Das hat mich schon immer gewundert: Der CVC-Code ist ja sowas wie eine PIN zur Legitimation bei Onlinezahlungen. Vor 3-D-Secure war es quasi die einzige "digitale Unterschrift". Und genau diesen Code drucken fast alle Kreditkarten-Herausgeber direkt auf die Karte. Wie dämlich ist das?
Das finde ich halb so wild. Viel schlimmer finde ich, dass jeder Händler Kartennummer und CVC bekommt. Und was der damit macht und speichert...
Das finde ich halb so wild. Viel schlimmer finde ich, dass jeder Händler Kartennummer und CVC bekommt. Und was der damit macht und speichert...
Bei diesem Punkt hatte ich immer (naiv?) gehofft, dass dies nicht der Fall ist. Man wird ja meist zu einer externen Zahlungsseite geleitet, wo diese Daten einzugeben sind. Aber spätestens dort liegen tatsächlich sowohl Kartennummer als auch CVC-Code vor und könnten (?) zusammen abespeichert werden. Ein Datenleck und jemand hätte Zugriff. Deshalb beruhigt mich die Existenz des 3D-Secure-Verfahren schon arg. Das ist faktisch ein sehr großer Sicherheitszugewinn beim Onlinezahlen mit Kreditkarten.
Das finde ich halb so wild. Viel schlimmer finde ich, dass jeder Händler Kartennummer und CVC bekommt. Und was der damit macht und speichert...
Ich habe die immer mit einer kleinen feinen Feile entfernt.
Man wird ja meist zu einer externen Zahlungsseite geleitet, wo diese Daten einzugeben sind.
Das Problem liegt bei "meist". In den anderen Fällen hat der Händler deine Kreditkartendaten.
Das finde ich halb so wild. Viel schlimmer finde ich, dass jeder Händler Kartennummer und CVC bekommt. Und was der damit macht und speichert...
Das Problem sind in der Regel nicht die Händler, von denen wohl kaum einer zur Generierung eines Zusatzeinkommens Daten im Darknet verkaufen wird. Problematisch ist die Kompromittierung der IT bei vielen Händlern, wenn Kriminelle auf diesem Wege Daten stehlen.
Ich verwende bei Online-Bestellungen, bei denen man praktisch immer eine Mailadresse angeben muss, für jeden Händler eine exklusive Adresse, also z.B. shop4711@mydomain.com. Falls ich dann irgendwann Spam- oder Phishing-Mails an eine dieser Adressen bekomme, kann ich davon ausgehen, dass der jeweilige Händler gehackt wurde. Das kommt häufiger vor als man annehmen würde. Getroffen hat es bisher zwei Edelmetallhändler, einen Hersteller von Sicherheitshardware für Online-Banking(!) und eine Anstalt des Öffentlichen Rechts.
Man darf davon ausgehen, dass bei solchen Einbrüchen in IT-Systeme nicht nur die Mail-Adresse abfließt, sondern auch weitere Daten wie Kreditkartennummern, Kontonummern oder auch vollständige Adresse, Telefonnummer und manchmal auch das Geburtsdatum. Mit diesen Daten als Grundlage und krimineller Energie kann man schon einigen Schaden anrichten. Es lassen sich immer Bestell- und Bezahlprozesse finden, die nicht sicher implementiert sind und bei denen dann schon der Einsatz der genannten Daten reicht, um den Betrug durchzuführen. In solchen Fällen braucht es gar keinen Anruf beim Opfer, um diesem eine weitere Information zur Autorisierung zu entlocken. Der Betrogene hat nichts falsch gemacht und wundert sich dann, dass er ein Smartphone in Litauen gekauft haben soll.
Bei diesem Punkt hatte ich immer (naiv?) gehofft, dass dies nicht der Fall ist. Man wird ja meist zu einer externen Zahlungsseite geleitet, wo diese Daten einzugeben sind. Aber spätestens dort liegen tatsächlich sowohl Kartennummer als auch CVC-Code vor und könnten (?) zusammen abespeichert werden. Ein Datenleck und jemand hätte Zugriff.
Exakt das ist der Fall. "Nette" Anbieter fragen, ob diese Daten wirklich gespeichert werden sollen. Was man im Umkehrschluss so verstehen kann, dass bei "Opt out" diese Daten nicht dauerhaft gespeichert, sondern nur im Rahmen der Transaktion verwendet werden.
Aber letztendlich kann man nicht kontrollieren, ob und wie ein Händler diese Daten speichert. Und es gab auch schon in der Vergangenheit genug solcher Datenlecks.
Was ebenso passieren kann: Man hat Malware/Trojaner auf dem Gerät (Laptop, Tablet etc.) und diese loggt die entsprechenden Eingaben auf einer Website, um sie dann später böswillig zu verwenden.
Der Einsatz von 3D Secure ist nicht verpflichtend, wenn ein Händler das nicht verwendet, dann kann man den so gestohlenen Daten shoppen gehen. Aber so weit ich weiß, muss der Händler dann der Kreditkartenfirma den Schaden ersetzen bzw. bekommt das Geld nicht bei Chargeback, wenn er nicht die zusätzlichen Sicherheitsverfahren verwendet.
Das hat mich schon immer gewundert: Der CVC-Code ist ja sowas wie eine PIN zur Legitimation bei Onlinezahlungen. Vor 3-D-Secure war es quasi die einzige "digitale Unterschrift". Und genau diesen Code drucken fast alle Kreditkarten-Herausgeber direkt auf die Karte. Wie dämlich ist das?
Ich habe mal versucht, (mit abgelaufenen Karten) den CVC Code mit Lack und Kratzen unlesbar zu machen: erfolglos, liess sich immer wieder kenntlich machen.
Vermutlich ist der aufgedruckte CVC ein historisches Sicherheitsmerkmal, gegen das Kopieren von Karten via Magnetstreifen. Vor 3D Secure liess sich damit leicht Missbrauch betreiben. Vermutlich haben Banken, deshalb früher leichter erstattet als heute.
Das finde ich halb so wild. Viel schlimmer finde ich, dass jeder Händler Kartennummer und CVC bekommt. Und was der damit macht und speichert...
Der CVC Code wurde genau dafür eingeführt, dass man ihn dem Händler für Online-Zahlungen mitteilt. Aus Händlersystemen geleakte Karteninfos sind wegen 3D-Secure heute kein Problem mehr, Ausnahmen siehe #79.
Der CVC Code wurde genau dafür eingeführt, dass man ihn dem Händler für Online-Zahlungen mitteilt.
Schon klar. Man muss sich halt bewusst sein, dass das keine Autorisierung für eine Einmalbelastung ist, sondern der Generalschlüssel. Und kommt der Generalschlüssel beim Händler weg...
Die CVC schützt gegen genau einen Angriff und der ist das bloße Durchprobieren der Kartennummern, den es um den Faktor 1000 verkompliziert. Wobei hier eigentlich Name und Ablaufdatum schon genug schützen müssten. Da man die CVC immer zusammen mit der Kartennummer angibt, ist das effektiv ein Geheimnis in zwei Teilen und keine zwei unabhängigen Geheimnisse.
Und kommt der Generalschlüssel beim Händler weg...
Was konkret ist dann das Risiko?
Damit kannst du abbuchen bzw. einkaufen und an einen Strohmann schicken. Nicht jede Kreditkartenbuchung fordert eine Bestätigung per App.
Damit kannst du abbuchen bzw. einkaufen und an einen Strohmann schicken. Nicht jede Kreditkartenbuchung fordert eine Bestätigung per App.
Ich hake hier nur nach, damit niemand glaubt, man könne heute noch generell rein mit Kartendaten + CVC online zahlen. Heute ist die explizite Freigabe der Transaktion via 3D Secure Standard.
Für Zahlungen nur mit Kartendaten + CVC sind mir nur folgende Ausnahmen bekannt:
– Wiederkehrende Zahlungen (Abos), wenn die erste Zahlung mit 3D Secure autorisiert wurde
– Kleinbeträge ≤ 30 € (max. 5 Zahlungen oder 150 € kumuliert)
– Abwicklung der Zahlung über einen außereuropäischen Zahlungsdienstleister
– Händler, die der Karteninhaber manuell freigegeben hat
– Händler mit sehr niedrigen Betrugsraten
– Telefonische oder schriftliche Bestellungen (z.B. bei manchen Reisebüros)
Zahlungen über außereuropäische Zahlungsdienstleister sowie telefonische oder schriftliche Transaktionen werden von deutschen Banken meist als risikobehaftet eingestuft und blockiert. Reklamiert der Karteninhaber eine solche Transaktion, trägt die Bank üblicherweise das Risiko, weil sie diese unsichere Abwicklung zugelassen hat.
Ich vermute: Da die Sicherheitsverfahren für Online‑Zahlungen heute deutlich stärker sind als die bloße Eingabe von Kartendaten und CVC, prüfen Banken Reklamationen inzwischen strenger und verweigern häufiger Erstattungen – mit dem Argument, dass ein Missbrauch ohne Fahrlässgkeit des Kunden kaum noch vorstellbar ist.
...
Ich vermute: Da die Sicherheitsverfahren für Online‑Zahlungen heute deutlich stärker sind als die bloße Eingabe von Kartendaten und CVC, prüfen Banken Reklamationen inzwischen strenger und verweigern häufiger Erstattungen – mit dem Argument, dass ein Missbrauch ohne Fahrlässgkeit des Kunden kaum noch vorstellbar ist.
Genau da sind wir wieder bei meinem Fall (nach dem Anwaltsschreiben breites Schweigen seitens der Bank, die mauert weiterhin mit der Herausgabe jeglicher Information). Zur Erinnerung: mein reklamierter Umsatz wurde mit einem fremden (nicht meinem) Mobiltelefon in Süditalien erzeugt und es ist mir immer noch nicht klar, wie die Legimitation erfolgt ist (keine BW Secure Freigabe von mir).
Wie von pmeinl bestätigt verweigert die Bank mit genau dieser Begründung die Erstattung. Es kann nicht sein, was nicht sein darf.
[…]
Es ist unpraktisch, in Zitate hineinzuschreiben, weil damit nämlich unklar ist, was der Vorredner geschrieben hat und was man selber. Außerdem können andere auf das, was man selbst geschrieben hat, nicht einfach antworten (siehe oben).
PS: Wir sprechen in diesem Thread über 1 mutmaßlichen Betrugsfall und 1 Bank, die den mutmaßlichen Schaden nicht bezahlen will.
Wie kommst Du von diesem 1 Fall darauf, daß angeblich Kreditkartenbetrug stark zugenommen haben soll und Banken (Plural!) die Erstattung verweigerten? Hast Du denn Zahlen, die diese Behauptung untermauern oder behauptest Du nur?
belabw
Dass du die Transaktion nicht auf deinem Handy freigegeben hast, ist nicht der Punkt, sondern der Registrierungsmissbrauch der Karte.
Ich bezweifle eine Lücke im Sicherheitsverfahren 3D-Secure. Falls die Bank ohne 3D-Secure, also nur mit CVC freigegeben hätte, wäre sie erstattungspflichtig.
Zur missbräuchlichen Registrierung deiner Karte sehe ich 2 Möglichkeiten:
belabw
Dass du die Transaktion nicht auf deinem Handy freigegeben hast, ist nicht der Punkt, sondern der Registrierungsmissbrauch der Karte.Ich bezweifle eine Lücke im Sicherheitsverfahren 3D-Secure. Falls die Bank ohne 3D-Secure, also nur mit CVC freigegeben hätte, wäre sie erstattungspflichtig.
Zur missbräuchlichen Registrierung deiner Karte sehe ich 2 Möglichkeiten:
- Phishing: Dazu müsstest du einem Dritten die Registrierung deiner Karte auf seinem Handy ermöglicht haben, z.B. indem du ihm den Registrierungscode (TAN) genannt hast, ihn auf einer gefälschten Website eingegeben hast, oder Malware den Code auf deinem Handy abgefangen hat.
- SIM-Swap: Der Täter kontrollierte durch Täuschung deines Mobilfunkanbieters vorübergehend deine Mobilfunknummer, um den Registrierungscode abzufangen und deine Karte zu registrieren. Der Verlust des Mobilfunknetzes hätte dir aber auffallen müssen.
Der Fall ist jetzt abgeschlossen.
Aus dem nun sehr ausführlichen zweiten Schreiben der Bank geht hervor, dass zum Einrichten der Google Pay App (mit dem der Umsatz getätigt wurde, auf meinem Mobiltelefon wurde aber noch nie Google Pay eingerichtet!) folgende Kundendaten erforderlich sind: Kreditkartennummer
Ablaufdatum
CVV-Code
Name und Adresse des Karteninhabers
Mobilfunknummer
Alle diese Daten sind vermutlich dem Profibetrüger/Hacker wie auch immer vorgelegen, obwohl ich nie auf irgendwelche Pishingmails reagiert habe und meine Kreditkarte nie aus der Hand gegeben habe.
Aber nun das entscheidende Detail aus dem Brief in meinem Fall:
Beim Hinterlegen einer Kreditkarte bei Google Pay erfolgt keine Freigabe über die BW-Secure App (die wirklich nur ich auf meinem Mobiltelefon habe), sondern nur über einen Registriercode, der per einfacher SMS (!) an die Mobilfunknummer gesendet und innerhalb von 30 min bestätigt werden muss. Ein versierter Hacker dürfte in der Lage sein, wenn er alle oben genannten Daten sich auch die SMS mit meiner Mobilfunknummer per SIM Swap (wie pmeinl beschreibt) zu erschleichen und an sein Mobiltelefon zu leiten.
In dem Schreiben wurde nun versucht, mir grobe Fahrlässigkeit zu unterstellen, ich hätte an besagtem Tag (11.09.2025 um 19:31 Uhr) die Registrier-SMS erhalten (habe ich aber definitiv nicht) und dann ignoriert anstatt die Bank zu informieren. Klar ist doch, wenn ich plötzlich einen nicht veranlassten Registriercode erhalte, würde ich sehr wohl sofort reagieren. Hier gibt die Bank meiner Ansicht nach letztlich indirekt zu, dass die SMS auch noch an ein anderes Mobiltelefon gegangen sein muss. Allerdings habe ich nie eine SMS erhalten, die ging dann wirklich nur an den Betrüger. Mein Anwalt hält das so für wahrscheinlich, gerade wenn echte „Profis“ am Werk waren.
Die Bank hat in dem Schreiben abschließend angeboten, die Hälfte des Schadens zu übernehmen, „um einen langwierigen Rechtsstreit zu vermeiden“, was laut meines Anwalts quasi ein Schuldeingeständnis ist, weil das bei klarer Lage unüblich sei. Ich sehe das bei jetzt 250 Euro Schaden auch so, und habe dem Vergleich zugestimmt, zumal ich rechtsschutzversichert ohne SB bin.
Die Betrüger hatten immerhin das Pech (und ich das Glück), dass mein Verfügungsrahmen im September schon so weit ausgeschöpft war.
Danke noch einmal für die Vielzahl eurer Beiträge!
sondern nur über einen Registriercode, der per einfacher SMS (!) an die Mobilfunknummer gesendet und innerhalb von 30 min bestätigt werden muss
Zur Klarheit: Man muss den Registrierungscode nicht durch Antwort auf die SMS "bestätigen" sondern zur Registrierung der Karte in PayPal eingeben.
Ob du so eine SMS der Bank gemeldet hast, ist hier irrelevant. Du bist ja nicht verpflichtet, überhaupt SMSe anzusehen. Ich würde wegen einer solchen SMS nicht reagieren - solange ich den Code nicht weitergebe, passiert ja nix. Erst wenn mich Phishing-Versuche nerven, melde ich sowas den Anbietern.
Die Bank unterstellt dir, dass du dem Betrüger den per SMS empfangenen Code genannt hast.
Falls die Bank auf SIM-Swap verweist: Es liesse sich ja über den Mobilfunkanbieter klären, ob jemand deine SIM-Karte auf ein anderes Handy hat umkonfigurieren lassen. Und wieder zurück auf dein Handy - denn sonst würde deine Mobilfunkverbindung aktuell nicht funktionieren. Eine Nachfrage beim Anbieter durch dich wäre kontraproduktiv, denn wenn nicht umkonfiguriert wurde, muss die Bank davon ausgehen, dass du auf Phishing reingefallen bist.
Der Fall ist jetzt abgeschlossen.
Du hast Dich auf einen halblebigen "Kompromiß" eingelassen.
Jetzt fehlt nur noch die Erklärung für den Threadtitel. Woher weißt Du, daß Kreditkartenbetrug stark zugenommen habe und Banken (also mehrere oder viele) die Erstattung verweigerten?
Die Bank hat in dem Schreiben abschließend angeboten, die Hälfte des Schadens zu übernehmen, „um einen langwierigen Rechtsstreit zu vermeiden“, was laut meines Anwalts quasi ein Schuldeingeständnis ist, weil das bei klarer Lage unüblich sei. Ich sehe das bei jetzt 250 Euro Schaden auch so, und habe dem Vergleich zugestimmt, zumal ich rechtsschutzversichert ohne SB bin.
... also die Versicherung das Rechtsanwaltshonorar übernimmt und Dir dafür einen schwarzen Punkt auf Deine Karteikarte macht.
Möglicherweise hat Dich auf Dein Rechtsanwalt zur Annahme dieses Vergleiches gedrängt, weil er so nicht weitere Arbeitszeit für kleines Honorar in eine Sache von geringem Streitwert hineinstecken muß.
Die Bank hat einen Köder ausgeworfen und Du hast angebissen. Gewinn Bank, die hat auf diese Weise Geld gespart. Das hat Methode: Die Bank erkennt, daß sie rechtlich auf verlorenem Posten steht, kehrt dann scheinbar den Großzügigen heraus und bietet (angeblich aus Kulanz) eine Teilerstattung an. Genügend Gegenparteien gehen auf ein solches Angebot ein (Du ja auch!), so daß sich diese Methode lohnt. Die Bank hat ihren Schaden damit mehr als halbiert, denn die Übernahme Deines Rechtsanwalts und der Gerichtskosten hat sie sich ja erspart.
Aus dem nun sehr ausführlichen zweiten Schreiben der Bank geht hervor, dass zum Einrichten der Google Pay App (mit dem der Umsatz getätigt wurde, auf meinem Mobiltelefon wurde aber noch nie Google Pay eingerichtet!) folgende Kundendaten erforderlich sind: Kreditkartennummer
Ablaufdatum
CVV-Code
Name und Adresse des Karteninhabers
Mobilfunknummer
Alle diese Daten sind vermutlich dem Profibetrüger/Hacker wie auch immer vorgelegen, obwohl ich nie auf irgendwelche Pishingmails reagiert habe und meine Kreditkarte nie aus der Hand gegeben habe.
Ich habe keine Erfahrung mit Google- oder auch Apple Pay. Ist es tatsächlich so, dass ich nur die Kreditkartendaten wie oben genannt benötige, um die Karte dort auf meinem Smartphone zu registrieren? Denn die Mobilfunknummer ist natürlich meine eigene, nicht die des Opfers. Somit bekäme der Betrüger dann sämtliche Freigabe- oder sonstige mit diesem Bezahlverfahren zusammenhängende SMS. Ein aufwändiger SMS-Swap wäre gar nicht nötig.
Denn die Mobilfunknummer ist natürlich meine eigene, nicht die des Opfers.
Ne, ist nicht so einfach, denn bei der Registrierung der Kreditkarte beim Kartenunternehmen gibst du auch eine Mobilnummer an. Und an die wird die TAN geschickt.
