Beiträge von Der mit dem Bart

"Verified by Visa" ist nichts anderes als die Visa-gebrandete Variante von 3DS. Das selbe gibt's bei Mastercard in den meisten Märkten unter dem Namen "SecureCode", welches ebenfalls immer aktiver als tolle Neuigkeit angepriesen wird, wobei man sowohl zum Thema "neu" als auch "toll" so einiges schreiben könnte. Weitere Diskussionen zu dem Thema hatten wir auch schon im Gebuhrenfrei-Thread.

Maestro-Karten und EMV sind noch mal ein eigenes Thema für sich, was noch etwas verkompliziert wird, dass hierzulande z.T. alles unter der Bezeichnung "Kreditkarte" angeboten wird, auch wenn es im eigentlich Sinne keine ist.

Und 3DS und EMV sind wiederum zwei verschiedene Paar Schuhe. Ersteres ist momentan nur für Online-Transaktionen vorgesehen, EMV wiederum momentan nur für POS-Transaktionen, wobei man da mit der Träumerei schon seit jeher schon immer ziemlich schnell bei der Sache war und es da durchaus die Hoffnung gibt, dass sich "der Chip" so etabliert, dass man ihn auch für andere Zwecke nutzen kann.

Zitat

Original geschrieben von seby
Ich kann da nur meine Amex als Gegenbeispiel nennen. Die melden sich von sich aus (per Telefon), bzw. blocken den fraglichen Betrag, aber sperren die Karte nicht. So sollte es eigentlich sein.

Kann ich gänzlich bestätigen, aber da ist AmEx auch wirklich die (positive) Ausnahme. Mir sind auch einige Fälle bekannt, in denen AmEx relativ unbürokratisch schon fast detektivisches Gespür bewiesen hat, damit es eben nicht zu dieser höchst unangenehmen Problematik kommt.

Allgemein kann man allgemein auch sagen, dass die Zeiten, in denen nur auf die Höhe und Frequenz der Transaktionen geschaut wurde schon lange, lange vorbei sind. Das ist sehr viel komplizierter und ich würde da raten den Versuch zu unternehmen, das telefonisch zu klären. Wenn man nicht gerade das Hoteltelefon nimmt, halten sich die Kosten auch ohne VoIP im Rahmen. In anderen Ländern ist es allerdings sogar gar nicht mal unüblich dafür eine spezielle Nummer für R-Gespräche zu haben.

Zitat

Original geschrieben von privatlehrer
Ausserdem bekommt man die Antworten auf Anfragen ja nicht vom Management, sondern von irgend welchen Callcenter-Agents. Da sollte man IMHO eh nicht zuviel Substanz erwarten.

Gerade den Punkt sollte man IMHO nicht unterschätzen. Ich wollte eigentlich schon bei dem diesem Teil der obigen Antwort

Zitat

Der MasterCard Secure Code kann nicht abgephished werden, da dieser nur in Verschlüsselter Form bei MasterCard geseichert wird und der Entschlüsselungscode ändert mehrmals täglich.

einen halben Aufsatz schreiben, denn (ohne demjenigen jetzt zu nahe treten zu wollen) schreit das förmlich danach, dass sich da jemand nie wirklich mit der Materie beschäftigt, aber hier und da ein paar "Fakten" aufgeschnappt hat. Aber letztendlich führt das zu nichts und interessieren würde es wohl auch nur die wenigsten.

Richtig nett wird die ganze Geschichte natürlich dann, wenn man bedenkt, dass es auch hierzulande mittlerweile nicht mehr unüblich ist gleich mehrere Kreditkarten zu haben (auch wenn das in anderen Märkten sehr viel ausgeprägter der Fall ist). Die Erfahrung hat gezeigt, dass das vielfach einfach dazu führt, dass die Passwörter auf Post-It Zetteln am Monitor landen.

Soweit ich weiß, geht das nicht. Wenn dich die Email-Benachrichtigungen aber wirklich stören sollten, kannst du sie ja einfach ungesehen löschen oder irgendwo anders hin verschieben lassen (einfach auf info@telefon-treff.de als From und den String "neue Antwort" am Ende (procmail: $) der Subject-Zeile filtern). Das sollten eigentlich auch so ziemlich alle Mailprogramme bzw. Webmail-Provider halbwegs hinbekommen.

Gerne.

Zitat

Original geschrieben von smudo78
...und vielleicht noch ein kleines Abkürzungsverzeichnis zu ersterem Beitrag nachliefern

Äh ja, wo du recht hast, hast du recht.

In Kurzform: AVS nennt man die teilweise Verifizierung von den hinterlegten Adressdaten, den man als Deutscher meist nur dadurch kennt, dass man bei KK-Zahlung im Ausland eine Postleitzahl eingeben muss. Der Hintergedanke ist ganz einfach: der redliche Kartenbesitzer wird seine Postleitzahl wissen, von daher baut man damit keine große Nutzungsbarriere ein, aber gleichzeitig sind die PLZ-Bezirke oftmals noch klein genug, damit nicht immer die PLZ in dem sich der Automat oder das POS-System befindet auch gleich der des Karteninhabers ist. Es gibt dann noch verschiedene Möglichkeiten das in andere Systeme zu integrieren und eine Falscheingabe bei einer aktiven Karte zu handhaben. Wenn es vernünftig gehandhabt wird, ist das auch eine ordentliche, noch halbwegs effektive und gleichzeitig sehr kostengünstige Lösung.

C/S steht einfach für "Challenge/Response". Das ist im Grunde nichts anderes als das was hierzulande als mTan bekannt geworden ist und ebenfalls in meinen Augen einen vernünftigen Einsatzzweck hat. Im KK-Bereich gibt es bei automatischen Zahlungen und in ein paar anderen Bereichen damit zwar Probleme und wenn man es generell bei Zahlungen per SMS macht, verzögert es Zahlungen auch in einem Rahmen, den kein Einzelhändler hinnehmen wird. Aber auch da gab es brauchbare Ansätze.

Tja, und das JuSchG ist eben das Jugendschutzgesetz, dem die Geldkarte quasi ihre praktische Akzeptanz (zumindest unter Rauchern) verdankt. Davor hatte man sie zwar und ab und zu auch mal Guthaben drauf, aber außerhalb von Parkhäusern und vereinzelt dem ÖPNV gab es eigentlich keine Nutzungsmöglichkeit dafür und daher auch kaum Nachfrage. Über PCI könnte man jetzt Bücher schreiben und wie das immer bei solchen Sachen ist, klatscht man dann am besten einfach einen Wikipedia-Link hin.

Zitat

Original geschrieben von rmol
Na immerhin sind Geburtsdatum, Anschrift und E-Mail-Adresse nicht der Karte selbst zu entnehmen.
Die von heini5131beschriebene Abfrage von Daten für den Advanzia-Securecode ist aber keinen Deut sicherer als die derzeit praktizierte Abfrage von Name, Nummer, Gültigkeit, csv-Code.

Das stimmt und ich wollte dem auch gar nicht widersprechen. Eigentlich wollte ich mit meinem Posting nur zum Ausdruck bringen, dass auch den Banken bzw. Mastercard und Visa durchaus bekannt ist, dass 3D-S per se Probleme hat. Deutschland hinkt da (wie in den meisten Bereichen was die KK-Branche angeht) nur ordentlich hinterher, weshalb man um die Probleme am Konzept selbst und um unschöne implementationsspezifische Umstände eigentlich weiß.

Gerade ADS (worum es ja hier geht) ist da mächtig unglücklich und man hat die Erfahrung gemacht, dass man so seine Kunden wunderbar zu Phishing-Opfern (um)erziehen kann. Macht man es nun wie im vorliegenden Fall andersherum so, dass man nur Daten, die auf der Karte stehen abfragt, wird die ganze Sache komplett wertlos (das Standard-Argument dagegen war dann immer, dass man wenigstens die IP hat, die hat der payment processor aber schon so als compliance-Erfordernis vorzuhalten und im Zweifelsfall ist die sowieso wertlos). Das sind also durchaus Erfahrungswerte, die die Banken haben (sollten). Das ich das gesamte System mehr oder weniger aus Händler- und Konsumentensicht für kompletten Murks halte, sollte ich fairerweise vielleicht auch noch erwähnen.

Zitat

Original geschrieben von heini5131
Email ist raus, mal sehen, was kommt.

Es ehrt dich, dass du versuchst da nachzuhaken, aber erwarte bitte nicht mehr als eine Standardantwort. Insgesamt ist alles, was in dem Bereich passiert, leider nicht neu und in anderen Märkten ist es auch absolut üblich, dass z.B. die Postleitzahl der Rechnungsadresse bei gewissen Transaktion teilweise (sprich AVS) geprüft wird, da man dann keine Inteface-Probleme mit den allermeisten POS-Terminals bekommt. Letztendlich ist das auch eher eine geringe Hürde, aber je nachdem, wie das AVS-System ausgestaltet ist, reduziert es zumindest den Missbrauch durch Gelegenheitsdiebstahl, auch wenn bei vielen heute üblichen Attacken gar keine Auswirkung hat.

Insgesamt ist es so, dass gerade die Bestandteile Geburtsdatum und Anschrift bei vielen Menschen für organisierte Betrüger verhältnismäßig problemlos zu erhalten sind. Dafür sind diese Informationen einfach zu sehr quasi-öffentlich, da sie bei Alltagsgeschäften für so viele Transaktionen benötigt werden, dass jemand, der genügend motiviert ist, sie auch irgendwo herbekommen wird. Und das alleine die Kombination aus Postleitzahl und Geburtsdatum schon sehr viele Rückschlüsse zulässt, hat die Sweeney-Studie ja vor über 10 Jahren schon recht eindrucksvoll bewiesen.

Und es gibt und gab ja auch andere, deutlich bessere Vorschläge zur Erhöhung der Sicherheit von Kreditkarten-Transaktionen. Das Problem ist, dass es eben nicht wirklich um Sicherheit geht. Größtmögliche Sicherheit in Finanzsystemen hat zwei natürliche Feinde: Kosten und Nutzbarkeit. Ist das System nicht einfach zu nutzen (wie z.B. C/R-Systeme, bei denen alle oder auch nur einige bestimmte Transaktionen erst autorisiert werden sobald der Code aus einer SMS eingegeben wurde), werden es der Handel und letztendlich auch der Endkunde ablehnen. Kostet es zu viel, wird es erst gar keine Verbreitung finden (ich fühle mich da immer die schönen, jahrelange vorgetragenen Versprechungen der Befürworter der Geldkarte vor der JuSchG-Reform erinnert). Das ganze Theater ist also mehr oder weniger immer der kleinste gemeinsame Nenner, was ja aber auch wieder nicht neu ist - auch gerade im Bereich von PCI-DSS ist da des einen "guter Ansatz" für einen anderen eben reine Augenwischerei.

Zitat

Original geschrieben von rmol
sehe ich dass richtig, dass bisher noch keine Mail-Werbung versandt wurde (habe jedenfalls noch nichts dazu hier gefunden) :confused:

Ich habe zumindest bisher nichts zu Gesicht bekommen. Und da ich extra dafür eine spezielle Email-Adresse eingerichtet hatte, kann ich auch sagen, dass zumindest in dem Fall nichts im Spam-Filter oder aufgrund einer Grey- oder Blacklist hängengeblieben ist - will heißen: es ist wirklich bisher bei mir nichts gekommen.

Zitat

Was passiert, wenn die bei der Anmeldung hinterlegte E-Mail-Adresse nicht mehr gültig ist?

Keine Ahnung. Wenn Gettings das halbwegs klug handhabt, werden die schon schauen, ob der MTA der Gegenseite einen Fehler sendet und wenn ja, dann mit welchem Fehlercode. Und das alleine schon aus ganz eigenem Interesse, da die ja per Definition ausschließlich Werbung versenden (so dass eine ganze Menge Leute das über das jeweilige Web-Interface ihres Mail-Providers einfach als Spam entsorgen werden, was wiederum einen Einfluss auf das Scoring bei anderen Adressaten haben kann) und es damit dem ganzen Unternehmen ziemlich zu wider liefe, wenn die Gettings-Server auf einer DNSBL landen würden. Opt-In und Nutzungsbedingungen hin oder her, sehen die meisten Nutzer dann nämlich die Werbung niemals und das dürfte wiederum den Werbepartner gar nicht schmecken.

Bei einer Wegwerf-Adresse, bei der die Email zwar angenommen, aber dann einfach verworfen wird, passiert natürlich gar nichts, denn da erfährt Gettings ja gar nicht, dass keine Zustellung erfolgt ist.

Zitat

Original geschrieben von yox
Sind alles "Notfallkarten", trotzdem hält sich gettings nicht an das abgemachte...

Wenn du das L-Paket gebucht hast, dann schon, denn da sind dann bis zu 25 SMS pro Woche vereinbart. :eek: