Kreditkartenbetrug

[saistaed]

Mein Paranoia-Level in Bezug auf IT-Sicherheit ist eigentlich mehr so mäßig, aber kürzlich wurde ich aufgeschreckt, weil von meiner Kreditkarte und der meiner Frau (fürs gemeinsame Haushaltskonto) fremde Abbuchungen vorgenommen wurden. Karten sind natürlich gesperrt, Reklamation ist eingereicht und Anzeige erstattet. Ich erwarte kaum, dass da irgendwas ermittelt wird.

Was mich wundert: Meine Frau hat ihre Karte noch nie benutzt - und mit nie meine ich nie. Die liegt, seit wir das Konto eröffnet haben, unbenutzt in der Schublade. Ich habe meine Karte genau einmal benutzt und als Bezahlmethode für unsere Streamingdienste eingestellt. Davon abgesehen, liegt auch meine Kreditkarte nur zu Hause rum.

Wie ist sowas möglich, was sind mögliche Einfallstore? Wird sowas über Brute Force gemacht und wir haben einfach Pech gehabt? Erklärt das, dass beide Karten gleichzeitig angegriffen wurden? (Es sind Partnerkarten für dasselbe Konto, die Kartennummern sind größtenteils identisch.)
Sollte ich mir Sorgen machen und lieber mal den Rechner neu aufsetzen, alle Passwörter ändern, eventuell weitere Maßnahmen ergreifen?

 

[parats']

Was genau waren das für Abbuchungen? Vom Geldautomat bzw physisch oder über Shops im Internet?
Bei erster Methode muss die Karte zwangsläufig über die NFC-Schnittstelle gesnifft worden sein, um die Daten auf einen Rohling zu bekommen.
Ihr nutzt die Karte aber sonst für Einkäufe im Internet oder wirklich ausschließlich für das streaming Abo?

Visa oder Mastercard und Limit, direct charge oder debit?
In jedem Fall klären wie Buchungen stattgefunden haben. Davon hängt ab, ob Ihr die Schlösser oder die Passwörter tauschen solltet.

 

[saistaed]

Es sind klassische Visa-, also keine Debitkarten. Und die Angabe über die Kartennutzung war vollständig: Die Karte meiner Frau wurde noch nie für irgendwas benutzt und meine nur für unser Spotify-Abo.
Daher ist mir auch so schleierhaft, wie jemand online an die Kartennummer gekommen sein soll. Nur ich greife über Online-Banking auf das Konto zu. Die Kartennummer ist im Online-Banking nicht vollständig einsehbar. Allerdings sind die gexten Ziffern nicht schwer zu erraten - keine Ahnung, was sich die Bank dabei gedacht hat. Ich dachte aber eigentlich, dass man für jede Online-Visa-Zahlung mindestens auch die Prüfziffer benötigt, die sich nur auf der Karte befindet.

Physische Abbuchungen würde ich ausschließen. Es gibt je zwei Abbuchungen unter zwei Verwendungszwecken: "MAC COSMETICS CANADATORONTO" in CAD und "Amazon Primeamazon.it/prm" in EUR. Der ???-Hörer in mir erkennt natürlich, dass bei beiden ein Leerzeichen fehlt, vermag daraus jedoch nichts zu schlussfolgern.

Es ist auch nicht besonders viel Geld abgebucht worden - verglichen mit dem Kartenlimit. Die "Amazon"-Buchungen sind zusammen unter 50, die aus Kanada bei knapp unter 200 EUR.

 

[parats']

Okay, sehr dubios. Vor allem wenn es identische Abbuchungen sind. Wechsel von relevanten Zugängen zur und um die Karte schadet sicher nicht. Streamingdienste sind halt das Lieblingsziel und ich würde tippen, dass die Daten in irgendeinem Zuge mit anderen gestohlenen KK mal vertickt worden sind.

Vielleicht ein Tipp am Rande. Wenn Du die KK wirklich nur für sowas brauchst, dann wechsel entweder zu PayPal oder aber such dir ne Debit-Karte. Der Schaden jetzt ist gering, aber ich bin immer der Meinung, dass man nicht unnötig Karten auf Pump braucht, wenn man diese nie nutzt.

 

[saistaed]

Die Abbuchungen sind nicht identisch. Erst gingen die beiden "Amazon"-Buchungen ab, eine von meiner Karte, eine von der Karte meiner Frau (Wert wenige Euro und knapp 40). Knapp zwei Wochen später gingen nochmal über meine Karte diese Auslandsbuchungen in kanadischen Dollar im Wert von knapp 200 EUR.

Ich finde es auch ziemlich strange. Sollten Betrüger nicht ein Interesse daran haben, möglichst viel innerhalb kürzester Zeit abzubuchen? Oder denken die, das kriegt so keiner mit?

Die einzige Erklärung, die für mich den geringsten Sinn ergibt, ist, dass jemand an meine Kartennummer gekommen ist (über ein Leak bei Spotify oder mein Online-Banking) und dann noch die sehr ähnliche meiner Frau geraten hat?
Oder dass es einfach Fehlbuchungen sind, ist sowas technisch möglich?

Ich werde definitiv nochmal nachfragen, ob sich das klären ließ, aber ich befürchte, es wird auf immer ein Geheimnis bleiben ...



Letzte Frage zu deiner letzten Bemerkung: Inwiefern ist Paypal oder ne Debitkarte denn sicherer als Visakarte? Funktionieren Debitkarten wie Lastschriften?
Die Karten kamen einfach mit dem Konto. Extra eine beschafft hätten wir wohl nicht. Aber prinzipiell scheint es mir nicht schlecht, dass wir im Ausland die Möglichkeit kostenloser Barabhebungen über das Gemeinschaftskonto haben.

 

[parats']

Früher hat man versucht das Limit direkt am Geldautomaten abzuheben, in der heutigen Zeit versucht man das eher mit so kleinen Abbuchung die nicht auffällig sind. Du glaubst nicht wie viele ihre Abrechnung eben nicht lesen und als Kontrollinstrument die Abbuchung vom Referenzkonto nehmen, die dann immer plus minus 100 sind. Das fällt nicht auf und meist ist der Schaden über Monate größer, weil die Limits selten größer eines Nettoeinkommens sind.

Ich hab z.B. seit Ewigkeiten eine American Express weil ich beruflich viel im Ausland unterwegs war und diesen hassle mit meiner Hausbank nicht haben will, wenn im Ausland was passiert. Amex vertreibt diese nämlich nur direkt und wenn was passiert hast du eigentlich relativ zügig Ersatz (Gebiete wie den Amazonas, die Wüste Gobi etc. mal ausgeschlossen). Abgesehen davon wäre genau so eine CAD Buchung nicht ohne Weiteres durchgegangen, denn die Währung weicht dann doch von meinem Standard ab. Aber kaum einer leistet sich die Endpreise dafür, wenn man die Karte nur für gelegentliche Käufe wie Du z.B. brauchst. Genau deshalb sind klein Beiträge eigentlich besser, einfach da die in der heutigen Zeit kaum auffallen.

PayPal oder eine Debitcard sind technisch nicht sicherer, aber beide haben Eigenschaften die einem Helfen können. PayPal pusht auf das Smartphone und per E-Mail und alle Käufe müssen bestätigt werden. Debitkarten haben halt nur ein Guthaben, das schränkt einen möglichen Schaden massiv ein.

Im Ausland kostenfrei abheben geht mit den meisten deutschen Konten nicht. Das Problem kann ich verstehen. Aber Du nutzt die Karte doch eh nur für Spotify.

 

[Sodom&Gomorrha]

Wäre einem Kumpel dieses Jahr mit einer nicht autorisierten Sbbuchung auch fast einmal passiert (afaik wären es so um die 200 Euro gewesen), der afaik das Thema Sicherheit schon ernst nimmt, zum Glück aber hat er nur ne Visa Electron, virtuelle Debitkarte. Wir waren gemeinsam in mehreren Städten in Osteuropa im Urlaub; er hat seine und ich meine normale Visa-KK (keine Debit). Die Unterkünfte hatte ich via AirBNB gebucht und null Probleme gehabt und vieles im Urlaub mit meiner Karte bezahlt, da man bei nur kurzem Aufenthalt eben nicht 100%ig weiß, wieviel Bargeld man wo benötigt.

Wir waren auch erstaunt, wie die Electon überhaupt hätte belastet werden können - oder er hat mir i-was nicht gesagt.

Bin aber ebenfalls wie einige Leute hier eher der Bargeldmensch; man kann natürlich zurückbuchen, aber muss halt die Abrechnungen checken. Dass die Banken einem nicht jeden Monat eine Mail in großen, roten Buchtsaben mit "CHECKEN SIE IHRE ABRECHNUNG!!!!111eins" senden, ist natürlich klar. Die Karten sollen ja benutzt werden.

Wir parats schon schreibt, ist es echt erschreckend, dass manche Leute ihre Konten so selten prüfen. Gehalt kommt am x-ten, Miete wir an Tag y abgebucht, an Tag z wird die Rate fürs Auto föällig usw. Im schlimmsten Fall verstreichen Fristen und die Kohle wäre weg. Hätte schon längst keine KK mehr, wenn nicht das Thema "Urlaub" wäre, zumindest außerhalb Europas.

Gucke da bestimmt jede Woche einmal rein ins Onlinebanking, auch wenn nichts gebucht wird - for the lulz.

Und da ich kürzlich, besser spät als nie, den Führerschein Kl. B gemacht habe, wird die Plastikkarte vermutlich auch bleiben ... wenn man nämlich halbwegs sicher fahren gelernt hat (mehr als "verkehrsfähig" mit der Grundbedienung des Kfz wird man ja in der Fahrschule nicht gemacht ), dass man sich im Urlaub auch mal ne Karre mieten kann. Für alles andere -> Bargeld, wo nur möglich, zumindest im Inland. Größere Beträge hier sonst via Girocard und gut ist

 

[saistaed]

Ich benutze Bargeld nicht aus Überzeugung. Aber mir ist keine (kostengünstige) Bank bzw. Kreditkarte bekannt, mit der man gebührenfrei in Fremdwährung bezahlen kann. Weltweit kostenlose Barabhebungen sind dagegen bei Direktbanken quasi Standard.
Die Visakarten zum gemeinsamen Konto haben wir dafür noch nicht benutzt, weil wir das Konto noch nicht wahnsinnig lange haben und beim letzten UK-Urlaub dann einfach meine persönliche Visakarte zum Abheben verwendet haben - aus Bequemlichkeit, weil ich die PIN schon kannte ...

Ich bin zugegebenermaßen bisher auch niemand, der sehr penibel kontrolliert, was so auf dem Konto vor sich geht, solange nichts auffällig ist. In dem Fall hatte ich Glück: Da sowohl mein privates als auch unser gemeinsames Konto bei der DKB sind, wird mir beim Finanzstatus direkt der Stand beider Konten und der drei Kreditkarten angezeigt. Und da zwei von denen immer auf 0 bzw. 9,99 (falls Spotify gerade gebucht wurde) sind, sprang es natürlich ins Auge.
Ne Push-Nachricht für jede Transaktion wäre tatsächlich sinnvoll. Ich werde mich mal erkundigen, ob das über die Banking-App geht.


Btw, ich habe heute zufällig nen Bekannten getroffen, der bei der Kripo in der Abteilung für Cybercrime arbeitet. Der konnte sich auch überhaupt keinen Reim drauf machen. Ich überlege tatsächlich, ob ich mal bei amazon.it oder diesem Shop in Kanada anrufen sollte, um zu fragen, ob die mir was zu dieser Transaktion sagen können.

 

[DaGGrrr]

Ich benutze Bargeld nicht aus Überzeugung. Aber mir ist keine (kostengünstige) Bank bzw. Kreditkarte bekannt, mit der man gebührenfrei in Fremdwährung bezahlen kann. Weltweit kostenlose Barabhebungen sind dagegen bei Direktbanken quasi Standard.
Die Visakarten zum gemeinsamen Konto haben wir dafür noch nicht benutzt, weil wir das Konto noch nicht wahnsinnig lange haben und beim letzten UK-Urlaub dann einfach meine persönliche Visakarte zum Abheben verwendet haben - aus Bequemlichkeit, weil ich die PIN schon kannte ...

Ich bin zugegebenermaßen bisher auch niemand, der sehr penibel kontrolliert, was so auf dem Konto vor sich geht, solange nichts auffällig ist. In dem Fall hatte ich Glück: Da sowohl mein privates als auch unser gemeinsames Konto bei der DKB sind, wird mir beim Finanzstatus direkt der Stand beider Konten und der drei Kreditkarten angezeigt. Und da zwei von denen immer auf 0 bzw. 9,99 (falls Spotify gerade gebucht wurde) sind, sprang es natürlich ins Auge.
Ne Push-Nachricht für jede Transaktion wäre tatsächlich sinnvoll. Ich werde mich mal erkundigen, ob das über die Banking-App geht.


Btw, ich habe heute zufällig nen Bekannten getroffen, der bei der Kripo in der Abteilung für Cybercrime arbeitet. Der konnte sich auch überhaupt keinen Reim drauf machen. Ich überlege tatsächlich, ob ich mal bei amazon.it oder diesem Shop in Kanada anrufen sollte, um zu fragen, ob die mir was zu dieser Transaktion sagen können.

Du kannst dir über die DKB-Banking App Push-Nachrichten schicken lassen wenn etwas abgebucht wird. Nutze ich auch und funktioniert wirklich quasi in Echtzeit

 

[Shihatsu]

Die Daten der Kreditkarten wurden mMn abgefischt - entweder beim Aussteller, beim Weitervermarkter oder bei Visa selber - mindestens diese drei "Arten" von am Prozess beteiligten haben deine Daten. Ob es tatsächlich auch nur drei Datenbanken mit deinen Daten sind, bleibt zweifelhaft, und dafür muß die CC nichtmal benutzt worden sein. Name und CC-Number sind in den "handelsüblichen" Listen aus dem Darknet beschaffbar, die 3-stellige Sicherheitsnummer ist ein Witz, die wird gebruteforced.

 

[saistaed]

Wow. Mit dieser (an sich naheliegenden) Möglichkeit hatte ich bisher quasi nicht kalkuliert. Aber ist gut, sowas mal auf dem Schirm zu haben.

 

[Syzygy]

Vielleicht hab ichs überlesen, aber kannst Du mal ein paar Worte dazu sagen, wie der Kartenanbieter damit umgeht? Habt ihr das Geld zurückerhalten? Gabs Diskussionen/Umstände? Musstet ihr 'ne Anzeige bei der Polizei dafür erstatten oder reichte eure Aussage, dass ihr diese Transaktionen nicht getätigt habt?

 

[Metroid]

Soll heut morgen nen fernsehbeitrag gegeben haben, bei dem Criminals einfach per Scanner an dir vorbeilaufen und einfach die Brieftasche abscannen und schon was abgebucht wurde. weiss nicht, vielleicht hilfts ja . In der Weihnachtszeit wäre es aber wohl sicher am attraktivsten sowas zu machen.

 

[saistaed]

Vielleicht hab ichs überlesen, aber kannst Du mal ein paar Worte dazu sagen, wie der Kartenanbieter damit umgeht? Habt ihr das Geld zurückerhalten? Gabs Diskussionen/Umstände? Musstet ihr 'ne Anzeige bei der Polizei dafür erstatten oder reichte eure Aussage, dass ihr diese Transaktionen nicht getätigt habt?

Ich werde berichten, wie es ausgeht. Die Bearbeitung der Reklamation wird sich vermutlich bis nach den Feiertagen ziehen.

Bisher hatte ich jedoch zu keinem Moment Zweifel, dass wir das Geld wieder kriegen - wäre ja noch schöner ...

 

[Schico]

Soll heut morgen nen fernsehbeitrag gegeben haben, bei dem Criminals einfach per Scanner an dir vorbeilaufen und einfach die Brieftasche abscannen und schon was abgebucht wurde. weiss nicht, vielleicht hilfts ja . In der Weihnachtszeit wäre es aber wohl sicher am attraktivsten sowas zu machen.

panikmache. gab einen praxistest von c't dazu. die methode funktioniert schon nicht, wenn man 2 nfc fähige karten in der geldbörse hat, was bei den allermeisten schon allein durch den perso + X der fall sein wird.

 

[DaGGrrr]

panikmache. gab einen praxistest von c't dazu. die methode funktioniert schon nicht, wenn man 2 nfc fähige karten in der geldbörse hat, was bei den allermeisten schon allein durch den perso + X der fall sein wird.

Zudem verlangt die DKB - gerade wenn die Karte wenig genutzt wird auch bei NFC nen PIN > 20€

 

[Shihatsu]

panikmache. gab einen praxistest von c't dazu. die methode funktioniert schon nicht, wenn man 2 nfc fähige karten in der geldbörse Also ich höre da eher auf Leute die davon Ahnung haben - die c't gehört leider schon lange nicht mehr dazu, die kann man nicht mehr ernst nehmen. Gibt durchaus 3,4,5-fach probende Scanner, die dir mehrere nfc-Karten auseinanderhalten und durchchecken. Das einzige was da hilft ist nen RFID-blocker in Form einer kleinen aktiven NFC-Karte. Kostet nen 10er. Hört nicht auf die c't oder heise.de, die sind nur noch Selbstvermarkter und Werbeblatt. Mir hat man meine beiden Geldkarten, meine CC, meinen Perso und meine AOK-Karte abgefischt, mit einem Raspberry, paar Antennen und ner starken Batterie. Ist 3 Jahre her, war auf nem Security-Treffen. Der Typ hatte das Zeug in einer Gürteltasche und hat sich "an meinem Arsch vorbei" gedrägt, als Demonstration einer Menschenmenge. Geldbäutel in der Gesässtasche ist allgemein ne Kackidee

 

[Kuma]

Woran es im Detail liegt ist meiner persönlichen Erfahrung nach nicht immer klar, ich selbst wurde nur einmal abgezockt bislang (Habe aber grundsätzlich öfter mitbekommen dass sowas passiert.). War damals (ca. 10 Jahre her, pi mal Daumen, auch nicht KK sondern Debitcard) per Geldautomat-Sniffing(?), obwohl das der einzige Automat war den ich regelmäßig genutzt habe und immer dachte, ne Manipulation desselben würde mir eh sofort auffallen. Falsch gedacht, aber das Geld hat mir die Bank einen Tag nach Anzeigenerstattung zurück überwiesen. Meine KK nutze ich seit über 10 Jahren fast zweitäglich bei praktisch jedem Online-Store den ich nutze (und das sind ne Menge, sehr verschiedene, groß wie klein). Nie was passiert, aber ich weiß seitdem dass das halt passieren kann. Hätte aber auch noch nie erlebt, dass jemand sein Geld nicht von der Bank zurückbekommen hätte. Was ich mit der Wall of Text sagen will ist, dass sich imho hier Ursachenforschung für dich persönlich nicht lohnt. Wenn man nicht komplett verantwortungslos mit seiner KK umgeht (und ich bin obviously deutlich sorgloser und regelmäßiger damit am Start als ihr), wird auch nichts passieren. Und wenn doch, kannst du meiner Erfahrung nach darauf bauen, dass der jeweiligen Bank ihr Kunde bzw. dessen Vertrauen in die Bank wichtiger ist als die paar geklauten Kröten (im Verhältnis zu deinem Limit und dem Vermögen der Bank natürlich, kenne natürlich niemanden der ein Limit von 1 Mio. Plus hat, ich rede von 2-5k).

 

[MegaVolt]

Das einzige was da hilft ist nen RFID-blocker in Form einer kleinen aktiven NFC-Karte.

Alternativ auch eine entsprechende Geldbörse, oder funtionieren die nicht?
https://secrid.com/de-global/wallets/miniwallet/

 

[Metroid]

Ich hab selber den beitrag nicht gesehen, nur gesagt bekommen, war aber schon was aktuelles und nicht aus nem ct test von paar monaten, ansonsten was shi sagt.