Schutz gegen Fake-Daten?

[Ulfmann]

Moin.

Aus aktuellem Anlass recherchiere ich grad über eine Seite, die Fake Daten generiert und nach einer Möglichkeit, deren Generierungspattern zu erkennen oder so. Wir hatten am Wochenende eine sehr große Menge an "Falsch-Käufen" und ich bin grade einer Seite auf der Spur (fake-it, heißen die, darf ich das hier angeben?) mit der die Daten wohl generiert wurden. Auf deren Facebook Seite findet ein offener Austausch über den Daten-Missbrauch statt, es werden Tipps gegeben, wo man am besten damit einkauft und Updates zur Entwicklung der Seite gepostet. Echt gruselig. Meine Frage: Wüsstet ihr Ansatzpunkte, wie man sowas unterbinden (oder zumindest erschweren) kann? E-Mail Validierung funktioniert ja auch nur bedingt.

Lasst mal hören. Danke soweit.

[KampfKatze]

Ausweisnummer abfragen und diese überprüfen ob valid.
Kontoauszug parallel abfragen und wichtige Stelle schwärzen

Ansonsten hätte ich keine Idee mehr.


Sent from my iPhone using Fachinformatiker.de mobile app

[Ulfmann]

Ausweisnummer ist in den Datensätzen enthalten. Und man will es dem Kunden ja auch nicht unnötig schwer machen, den Kauf abzuschließen. Also einen Konto-Auszug würde ich z.B. niemals irgendwo hochladen.

[KampfKatze]

Ausweisnummer ist in den Datensätzen enthalten. Und man will es dem Kunden ja auch nicht unnötig schwer machen, den Kauf abzuschließen. [...]

 

Kreditkarte abfragen, die von deiner genannten Seite sind nicht, denk ich mal, valid.

 

 

 

Sent from my iPhone using Fachinformatiker.de mobile app

[thereisnospace]

https://www.ckonto.de/

[Ulfmann]

Doch, das ist ja das große Problem. Unser Payment-Partner validiert eben nur die formale Gültigkeit und da wird eine Kreditkarten-Nr gegen den Luhn-Algorithmus gegen gerechnet und gut. Damit ist aber nicht gesagt, dass dieses Konto auch einen Inhaber hat.

Edit:

@Gottlike: "cKonto verwendet die offiziellen Prüfmethoden aller registrierten IBANs und die aktuell 141 Prüfverfahren der Deutschen Bundesbank, um Bankverbindungen auf Plausibilität zu überprüfen" Das passiert schon, reicht aber nicht.

Edit2:

Das eindeutigste Muster, das wir bisher haben, ist die E-Mail Adresse aller (!) dort generierten Datensätze, die dem Muster Vorname.Nachname[Zahl].bekannteranbieter.com folgt. Ist natürlich alles andere als zuverlässig und es gibt ja auch viele Payment Daten von anderen Quellen.

Bearbeitet 13. Februar 2017 von Ulfmann

[Gast Uhu]

Die meisten Bezahldienstleister die ich kenne die z. B. ELV anbieten o.ä führen eine einmalige Authentifizierung über eine angegebene Deutsche Handynummer durch (SMS Code, der dann eingegeben werden muss). Du kannst zwar nicht verhindern, dass Handykarten geklaut oder gefälscht werden. Allerdings werden in Deutschland keine anonymen Prepaid Simkarten mehr verkauft und die Leute müssen sich zur Aktivierung einer solchen beim Mobilfunkanbieter registrieren lassen. Das erhöht den Aufwand für eine Falschbezahlung der bei einer formalen Prüfung für den Bösewicht praktisch null ist.

Ich finde ihr solltet dringend Druck bei eurem Payment-Partner ausüben. Nur eine formalte Gültigkeit zu prüfen ist absolut nicht mehr state of the art im Payment Bereich. Eine absolute Sicherheit gibt es natürlich nicht, aber ich halte multiple Authentifizierungsmaßnahmen für deutlich effektiver als versuchen in den Anmeldedaten bekannte Muster zu finden. Das ist als Kunde eures Payment Dienstleisters gar nicht eure Aufgabe.

Bearbeitet 13. Februar 2017 von Uhu

[thereisnospace]

vor 23 Minuten schrieb Ulfmann:

Doch, das ist ja das große Problem. Unser Payment-Partner validiert eben nur die formale Gültigkeit und da wird eine Kreditkarten-Nr gegen den Luhn-Algorithmus gegen gerechnet und gut. Damit ist aber nicht gesagt, dass dieses Konto auch einen Inhaber hat.

Edit:

@Gottlike: "cKonto verwendet die offiziellen Prüfmethoden aller registrierten IBANs und die aktuell 141 Prüfverfahren der Deutschen Bundesbank, um Bankverbindungen auf Plausibilität zu überprüfen" Das passiert schon, reicht aber nicht.

Was denn nun? Wird nur auf formale Gültigkeit überprüft oder mehr?
Bei cKonto werden u.A. auch Stammdaten abgeglichen.

[pr0gg3r]

vor 46 Minuten schrieb Ulfmann:

Wir hatten am Wochenende eine sehr große Menge an "Falsch-Käufen"

Wie wäre es, wenn Ersteinkäufe nur über Zahlungsverfahren abgewickelt werden können, bei denen das Risiko nicht bei dem Shopbetreiber (also euch) liegt. Zusätzlich müsst ihr den Aufwand des Aftersales erst nach Zahlungseingang beginnen, damit Fakebestellungen keinen Aufwand erzeugen. Z.B. per Vorauskasse (Überweisung, Kredikarte, ...). Alle weiteren Bestellungen dann auch über die anderen Verfahren.

[Ulfmann]

@pr0gg3r Das ist dann eine Business-Entscheidung auf die ich keinen Einfluss habe. Klar kann man die Bezahloptionen eingrenzen auf Wege, die weniger anfällig sind, aber ich vermute, das wollen wir nicht. Da gebe ich @Uhu schon recht, das sollte unser Dienstleister tun.

@Gottlike Ich hab cKonto so verstanden, dass sie IBAN und Kreditkarten-Nummern auch nur gegen eine Prüfsumme halten. Und das macht unser Dienstleister schon. Das reicht aber eben nicht, weil man damit nicht ausschließen kann, dass das Konto gar keinen Inhaber hat.

 

[Guybrush Threepwood]

vor einer Stunde schrieb Uhu:

Du kannst zwar nicht verhindern, dass Handykarten geklaut oder gefälscht werden. Allerdings werden in Deutschland keine anonymen Prepaid Simkarten mehr verkauft und die Leute müssen sich zur Aktivierung einer solchen beim Mobilfunkanbieter registrieren lassen. Das erhöht den Aufwand für eine Falschbezahlung der bei einer formalen Prüfung für den Bösewicht praktisch null ist.

Es gibt allerdings auch verschiedene Webseiten die mehrere Mobilnummern bieten die man für Telefonverifikationen benutzen angeben kann und die dann einfach alles was an sie gesendet wird auf der Webseite veröffentlichen. Das heißt man müsste auch regelmäßig nach solchen Nummern suchen und diese in eine Blacklist einfügen. Auch könnte schon verwendete Nummern speichern (oder den Hash einer Nummer um nicht in Datenschutzprobleme zu laufen) und damit verhindern, dass die selbe Nummer mehrmals verwendet wird.

[Gast Uhu]

vor 4 Minuten schrieb Guybrush Threepwood:

Es gibt allerdings auch verschiedene Webseiten die mehrere Mobilnummern bieten die man für Telefonverifikationen benutzen angeben kann und die dann einfach alles was an sie gesendet wird auf der Webseite veröffentlichen. Das heißt man müsste auch regelmäßig nach solchen Nummern suchen und diese in eine Blacklist einfügen. Auch könnte schon verwendete Nummern speichern (oder den Hash einer Nummer um nicht in Datenschutzprobleme zu laufen) und damit verhindern, dass die selbe Nummer mehrmals verwendet wird.

Aufjedenfall. Eigentlich erwarte ich, dass ein Payment-Anbieter genau dies tut. Ehrlich gesagt bin ich ziemlich schockkiert das der Anbieter von Ulfmann nur eine formale Prüfung vornimmt. Soetwas habe ich ehrlich gesagt das letzte mal vor 10 Jahren gesehen ... Wenn der Payment Anbieter hier nicht nachzieht wäre hier sogar zu prüfen, ob hier nicht gegenüber dem Payment Anbieter Schadensersatzansprüche geltend gemacht werden können.