Ulfmann Geschrieben 13. Februar 2017 Geschrieben 13. Februar 2017 Moin. Aus aktuellem Anlass recherchiere ich grad über eine Seite, die Fake Daten generiert und nach einer Möglichkeit, deren Generierungspattern zu erkennen oder so. Wir hatten am Wochenende eine sehr große Menge an "Falsch-Käufen" und ich bin grade einer Seite auf der Spur (fake-it, heißen die, darf ich das hier angeben?) mit der die Daten wohl generiert wurden. Auf deren Facebook Seite findet ein offener Austausch über den Daten-Missbrauch statt, es werden Tipps gegeben, wo man am besten damit einkauft und Updates zur Entwicklung der Seite gepostet. Echt gruselig. Meine Frage: Wüsstet ihr Ansatzpunkte, wie man sowas unterbinden (oder zumindest erschweren) kann? E-Mail Validierung funktioniert ja auch nur bedingt. Lasst mal hören. Danke soweit.
KampfKatze Geschrieben 13. Februar 2017 Geschrieben 13. Februar 2017 Ausweisnummer abfragen und diese überprüfen ob valid. Kontoauszug parallel abfragen und wichtige Stelle schwärzenAnsonsten hätte ich keine Idee mehr. Sent from my iPhone using Fachinformatiker.de mobile app
Ulfmann Geschrieben 13. Februar 2017 Autor Geschrieben 13. Februar 2017 Ausweisnummer ist in den Datensätzen enthalten. Und man will es dem Kunden ja auch nicht unnötig schwer machen, den Kauf abzuschließen. Also einen Konto-Auszug würde ich z.B. niemals irgendwo hochladen.
KampfKatze Geschrieben 13. Februar 2017 Geschrieben 13. Februar 2017 Am 13.2.2017 um 11:29 schrieb Ulfmann: Ausweisnummer ist in den Datensätzen enthalten. Und man will es dem Kunden ja auch nicht unnötig schwer machen, den Kauf abzuschließen. [...] Kreditkarte abfragen, die von deiner genannten Seite sind nicht, denk ich mal, valid. Sent from my iPhone using Fachinformatiker.de mobile app
Ulfmann Geschrieben 13. Februar 2017 Autor Geschrieben 13. Februar 2017 (bearbeitet) Doch, das ist ja das große Problem. Unser Payment-Partner validiert eben nur die formale Gültigkeit und da wird eine Kreditkarten-Nr gegen den Luhn-Algorithmus gegen gerechnet und gut. Damit ist aber nicht gesagt, dass dieses Konto auch einen Inhaber hat. Edit: @Gottlike: "cKonto verwendet die offiziellen Prüfmethoden aller registrierten IBANs und die aktuell 141 Prüfverfahren der Deutschen Bundesbank, um Bankverbindungen auf Plausibilität zu überprüfen" Das passiert schon, reicht aber nicht. Edit2: Das eindeutigste Muster, das wir bisher haben, ist die E-Mail Adresse aller (!) dort generierten Datensätze, die dem Muster Vorname.Nachname[Zahl].bekannteranbieter.com folgt. Ist natürlich alles andere als zuverlässig und es gibt ja auch viele Payment Daten von anderen Quellen. Bearbeitet 13. Februar 2017 von Ulfmann
Gast Uhu Geschrieben 13. Februar 2017 Geschrieben 13. Februar 2017 (bearbeitet) Die meisten Bezahldienstleister die ich kenne die z. B. ELV anbieten o.ä führen eine einmalige Authentifizierung über eine angegebene Deutsche Handynummer durch (SMS Code, der dann eingegeben werden muss). Du kannst zwar nicht verhindern, dass Handykarten geklaut oder gefälscht werden. Allerdings werden in Deutschland keine anonymen Prepaid Simkarten mehr verkauft und die Leute müssen sich zur Aktivierung einer solchen beim Mobilfunkanbieter registrieren lassen. Das erhöht den Aufwand für eine Falschbezahlung der bei einer formalen Prüfung für den Bösewicht praktisch null ist. Ich finde ihr solltet dringend Druck bei eurem Payment-Partner ausüben. Nur eine formalte Gültigkeit zu prüfen ist absolut nicht mehr state of the art im Payment Bereich. Eine absolute Sicherheit gibt es natürlich nicht, aber ich halte multiple Authentifizierungsmaßnahmen für deutlich effektiver als versuchen in den Anmeldedaten bekannte Muster zu finden. Das ist als Kunde eures Payment Dienstleisters gar nicht eure Aufgabe. Bearbeitet 13. Februar 2017 von Uhu
thereisnospace Geschrieben 13. Februar 2017 Geschrieben 13. Februar 2017 Am 13.2.2017 um 11:38 schrieb Ulfmann: Doch, das ist ja das große Problem. Unser Payment-Partner validiert eben nur die formale Gültigkeit und da wird eine Kreditkarten-Nr gegen den Luhn-Algorithmus gegen gerechnet und gut. Damit ist aber nicht gesagt, dass dieses Konto auch einen Inhaber hat. Edit: @Gottlike: "cKonto verwendet die offiziellen Prüfmethoden aller registrierten IBANs und die aktuell 141 Prüfverfahren der Deutschen Bundesbank, um Bankverbindungen auf Plausibilität zu überprüfen" Das passiert schon, reicht aber nicht. Aufklappen Was denn nun? Wird nur auf formale Gültigkeit überprüft oder mehr? Bei cKonto werden u.A. auch Stammdaten abgeglichen.
pr0gg3r Geschrieben 13. Februar 2017 Geschrieben 13. Februar 2017 Am 13.2.2017 um 11:13 schrieb Ulfmann: Wir hatten am Wochenende eine sehr große Menge an "Falsch-Käufen" Aufklappen Wie wäre es, wenn Ersteinkäufe nur über Zahlungsverfahren abgewickelt werden können, bei denen das Risiko nicht bei dem Shopbetreiber (also euch) liegt. Zusätzlich müsst ihr den Aufwand des Aftersales erst nach Zahlungseingang beginnen, damit Fakebestellungen keinen Aufwand erzeugen. Z.B. per Vorauskasse (Überweisung, Kredikarte, ...). Alle weiteren Bestellungen dann auch über die anderen Verfahren.
Ulfmann Geschrieben 13. Februar 2017 Autor Geschrieben 13. Februar 2017 @pr0gg3r Das ist dann eine Business-Entscheidung auf die ich keinen Einfluss habe. Klar kann man die Bezahloptionen eingrenzen auf Wege, die weniger anfällig sind, aber ich vermute, das wollen wir nicht. Da gebe ich @Uhu schon recht, das sollte unser Dienstleister tun. @Gottlike Ich hab cKonto so verstanden, dass sie IBAN und Kreditkarten-Nummern auch nur gegen eine Prüfsumme halten. Und das macht unser Dienstleister schon. Das reicht aber eben nicht, weil man damit nicht ausschließen kann, dass das Konto gar keinen Inhaber hat.
Guybrush Threepwood Geschrieben 13. Februar 2017 Geschrieben 13. Februar 2017 Am 13.2.2017 um 11:55 schrieb Uhu: Du kannst zwar nicht verhindern, dass Handykarten geklaut oder gefälscht werden. Allerdings werden in Deutschland keine anonymen Prepaid Simkarten mehr verkauft und die Leute müssen sich zur Aktivierung einer solchen beim Mobilfunkanbieter registrieren lassen. Das erhöht den Aufwand für eine Falschbezahlung der bei einer formalen Prüfung für den Bösewicht praktisch null ist. Aufklappen Es gibt allerdings auch verschiedene Webseiten die mehrere Mobilnummern bieten die man für Telefonverifikationen benutzen angeben kann und die dann einfach alles was an sie gesendet wird auf der Webseite veröffentlichen. Das heißt man müsste auch regelmäßig nach solchen Nummern suchen und diese in eine Blacklist einfügen. Auch könnte schon verwendete Nummern speichern (oder den Hash einer Nummer um nicht in Datenschutzprobleme zu laufen) und damit verhindern, dass die selbe Nummer mehrmals verwendet wird.
Gast Uhu Geschrieben 13. Februar 2017 Geschrieben 13. Februar 2017 Am 13.2.2017 um 13:05 schrieb Guybrush Threepwood: Es gibt allerdings auch verschiedene Webseiten die mehrere Mobilnummern bieten die man für Telefonverifikationen benutzen angeben kann und die dann einfach alles was an sie gesendet wird auf der Webseite veröffentlichen. Das heißt man müsste auch regelmäßig nach solchen Nummern suchen und diese in eine Blacklist einfügen. Auch könnte schon verwendete Nummern speichern (oder den Hash einer Nummer um nicht in Datenschutzprobleme zu laufen) und damit verhindern, dass die selbe Nummer mehrmals verwendet wird. Aufklappen Aufjedenfall. Eigentlich erwarte ich, dass ein Payment-Anbieter genau dies tut. Ehrlich gesagt bin ich ziemlich schockkiert das der Anbieter von Ulfmann nur eine formale Prüfung vornimmt. Soetwas habe ich ehrlich gesagt das letzte mal vor 10 Jahren gesehen ... Wenn der Payment Anbieter hier nicht nachzieht wäre hier sogar zu prüfen, ob hier nicht gegenüber dem Payment Anbieter Schadensersatzansprüche geltend gemacht werden können.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden