks.
Was ebenso passieren kann: Man hat Malware/Trojaner auf dem Gerät (Laptop, Tablet etc.) und diese loggt die entsprechenden Eingaben auf einer Website, um sie dann später böswillig zu verwenden.
Der Einsatz von 3D Secure ist nicht verpflichtend, wenn ein Händler das nicht verwendet, dann kann man den so gestohlenen Daten shoppen gehen. Aber so weit ich weiß, muss der Händler dann der Kreditkartenfirma den Schaden ersetzen bzw. bekommt das Geld nicht bei Chargeback, wenn er nicht die zusätzlichen Sicherheitsverfahren verwendet.
Das hat mich schon immer gewundert: Der CVC-Code ist ja sowas wie eine PIN zur Legitimation bei Onlinezahlungen. Vor 3-D-Secure war es quasi die einzige "digitale Unterschrift". Und genau diesen Code drucken fast alle Kreditkarten-Herausgeber direkt auf die Karte. Wie dämlich ist das?
Ich habe mal versucht, (mit abgelaufenen Karten) den CVC Code mit Lack und Kratzen unlesbar zu machen: erfolglos, liess sich immer wieder kenntlich machen.
Vermutlich ist der aufgedruckte CVC ein historisches Sicherheitsmerkmal, gegen das Kopieren von Karten via Magnetstreifen. Vor 3D Secure liess sich damit leicht Missbrauch betreiben. Vermutlich haben Banken, deshalb früher leichter erstattet als heute.
Das finde ich halb so wild. Viel schlimmer finde ich, dass jeder Händler Kartennummer und CVC bekommt. Und was der damit macht und speichert...
Der CVC Code wurde genau dafür eingeführt, dass man ihn dem Händler für Online-Zahlungen mitteilt. Aus Händlersystemen geleakte Karteninfos sind wegen 3D-Secure heute kein Problem mehr, Ausnahmen siehe #79.
Der CVC Code wurde genau dafür eingeführt, dass man ihn dem Händler für Online-Zahlungen mitteilt.
Schon klar. Man muss sich halt bewusst sein, dass das keine Autorisierung für eine Einmalbelastung ist, sondern der Generalschlüssel. Und kommt der Generalschlüssel beim Händler weg...
Die CVC schützt gegen genau einen Angriff und der ist das bloße Durchprobieren der Kartennummern, den es um den Faktor 1000 verkompliziert. Wobei hier eigentlich Name und Ablaufdatum schon genug schützen müssten. Da man die CVC immer zusammen mit der Kartennummer angibt, ist das effektiv ein Geheimnis in zwei Teilen und keine zwei unabhängigen Geheimnisse.
Und kommt der Generalschlüssel beim Händler weg...
Was konkret ist dann das Risiko?
Damit kannst du abbuchen bzw. einkaufen und an einen Strohmann schicken. Nicht jede Kreditkartenbuchung fordert eine Bestätigung per App.
Damit kannst du abbuchen bzw. einkaufen und an einen Strohmann schicken. Nicht jede Kreditkartenbuchung fordert eine Bestätigung per App.
Ich hake hier nur nach, damit niemand glaubt, man könne heute noch generell rein mit Kartendaten + CVC online zahlen. Heute ist die explizite Freigabe der Transaktion via 3D Secure Standard.
Für Zahlungen nur mit Kartendaten + CVC sind mir nur folgende Ausnahmen bekannt:
– Wiederkehrende Zahlungen (Abos), wenn die erste Zahlung mit 3D Secure autorisiert wurde
– Kleinbeträge ≤ 30 € (max. 5 Zahlungen oder 150 € kumuliert)
– Abwicklung der Zahlung über einen außereuropäischen Zahlungsdienstleister
– Händler, die der Karteninhaber manuell freigegeben hat
– Händler mit sehr niedrigen Betrugsraten
– Telefonische oder schriftliche Bestellungen (z.B. bei manchen Reisebüros)
Zahlungen über außereuropäische Zahlungsdienstleister sowie telefonische oder schriftliche Transaktionen werden von deutschen Banken meist als risikobehaftet eingestuft und blockiert. Reklamiert der Karteninhaber eine solche Transaktion, trägt die Bank üblicherweise das Risiko, weil sie diese unsichere Abwicklung zugelassen hat.
Ich vermute: Da die Sicherheitsverfahren für Online‑Zahlungen heute deutlich stärker sind als die bloße Eingabe von Kartendaten und CVC, prüfen Banken Reklamationen inzwischen strenger und verweigern häufiger Erstattungen – mit dem Argument, dass ein Missbrauch ohne Fahrlässgkeit des Kunden kaum noch vorstellbar ist.
