Kreditkarten sind anfällig für Brute-Force-artige Angriffe

 (metin.nextc.org)
5 Punkte von GN⁺ 2026-05-02 | 1 Kommentare | Auf WhatsApp teilen
  • PCI DSS beschränkt die Speicherung und Anzeige von Kartendaten, aber selbst mit erlaubten Informationen wie BIN, den letzten 4 Ziffern und dem Ablaufdatum lassen sich bei anderen Händlern weitere Zahlungsversuche fortsetzen
  • Über ein kompromittiertes Konto erhielt der Angreifer über die 3D Secure-Seite der Bank Informationen darüber, ob die Karte noch nutzbar ist, den Namen der Bank, die maskierte Kartennummer und das vollständige Ablaufdatum; etwa 6 Stunden später löste er bei mehreren Händlern Authentifizierungsversuche aus
  • Eine Payment card number (PAN) besteht aus IIN, Konto-Identifikator und Luhn-Prüfziffer; wenn Antworten des Payment Gateways erkennen lassen, welcher Wert falsch ist, werden Vermutungen zu PAN, Ablaufdatum und CVV deutlich einfacher
  • Die tatsächliche Testrate lag bei 6 Versuchen pro Sekunde, etwa 2 pro Sekunde und API; durch Proxys änderte sich die IP-Adresse ständig, und auch die Kartennummer wechselte fortlaufend, sodass Brute Force aus Sicht des Händlers schwer zu erkennen ist
  • Der Angreifer nutzte Händler mit 3D Secure-Ausnahme, um das auf einen niedrigen Betrag gesetzte Kartenlimit vollständig in ein E-Wallet zu verschieben; das Geld wurde per Chargeback zurückgeholt, aber die CVC2-Rate-Limits der Bank blockierten nur für einige Minuten

Was PCI DSS verhindert – und was offenbleibt

  • PCI DSS ist ein Industriestandard, der die minimalen Sicherheitsmaßnahmen für den Umgang mit sensiblen Bankdaten wie Kreditkartendaten definiert, und beschränkt Speicherung und Anzeige so, dass selbst bei einer Kontoübernahme oder Weitergabe von Kartendaten an Dritte nicht alle Informationen offengelegt werden
  • Nach PCI DSS 4 dürfen auf Bildschirmen oder Belegen eine maskierte PAN, der Name des Karteninhabers, der Servicecode und das Ablaufdatum angezeigt werden; bei der PAN dürfen BIN und die letzten 4 Ziffern sichtbar sein
  • Nicht angezeigt werden dürfen vollständige Track-Daten, der Kartenprüfcode sowie PIN/PIN-Block
  • Sowohl E-Commerce-Websites als auch physische Belege können von demselben Problem betroffen sein; teilweise können Kartendaten nicht nur durch kompromittierte Konten, sondern auch durch nicht vernichtete Belege offengelegt werden

Ablauf des Vorfalls

  • Das Opfer nutzte eine virtuelle Kreditkarte mit Limit, hatte 3D Secure als Zwei-Faktor-Authentifizierung aktiviert und verwendete die gespeicherte Karte nur bei bekannten Händlern
  • Nachdem ein vor langer Zeit erstelltes Konto kompromittiert worden war, traf eine SMS über einen Kaufversuch auf einer Website mit gespeicherter Karte ein; das Opfer loggte sich sofort ein, änderte das Passwort, prüfte, ob ein Kauf erfolgt war, und senkte dann das Limit der virtuellen Karte stark ab
  • Die Karte wurde nicht vollständig deaktiviert, weil davon ausgegangen wurde, dass die vollständigen Kartendaten nicht kompromittiert worden waren
  • Etwa 6 Stunden nach der ersten Kompromittierung gab es bei mehreren ungenutzten Händlern 3 bis 4 3D Secure-SMS-Versuche; alle scheiterten, wurden aber später zu einem wichtigen Hinweis auf die Angriffsmethode
  • Einige Minuten später rief das Opfer bei der Bank an, um die Karte vollständig zu deaktivieren; in dieser Zeit nutzte der Angreifer andere Händler ohne 3D Secure, um das gesenkte Limit durch mehrere Zahlungen vollständig auszuschöpfen
  • Das Geld wurde in das E-Wallet eines Marktplatzes verschoben, von dem aus eine Barauszahlung möglich war; nach einem Chargeback erhielt das Opfer das Geld von der Bank zurück

Welche Informationen der Angreifer erhielt

  • Der Angreifer versuchte über das kompromittierte Konto eine Zahlung und sah anschließend die 3D Secure-Seite der Bank, brach dann die Bestellung ab und verließ die Seite
  • Dabei erhielt er die Information, dass die Karte noch nutzbar ist, den Namen der Bank, die maskierte Kartennummer und das vollständige Ablaufdatum
  • Üblicherweise sind für eine vollständige Kartenzahlung die 16 Stellen der PAN, das Ablaufdatum, die CVC2-Nummer und Informationen wie die für 3D Secure verwendete Mobiltelefonnummer erforderlich
  • Im realen Angriff reichten jedoch schon einige dieser Informationen aus, um bei anderen Händlern weitere Versuche zu unternehmen

Aufbau der PAN und Erratbarkeit

  • Eine Payment card number (PAN) ist ein Kartenidentifikator für Kreditkarten, Debitkarten, Stored-Value-Karten und Geschenkkarten
  • Die PAN folgt nach ISO/IEC 7812 einem gemeinsamen Nummernschema und hat intern die folgende Struktur
    • 6- oder 8-stellige Issuer Identification Number (IIN)
    • ein individueller Konto-Identifikator mit bis zu 12 Stellen
    • eine 1-stellige Prüfziffer, berechnet mit dem Luhn-Algorithmus
  • Die Bank des Opfers erlaubte keine Zahlung nur mit der Kartennummer, sondern verlangte PAN, Ablaufdatum und CVV gemeinsam
  • Einige Banken und Payment Gateways können Zahlungen bereits nur anhand der Kartennummer verarbeiten; genau das war für das Opfer besonders schwer zu glauben

Wie Antworten von Payment Gateways die Voraussetzungen für Brute Force schaffen

  • Die Bank des Opfers lehnte Zahlungen mit fehlenden oder falschen Pflichtwerten ab, teilte aber per Response-Code mit, welcher Teil falsch war
  • Beispielhafte Antworten waren:
    • „Keine gültige Kreditkarte“
    • „Karte abgelaufen“
    • „Alle anderen Angaben stimmen, aber der CVV ist falsch“
  • Solche Antworten können vom Angreifer genutzt werden, um zu unterscheiden, welche Werte bei Kartennummer, Ablaufdatum und CVV richtig oder falsch sind
  • Im realen Angriff testete der Angreifer mit 6 Versuchen pro Sekunde, etwa 2 pro Sekunde und API
  • Für Händler ist diese Geschwindigkeit schwer zu erkennen, weil sich die Ursprungs-IP durch Proxys ändert, die Kartennummern bei Brute Force nicht identisch sind und die Anfragerate insgesamt sehr niedrig bleibt

Die Rolle von Händlern mit 3D-Secure-Ausnahme

  • Die Bank führt eine Liste von Händlern mit 3D Secure-Ausnahme; diese gelten als vertrauenswürdig und können Zahlungen und Abonnements ohne 3D Secure entgegennehmen
  • Bei einem Chargeback tragen diese Händler die Haftung
  • Der Angreifer nutzte Händler ohne 3D Secure, um innerhalb des Kartenlimits Geld in ein E-Wallet zu verschieben

Reaktion danach und offene Probleme

  • Das Geld wurde per Chargeback schnell zurückerstattet
  • Dem betreffenden Händler wurde mitgeteilt, dass ein System zur Umwandlung von Kartenzahlungen in Bargeld für unbefugte Abbuchungen missbraucht wurde, doch der Händler antwortete nur, man solle sich an die Bank wenden
  • Einer E-Commerce-Website wurde mitgeteilt, dass die Anzeige von 10 Stellen der Kartennummer zusammen mit dem Ablaufdatum den Angriff erleichtere, doch die Website erkannte dies nicht als Schwachstelle an und erklärte, das Verhalten sei absichtlich gemäß PCI DSS 3 und 4 umgesetzt worden
  • Menschen, die Payment APIs bauen oder in der Zahlungsbranche arbeiten, waren darüber nicht überrascht; einige Händler antworteten sogar, dass Transaktionen teils auch ohne Ablaufdatum möglich seien
  • Seit dem Vorfall verarbeitet der betreffende Dienstleister, der Kreditkartenzahlungen in Bargeld umwandelte, dies nicht mehr ohne 3D Secure
  • Die Bank des Opfers verwendet weiterhin vergleichsweise großzügige Rate-Limits gegen CVC2-Brute-Force; wenn das Limit greift, wird die betreffende Karte nur für einige Minuten vorübergehend gesperrt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-05-02
Hacker-News-Kommentare

  • An verwandten Fällen sieht man, dass der Autor des Originalposts möglicherweise der falschen Ursache hinterherlief. Vor Kurzem tauchten auf meiner Kreditkarte kleine nicht autorisierte Abbuchungen im Zusammenhang mit FB/Meta auf, und es sah so aus, als würde jemand testen, ob die Karte erkannt wird.
    Ich rief beim Kartenanbieter an, ließ die Zahlung stornieren und die Karte sperren und bekam dann eine Karte mit neuer Kartennummer, neuem Ablaufdatum und neuem CVV. Aber selbst auf der neuen Karte, die ich noch nie benutzt hatte, begannen wieder betrügerische FB/Meta-Abbuchungen. Die Ursache war eine digitale Wallet: Auch wenn die Karte gesperrt wird, können Kartennummer usw. über die digitale Wallet weitergegeben werden.
    Als ich erneut beim Kartenanbieter anrief und bat, alle digitalen Wallets zu deaktivieren, stellte sich heraus, dass es 99 davon gab. Online ließ sich das nicht erledigen, ich musste mit einem Callcenter-Mitarbeiter sprechen. Selbst nachdem man mir erklärt hatte, dass dadurch alle wiederkehrenden Zahlungen zurückgesetzt würden, musste ich ausdrücklich verlangen, dass sowohl die Karte als auch alle digitalen Wallets deaktiviert werden, und ich hing 20 Minuten in der Warteschleife. Eine Karte zu sperren kann etwas anderes bedeuten, als man denkt, und wiederkehrende Zahlungen sind für Kartenanbieter offenbar so profitabel, dass eine Sperrung zu erheblichen Umsatzeinbußen führt.

    • Ob das nun eine „digitale Wallet“ war, weiß ich nicht, aber das Konzept einer Aktualisierung der Kartendaten nach Ausstellung einer neuen Karte existiert tatsächlich und ist ein Dienst des Kartenanbieters.
      Stripe-Blog: https://stripe.com/resources/more/what-is-a-card-account-upd...
    • Bei mir wurden ebenfalls 200 Euro abgebucht von Meta/FB, und ich warte noch auf die neue Karte.
    • Bei privacy.com kann man Karten direkt selbst erstellen und auf Wunsch pro Dienst eine eigene Karte verwenden.
    • Dass es „keine Online-Möglichkeit gibt, alle digitalen Wallets zu deaktivieren“, unterscheidet sich stark je nach Bank. Bei Bank of America kann man auf der Website zum Beispiel die zu digitalen Wallets hinzugefügten Karten sehen und entfernen.
    • In meinem Fall war es ziemlich sicher so. Es passierte innerhalb eines Tages, und die verwendete Karte war eine virtuelle Karte, die ich nur bei einigen großen E-Commerce-Websites und ähnlichen Diensten eingesetzt hatte.
      Wenn die Daten woanders abgeflossen wären, hätte wohl kaum jemand versucht, sich zusätzlich noch in ein nicht verwandtes E-Commerce-Konto einzuloggen.

  • Dieser Beitrag behandelt den wichtigsten Punkt nicht. Settlement, also die Zustimmung der Bank, Geld von meinem Konto an einen Händler zu übertragen, ist etwas völlig anderes als Autorisierung.
    Autorisierung umfasst modernes EMV, also „Chip und PIN“, Online-CVV und verschiedene Mechanismen, mit denen Banken sich selbst vor Betrug schützen und nebenbei auch Händler.
    Das Netzwerk kann akzeptieren, dass Amazon sagt: „Hier ist eine Kartennummer, und diese Person behauptet, uns 400 Dollar zu zahlen.“ Das ist einfach Settlement und erscheint auf der Abrechnung. Ohne ausgefeilte Kryptografie, ohne auch nur die Schutzwirkung einer 4-stelligen PIN, ohne eine Verifikation auf dem Niveau des Geburtsnamens der Mutter heißt es einfach: „Okay, glauben wir.“ Deshalb zahlen Verbraucher am Ende einfach unbekannte Abbuchungen, wenn sie ihre Kreditkartenabrechnung nicht lesen und beanstanden.
    Das Netzwerk hat fast keinen Anreiz, sich darum zu kümmern, dass Verbraucher abgezogen werden. Wenn niemand widerspricht, sind alle zufrieden, und wenn doch widersprochen wird, kann man sich das Geld vom Händler zurückholen, also ist es nicht ihr Problem.

    • Dass „man es bei einer Beanstandung einfach vom Händler zurückholt und damit fertig“ ist, trifft auf Online-Zahlungen ohne 3DS zu, aber nicht auf Zahlungen vor Ort oder Online-Zahlungen mit 3DS. In solchen Fällen haftet normalerweise der Issuer.

  • Zahlungsabwickler erlauben keine Kartenenumeration oder Kartentests durch Brute Force über die vollständige Kartennummer, und die Kartennetzwerke verhängen harte Strafen gegen Händler und Zahlungsabwickler, die das nicht unterbinden.

    1. https://stripe.com/newsroom/news/card-testing-surge
    2. https://stripe.com/blog/the-ml-flywheel-how-we-continually-i...
    3. https://docs.stripe.com/disputes/monitoring-programs#enumera...
    • Wenn man mehrere Kartenprüfungs-APIs verwendet, sinkt die Versuchsfrequenz pro API sehr stark. Bei unterschiedlichen PANs und unterschiedlichen Ursprungs-IP-Adressen ist mir nicht klar, wie man das sinnvoll korrelieren soll.
      Die Enumeration von CVC2 für eine einzelne PAN ist eine andere Geschichte.
    • Noch vor 6 Jahren hat Stripe in API-Logs Kartennummern überhaupt nicht maskiert.

  • Das ist ein Beleg dafür, dass die Infrastruktur zur Betrugsprävention tatsächlich geschützt hat. Die Bank hat den Betrugsschaden getragen und das Geld erstattet.
    Letztlich kümmern sich Bankensysteme um Betrugsschäden und sind auch sehr gut darin, Betrug zu erkennen. Das Kartenzahlungssystem ist so groß, dass Änderungen extrem schwierig sind, deshalb ändern Banken nichts, wenn es keine starken Belege dafür gibt, dass eine bestimmte Änderung die Betrugsquote tatsächlich senkt.

    • Leider tragen oft nicht die Banken, sondern die Händler einen beträchtlichen Teil des Betrugsschadens, und dadurch entsteht ein Prinzipal-Agent-Problem.
      Die ausgebende Bank verdient an jeder Transaktion Interchange-Gebühren, daher besteht ohne Betrugshaftung der Standardanreiz darin, möglichst viel zu genehmigen und das später per Chargeback zu bereinigen. 3DS verändert diese Rechnung allerdings deutlich, und bei Zahlungen vor Ort haftet meist ebenfalls die ausgebende Bank.
    • Es ist nicht so, dass die Banken den Schaden wirklich selbst tragen; sie schlagen schlicht genug Marge auf alle Dienstleistungen auf, um die Betrugskosten abzudecken.
      Am Ende tragen also alle Verbraucher gemeinsam die Kosten sämtlicher Betrugsfälle. Es erscheint nicht als eigener Posten auf der Rechnung, aber wir zahlen bei allem, was wir kaufen, ein bisschen mehr.
    • Geschützt ist man nur dann, wenn man die betrügerische Abbuchung bemerkt.
    • Ich habe erlebt, dass Banken aufgeben, wenn sie es mit einem stark motivierten Chargeback-Gegner zu tun bekommen.
      Bei einem Fall mit gestohlenen Kreditkartendaten auf eBay lief zunächst alles gut, aber als eBay einen Stapel Unterlagen an die Bank schickte, wurde das Chargeback rückgängig gemacht, und kurz darauf wurde sogar mein Bankkonto geschlossen.
      Es war also nicht einfach mit der Rückerstattung erledigt. Zunächst scheint das Geld nur vorläufig gutgeschrieben zu werden, während der Gegenseite Zeit zur Antwort gegeben wird. Es dauerte etwa 30 Tage, bis ich das Chargeback wiederherstellen konnte, nachdem eBay mich mit Unterlagen überrollt hatte. Ihre Darstellung war so überzeugend, dass meine Bank am Ende eher mich für den Betrüger hielt.
      Ich weiß auch nicht, ob es wirklich zu 100 % stimmt, dass die Banken den Schaden tragen. Dass die belastete Seite Chargebacks anficht, zeigt ja, dass am Ende entweder die belastete oder die auslösende Seite den Verlust trägt. Wenn die Bank den Verlust ohnehin schlucken würde, gäbe es für eBay keinen Grund, Fachpersonal für Untersuchungen und die Anfechtung meines Chargebacks einzusetzen.

  • Es würde viel helfen, wenn 3D Secure überall verpflichtend wäre, aber in den USA wird es meinem Verständnis nach kaum genutzt. Weil der US-Markt so groß ist, können Kartenaussteller Anfragen ohne 3D Secure kaum ablehnen, sonst könnten Kunden ihre Karten an zu vielen Stellen nicht verwenden.
    Dadurch ist eine sehr starke Betrugsschutzmaßnahme massiv eingeschränkt, was aus Sicht des Rests der Welt frustrierend ist.
    Ich verstehe nicht, warum US-Verbraucher Betrug offenbar einer kleinen Unbequemlichkeit vorziehen. Selbst wer nicht direkt Opfer wird, zahlt am Ende mit, weil Händler Betrugs- und Versicherungskosten in die Preise einrechnen.

    • Üblicherweise wird das so bewertet: Wenn der Rückgang der Conversion Rate durch eine Sicherheitsmaßnahme größer ist als die durchschnittliche Betrugsquote, gibt es finanziell keinen Grund für die Einführung.
      Branchenweit ist das aber ein klassisches Koordinationsproblem. Die Conversion sinkt nur deshalb, weil bequemere Alternativen verfügbar bleiben. Würden alle Händler und Banken gleichzeitig 3DS erzwingen, gäbe es keine einfachere Ausweichoption mehr. Ob man es mag oder nicht: Nutzer würden sich an den sichereren neuen Standard gewöhnen, und die Conversion würde wieder steigen.
      Die EU hat 3DS für viele Zahlungen genau auf diese Weise verpflichtend gemacht, wobei die Regulierer dort ebenfalls anerkannt haben, dass 100 % Abdeckung kontraproduktiv sein kann und irgendwo dazwischen ein sinnvoller Punkt liegt.
      Ein weiteres Beispiel nach demselben Prinzip: US-Kreditkarten haben keine PIN. Würde eine einzelne Bank eine PIN einführen, würden Kunden einfach zu Konkurrenzkarten ohne PIN wechseln, und die Nutzung würde stark zurückgehen. In anderen Märkten gibt es dank Regulierung oder Anreizen der Kartennetzwerke bei allen Karten eine PIN, und die Menschen haben sich einfach daran gewöhnt.
    • In den USA ist die Rechtslage anders und verbraucherfreundlicher, deshalb verhalten sich Verbraucher auch anders.
      In der Anfangszeit der Kreditkarte, als sie in den USA aufkam, verabschiedete der Kongress den Fair Credit Billing Act von 1974, der die Haftung der Verbraucher auf 50 Dollar begrenzte, sofern eine verlorene Karte innerhalb von 60 Tagen nach Ende des betrügerischen Abrechnungszeitraums gemeldet wurde. Damals wurden Zahlungen vollständig offline auf Papier mit diesen Geräten verarbeitet, die mit einem „kachunk“-Geräusch Kohlepapierabdrücke der Karte machten.
      Dieses Gesetz wurde nie geändert, und in der Praxis verzichten die meisten Banken sogar auf diese 50 Dollar und machen Karteninhaber für gemeldete Fälle gar nicht haftbar. Für 50 Dollar Kunden zu verärgern, lohnt sich aus Sicht der Banken nicht.
      Durch das Internet wurden Karten plötzlich viel leichter zu stehlen und zu missbrauchen, aber die Banken müssen weiterhin für alle Verluste aufkommen, die innerhalb von 60 Tagen nach Ende eines Abrechnungszeitraums gemeldet werden. Deshalb investieren US-Banken enorm in die Echtzeitüberwachung von Kreditkartentransaktionen und nehmen das sehr ernst, weil sie am Ende haften. Verbraucher kümmern sich dagegen weniger. Aus Verbrauchersicht wirken US-Karten deshalb viel lockerer als europäische Karten: Anders als in Europa sind Verbraucher weitgehend schadlos gestellt, und die Banken investieren dafür sehr viel stärker in die Backendsysteme.
      Unabhängig davon hat die EU die Interchange-Gebühren reguliert, die Kartenanbieter verlangen dürfen, während es in den USA keine Obergrenze gibt. Dadurch können Karteninhaber in den USA beträchtliche Rewards für die Kartennutzung erhalten, besonders ausgeprägt bei den wohlhabendsten 10 %, was mit EU-Karten unter gedeckelten Gebühren praktisch unmöglich ist.
      Derzeit läuft eine große Klage, die Händlern ermöglichen soll, nur Karten mit niedrigen Gebühren zu akzeptieren. Standardverträge von VISA/MC/AMEX verlangen, alle Karten gleich zu behandeln, was den Kartenanbietern einen Anreiz gibt, Menschen zu Karten mit höheren Interchange-Gebühren zu lenken. Man muss das Ergebnis dieser Klage abwarten, aber bis dahin können Vielausgeber in den USA deutlich höhere Karten-Rewards erhalten, was ebenfalls die Kartennutzung fördert und im Vergleich zu Karten nach EU-Modell Reibung reduziert.
    • Glaubst du, wir würden nach einem weniger sicheren Zahlungsmittel verlangen?
      Es ist nicht so, dass wir Betrug bevorzugen; das ist eine Verhandlungsfrage zwischen Kartenausstellern und Händlern.
    • Nur als Hinweis: Wenn man in den USA lebt und das möchte, verwendet die HSBC USA Mastercard 3D Secure.
    • Wie viel Betrugsschaden lässt sich mit 3D Secure eigentlich verhindern, vielleicht 0,1 %?

  • Früher fing einmal ein neu eingestellter Mitarbeiter in unserer Firma an, damit zu prahlen, dass er eine Methode zum Aufladen von Geschenkkarten mit Guthaben gefunden habe. Später stellte sich heraus, dass gegen ihn wegen einer FBI-Ermittlung ermittelt wurde.
    Das war sogar bei einem Regierungsauftragnehmer, und schließlich kam der größte Sicherheitsmann, den ich je gesehen habe, und führte ihn ab.

    • Was bedeutet es, „Geschenkkarten mit Guthaben aufzuladen“?

  • Virtuelle Kreditkarten gibt es schon sehr lange. Ich erinnere mich, dass Bank of America oder Citi so etwas schon vor mehr als 15 Jahren angeboten haben, vielleicht als Java-App oder eigenständige Anwendung. Es überrascht mich, dass sich das nicht weiter verbreitet hat.
    Robinhood setzt das wirklich gut um. Das ist das beste System für virtuelle Kreditkarten, das ich bisher benutzt habe, und es läuft sehr reibungslos. Man kann Karten für eine einmalige Nutzung, für 24 Stunden oder unbegrenzt bis zur Kündigung freigeben, und UI/UX sind hervorragend.

    • Es hat sich nicht verbreitet, weil es einfacher war, die Betrugskosten zu tragen, als das System zu betreiben. Es hat sich schlicht nicht durchgesetzt, weil es eine verbraucherfreundliche Funktion ist.
    • MBNA hatte Anfang der 2000er, bevor es von Chase übernommen wurde, eine Flash-basierte App für virtuelle Karten, und ich habe sie wirklich gern genutzt.
      In einer Welt, in der heute alles auf Abos basiert, verstehe ich nicht, warum sich so eine Funktion nicht durchgesetzt hat. Es war großartig, Ablaufdatum und Ausgabenlimit festlegen zu können, damit man nicht schmutzige Verhandlungen über die Kündigung eines Abos führen muss.

  • Vor Kurzem bekam ich von der Bank eine SMS, dass es mit der Karte meiner Frau im Ausland eine verdächtige Transaktion gegeben habe, und der Betrag war buchstäblich 0 Dollar. Außerdem war es zu einer Uhrzeit, zu der sie weder Handy noch Computer benutzt hatte.
    Zuerst dachte ich, die SMS selbst sei Phishing, aber nach einer Online-Prüfung stimmte das Format der Nachricht überein, und auf der Bankseite wurde zugesichert, dass im Feedback-Prozess keine Informationen abgefragt würden, also bestätigte ich, dass sie die Zahlung nicht vorgenommen hatte.
    Die Bank sperrte die Karte sofort und schickte eine neue.
    Anfangs hielt ich das für eine Überreaktion des Sicherheitssystems der Bank, aber vermutlich tat tatsächlich jemand genau das, was in diesem Beitrag beschrieben wird, und die Bank hat es nur früher erkannt.

  • Es ist sinnvoll, eine separate Karte für Online-Zahlungen zu verwenden und nur so viel Geld darauf zu lassen, wie man für Zahlungen braucht.
    Ich weiß, dass das naiv klingt.
    Zurück zum Artikel: Die Schwachstelle war das Passwort, und das führte dann zu anderen Händlern, die kein 3D Secure nutzten.
    Dem Beitrag nach zu urteilen verfügen die Angreifer über ein vollständig automatisiertes System. Große Händler sollten also damit umgehen können, dass von derselben IP-Adresse aus automatisierte Login-Versuche auf unterschiedliche Konten erfolgen. Wenn ich unsere Wordfence-Logs ansehe, rotiert die IP nicht so schnell, daher müsste man mit dauerhaften IP-Sperren einigermaßen dagegen vorgehen können.

    • Warum sollten Händler das tun, wenn sie für den Betrug im aktuellen System nicht haften?
    • Ehrlich gesagt ist mir Kreditkartenbetrug meistens ziemlich egal, weil die Bank den Schaden ersetzt. Ich prüfe einfach auf der Abrechnung, ob etwas Ungewöhnliches auftaucht.
    • Mercury bietet inzwischen auch Privatkonten an. Wie bei Unternehmensdiensten wie Brex/Mercury/Ramp kann man virtuelle Debitkarten erstellen.
    • Ich stimme einer separaten Karte zu. Bei mir war es auch eine separate Karte, und zum Glück war der Betrag dadurch nicht allzu hoch.
      Ich finde nicht, dass ein Passwortleck direkt zu einem vollständigen Kreditkartendatenleck führen sollte. Dieselben Daten stehen schließlich auch auf Papierbelegen aus Läden, mal 4-stellig, mal 10-stellig. Selbst mit Papierbelegen, die in Geschäften herumliegen, wäre Brute Force also weiterhin möglich.
    • Nicht beteiligt, aber die virtuelle Karte Capital One Eno eignet sich gut für diesen Zweck.

  • Ergänzend dazu: Händler können beim Kreditkartenabwickler nicht immer das gewünschte Sicherheitsniveau auswählen. Bei authorize.net kann man Zahlungen zum Beispiel auch dann akzeptieren, wenn die Adresse nicht übereinstimmt.
    Die eigentliche Frage ist, wie das Geld abgezogen wurde. Wurden vielleicht Geschenkkarten bei einem Händler mit laxen Sicherheitsstandards gekauft?
    Eine Nummer zu erraten und Geld aus dem System herauszuziehen sind zwei völlig verschiedene Dinge.

    • Dass „Händler beim Zahlungsabwickler nicht das gewünschte Sicherheitsniveau auswählen können“, hängt vom Abwickler ab. Viele Anbieter erlauben es Händlern, Autorisierungsregeln ziemlich detailliert zu konfigurieren.
      Auf dem Markt der Zahlungsabwickler gibt es eine gewisse Zweiteilung. Die eine Seite bietet Kunden Einfachheit und nimmt ihnen Last ab, die andere legt die ganze Komplexität offen und gibt ihnen feingranulare Kontrolle. Die erste lässt einen keine Sicherheitsanforderungen festlegen, die zweite bietet Hunderte von Optionen. Natürlich gibt es auch Anbieter irgendwo dazwischen, und beide Achsen zielen meist auf unterschiedliche Kundengruppen.