Frage:
Mit Amazon kann ich eine Bestellung aufgeben, ohne dass ich jemals nach einem sicheren 3-D-Passwort gefragt werde
Stefan Monov
2017-09-03 22:03:35 UTC
view on stackexchange narkive permalink

Ich habe auf der Website meiner Bank ein "3-D-Passwort" für meine Debitkarte festgelegt. Aber als ich etwas bei amazon.de gekauft habe, habe ich den gesamten Prozess durchlaufen, ohne jemals nach diesem 3D-Passwort gefragt zu werden. Ich wurde nach einer Kartennummer und deren Ablaufdatum gefragt.

Kann mir jemand erklären, was passiert ist?

Ich lebe in Bulgarien.

Hinweis: Ich auch wurde nicht nach CVC gefragt.

[dieser Thread] (https://security.stackexchange.com/questions/21168/how-does-amazon-bill-me-without-the-cvc-cvv-cvv2) scheint relevant zu sein.
@Stefan: keine Antwort, aber bitte beachten Sie, dass das Verhalten im Kontext der USA akzeptabel ist.Im Falle eines Transaktionsbetrugs können US-Kunden ihr Geld problemlos zurückerhalten.Ich bin mir nicht sicher, ob dies bei Ihrer Bank oder Ihren Landesregeln der Fall ist.
@HoàngLong Land macht in dieser Hinsicht keinen Unterschied AFAIK
IIRC, als "Verified by Visa" usw. zum ersten Mal eingeführt wurden, fragten sie nach der Authentifizierung für jede Transaktion.Sie lockerten dies dann (wahrscheinlich aufgrund von Kunden-Pushback), um es nur für eine zufällige Stichprobe von Transaktionen und / oder für große Beträge zu benötigen.Es kann auch davon abhängen, ob Sie in der Vergangenheit Transaktionen mit demselben Unternehmen von derselben IP-Adresse und / oder demselben PC aus durchgeführt haben. Mein Online-Banking-Service betrachtet Überweisungen von einigen hundert Pfund Sterling nicht als * jedes * Mal überprüfenswert, zum Beispiel.
@HoàngLong das betroffene Land ist sicherlich Teil der Psychologie der "User Experience".Wenn ich in Großbritannien lebe, kaufe ich manchmal Artikel aus den USA per Kreditkarte und habe normalerweise das * Gefühl *, dass der US-amerikanische Ansatz zur "Sicherheit" ungefähr auf dem Niveau liegt, das ich erwarten würde, wenn ich irgendwo in der USA einkaufen würdeDie dritte Welt.Und das von multinationalen Unternehmen mit Sitz in den USA, nicht von relativ kleinen E-Commerce-Websites!
Machen Sie sich bereit.Erstaunen und Enttäuschung über die Sicherheit des Kreditkartensystems sind eingetroffen.Dies ist eine ganze Branche, in der das Wurstprinzip gilt.
@eis: von dem, was ich erlebe, macht es den Unterschied.Ich habe die 3D Secure-Spezifikation gelesen (meine Arbeit erfordert Verständnis für das Zahlungssystem), und die Theorie ist perfekt.Die Bankpraxis ist jedoch ein weiteres Thema.In bestimmten Fällen kann es Monate dauern, bis auf Ihre Berufung reagiert wird.Sie können das Geld immer noch zurückbekommen, aber es ist ziemlich mühsam.
Echo @alephzero's Erfahrung.Insbesondere die Spekulationen über dieselbe Firma / IP-Adresse / denselben PC, die ich bei regelmäßigen Transaktionen (eine wöchentlich) mit derselben Firma gesehen habe, gehen von "jedes Mal fragen" zu "seit vielen Monaten nicht mehr gefragt".
[Dies] (https://nakedsecurity.sophos.com/2016/12/05/how-to-guess-credit-card-security-codes/) könnte eine interessante Lektüre sein.
In Anbetracht der Sicherheit: Bei Debitkarten habe ich lange Zeit die Methode verwendet, ein separates Konto für die Karte und für meinen normalen Gebrauch zu haben.Wenn ich etwas mit einer Karte kaufe, überweise ich das Geld von meinem Hauptkonto (das nicht mit einer Karte verbunden ist) auf mein Kartenkonto.Selbst wenn jemand alle meine Kartendaten (sogar die PIN) erhält, kann er nur das verwenden, was ich dort habe.Normalerweise ein paar Euro - die "Veränderung", wenn man so will.Und die Karte ist auf Europa beschränkt, es sei denn, ich besuche einen anderen Kontinent.
Ich habe meinem Amazon-Konto einen zweiten Faktor hinzugefügt und wurde noch nicht aufgefordert, ihn zu verwenden.Ich kann mich einloggen und Sachen ohne den zweiten Faktor kaufen.
Acht antworten:
Stefan Monov
2017-09-03 22:32:47 UTC
view on stackexchange narkive permalink

Ich habe gerade die Seite meiner Bank über 3D-Sicherheit gelesen. Darin heißt es:

Wenn die Website Zahlungen mit zusätzlicher Sicherheit unterstützt, werden die Logos der jeweiligen Kartenorganisation angezeigt, die von Visa oder MasterCard SecureCode

Anscheinend liegt es an der Site, mein 3D-Passwort zu verlangen oder nicht.
Tatsächlich * kommt * dies normalerweise nur dem Anbieter zugute.Manchmal ist es sogar noch schlimmer für Sie, das 3D-Material zu verwenden, da einige Banken Kleingedrucktes hinzugefügt haben, das Sie für Betrug haftbar macht, wenn das 3D-Passwort verwendet wurde, während Sie nicht haften würden, wenn Sie es nicht verwenden würden.
Es ist zwar gut, dass Sie diese Seite gelesen haben (und dies idealerweise bei der Anmeldung getan hätten), sie kann jedoch als Teil der Recherche angesehen werden, die Sie vor dem Stellen der Frage hätten durchführen sollen.
"Manchmal ist es noch schlimmer für Sie, das 3D-Material zu verwenden, da einige Banken Kleingedrucktes hinzugefügt haben, das Sie für Betrug haftbar macht, wenn das 3D-Passwort verwendet wurde, während Sie nicht haften würden, wenn Sie es nicht verwenden würden."Was gibt der Bank das Recht, jemandem die Befugnis zu erteilen, von Ihnen zu stehlen?Wie können sie sagen, dass * Sie * für die Gebühr haften und nicht wer Ihnen die Informationen gestohlen hat?Ist das nicht so, als würde man ein Gesetz erlassen, das besagt, dass man niemanden beschuldigen kann, sein Haus ausgeraubt zu haben, nur weil er Ihr Schloss geöffnet oder Ihren Garagentoröffner gehackt hat?
@typhon Nein, da die Bank das Gesetz nicht macht.Es ist, als würde die Versicherungsgesellschaft sagen, dass sie keine Versicherung auszahlen wird, wenn Sie sich nicht die Mühe machen, die Garage zu verschließen.Dies hat nichts damit zu tun, wer eine Straftat begangen hat.Es hat ausschließlich damit zu tun, ob die Bank die betrügerische Anklage übernimmt oder ob Sie dies tun müssen.Sie stimmen dem zu, wenn Sie eine Kreditkarte von ihnen erhalten.Im Wesentlichen sagen sie: "Hey, wir geben dir dieses coole Stück Plastik und schicken Geld an Leute, die zeigen können, dass sie es gesehen haben. Außerdem sind dies die zusätzlichen Regeln, die wir haben, wenn wir bezahlen und du musst uns bezahlen."
@DRF Ah, ich habe als Sie rechtlich zugestimmt, niemanden zu belasten, der dieses 3D-Ding stiehlt.
@Typhon: begrüßen den rechtlichen Sumpf der Legalität in Bezug auf Bankpraktiken.Diese Chipkarten sind ein gutes Beispiel, da sie ursprünglich ein Mittel für Banken waren, sich von der Verantwortung für den Umgang mit Betrug zu befreien, anstatt sie auf andere Personen zu übertragen (die normalerweise auch nicht über die Ressourcen verfügten, um Nachforschungen anzustellen).Banken ** lieben ** Schachthändler.
@whatisname Nicht * ganz * fair.Genauer gesagt war es eine Akzeptanz, dass Banken buchstäblich nicht jede Unterschrift bei jeder Kartentransaktion in einem Land wie Großbritannien validieren konnten, in dem das tatsächliche Bargeld an Veralterung grenzt.
R.. GitHub STOP HELPING ICE
2017-09-04 05:52:41 UTC
view on stackexchange narkive permalink

Sicherheitsmaßnahmen wie "3D-Passwort", CVV usw. existieren nicht, um Sie als Karteninhaber zu schützen . Gehen Sie nicht davon aus, dass jemand, dem sie fehlen, Ihre Kartennummer nicht betrügerisch verwenden kann. Sie ermöglichen lediglich einem Händler, der sie im Rahmen seiner Händlervereinbarung für die Kartenverarbeitung verwendet, eine niedrigere Transaktionsgebühr zu erhalten, da die Funktion die Rate betrügerischer Transaktionen und damit Rückbuchungen verringert.

Wenn überhaupt, verletzen diese Funktionen Sie als Karteninhaber tatsächlich, da sie es dem Händler erleichtern, zu "beweisen", dass Sie eine Transaktion autorisiert haben, und es für Sie schwieriger machen, sie zu bestreiten. Meine Antwort auf eine verwandte Frage finden Sie hier:

https://money.stackexchange.com/questions/54772/why-does-the-introduction-of-chip-pin-appear-to -be-so-kontrovers-in-der-Uni / 54780 # 54780

"Gehen Sie nicht davon aus, dass das Fehlen dieser Karte jemanden daran hindert, Ihre Karte betrügerisch zu verwenden."Vielleicht meintest du es anders herum?
@Eis Ich glaube nicht, dass er es tut.Der grundlegendere Satz lautet: Gehen Sie nicht davon aus, dass das Fehlen eines Passworts jemanden daran hindert, die Karte zu verwenden.Welches ist genau der Fall :)
@EpicKip ah.Der vorige Satz sprach von Sicherheitsmaßnahmen, also könnte ich so oder so verstanden werden.Aber ja, in diesem Zusammenhang muss es sowieso bedeuten.
Der Satz bedeutet genau das, was er sagt: Gehen Sie nicht davon aus, dass jemand, der Ihre Kartennummer, aber nicht das "Passwort" hat, die Karte nicht verwenden kann.
Ich habe den Satz auch genauso gelesen wie eis, bis ich diese Kommentare gelesen habe.Möglicherweise möchten Sie eine Umformulierung in "Gehen Sie nicht davon aus, dass jemand, dem diese Details fehlen, um zu verhindern, dass er Ihre Karte betrügerisch verwendet", um alle Unklarheiten zu beseitigen
Das fühlt sich für mich übertrieben an, weil Sie die Verbindlichkeiten des Händlers als Ziel und nicht als Mittel für ein anderes Ziel interpretieren.Das erklärte Ziel der Kartenhandhabungsunternehmen * ist *, Karteninhaber zu schützen, aber sie benötigen dazu die Zusammenarbeit von Händlern.Sie motivieren daher Händler, die die neuen Sicherheitsmaßnahmen umsetzen, und / oder bestrafen diejenigen, die dies nicht tun.Der Karteninhaber profitiert auch direkt, wenn seine Betrugsklage gegen einen Händler bestätigt wird, der den Sicherheitsmechanismus nicht verwendet hat.
@IMSoP mit Ausnahme des Karteninhabers war bereits vollständig geschützt, da er nicht die Kosten für Betrug trägt.Alles, was die neuen Funktionen aus Sicht eines Karteninhabers hinzufügen, sind mehr Möglichkeiten, eine Betrugsklage abzulehnen.
@Ukko Es hängt davon ab, ob Sie Prävention und Entschädigung als gleichwertig betrachten.Die Kosten für die Meldung einer betrügerischen Transaktion sind ungleich Null, auch wenn sie sofort bestätigt werden. Eine Maßnahme zur Reduzierung betrügerischer Transaktionen kommt dem Karteninhaber zugute.
@IMSoP Sicher, wenn mich alle zwei Jahre etwas Nickel kostet und Sie das auf 3 Cent reduzieren können, habe ich davon profitiert.Der Nutzen ist jedoch so gering, dass er unerheblich ist.In den letzten Jahrzehnten gab es Hunderte von Dollar an Betrug auf meinen Karten. Die potenzielle Haftung, dass ich auch nur für eine dieser Transaktionen bezahlen muss, überwiegt bei weitem die Einsparungen, die durch das Aufrufen einer betrügerischen Anklage entstehen.
@Ukko Gut, das ist ein Urteil, das Sie fällen können. Deshalb habe ich gesagt, dass dies übertrieben und nicht völlig falsch ist.Es bleibt die Tatsache, dass die Verschiebung der Haftung zumindest teilweise eine Folge der Überzeugung der Kartenaussteller ist (möglicherweise fehl am Platz), dass die zusätzlichen Maßnahmen es wahrscheinlicher machen, dass Sie Ihren Anspruch vortäuschen, da es weniger wahrscheinlich ist, dass Sie einen legitimen Anspruch erheben müssenAnspruch in erster Linie.
Eine Fälschung einer Transaktion zu erschweren, schadet dem Karteninhaber nicht wirklich
@Ukko * Der Karteninhaber war bereits vollständig geschützt, da er nicht die Kosten für Betrug trägt. * - Sie glauben also nicht, dass niedrigere Kosten auf der Bankseite (aufgrund von geringerem Betrug) * in gewissem Maße * niedriger ausfallen werdenPreise für den Karteninhaber?
@FooBar: Ukko hat bereits bemerkt, dass es * bis zu einem gewissen Grad * in Form einiger Pennys sein könnte.Es ist kein Betrag, der für den Karteninhaber auffällt oder sich lohnt.
@njzk2: Ja, das tut es.Klicken Sie sich durch die verknüpfte Antwort auf money.SE und die, auf die es verweist.Jeder zusätzliche Nachweis der Gültigkeit einer Transaktion ist * mehr Arbeit für den Karteninhaber * zu widerlegen.Die beste Situation für einen Karteninhaber, der eine betrügerische Anklage erhalten hat, ist die, in der der Händler absolut keine Beweise vorlegt und der Karteninhaber standardmäßig die Rückbuchung standardmäßig gewinnt.
@R .. aber es ist weniger wahrscheinlich, dass überhaupt eine Widerlegung erforderlich ist
@njzk2: Ich glaube nicht, dass diese Behauptung gut unterstützt wird.Händlerfehler (oder Täuschungen) wie das doppelte Ausführen einer Karte oder die Behauptung, dass eine Transaktion nicht durchgeführt wurde, als sie nicht weniger wahrscheinlich wurde, und Betrug durch Kriminelle von Drittanbietern kann einfach zu Händlern gehen, bei denen es einfacher ist, sie weiterzugeben.
@R .. Zahlungsabwickler und Bank lassen sich normalerweise nicht durch doppelte Transaktionen täuschen.Das ist ein bisschen zu offensichtlich.Und als Kunde (zugegeben, die Verantwortung liegt beim Kunden) sollten Sie immer dann um eine Quittung bitten, wenn eine Transaktion nicht "durchläuft".
@njzk2: Doppelte Transaktionen müssen sich nicht auf derselben Karte befinden.Sie können "eine andere Karte ausprobieren" oder "unser Kartenleser funktioniert nicht, haben Sie Bargeld?" sein.Hast du tatsächlich den verlinkten Beitrag gelesen, in dem das mit dem OP passiert ist?Selbst wenn Ihr Kommentar die ganze Geschichte wäre, beweist "die Verantwortung liegt beim Kunden" meinen Standpunkt: ** Bei jedem zusätzlichen "Nachweis" der Transaktion ist der Karteninhaber immer der Verlierer **.
@R .. Ihre Argumente haben Wert, aber was ich nicht verstehe, denke ich, ist, wie kann ein Verkäufer Vertrauen in Kunden haben, die mit Kreditkarte bezahlen?Was hindert jemanden grundsätzlich daran, legitime Transaktionen anzufechten?
@njzk2: Jemand, der dies wiederholt tut, wird vom Kartenaussteller leicht erwischt.Daher ist die Anzahl derer, die dies tun, gering und hat weniger Auswirkungen als Ladendiebstahl.Und für große Verkäufe hat der Händler wahrscheinlich zusätzliche Beweise wie Versandaufzeichnungen, Überwachungsvideos, Papiersignaturen, Telefon- oder E-Mail-Aufzeichnungen usw.
Mark
2017-09-04 01:54:40 UTC
view on stackexchange narkive permalink

Kreditkartentransaktionen haben unterschiedliche Authentifizierungsstufen, angefangen von der einfachen Übermittlung der Kartennummer bis hin zu Karte + Lebenslauf, verschiedenen Passwortsystemen, Chip-and-Pin usw.

Das Wichtigste hier ist, dass es die Transaktion ist, nicht die Karte , die dies hat. Die Art der verwendeten Authentifizierung beeinflusst Dinge wie die Haftung für betrügerische Transaktionen, die Leichtigkeit, mit der der Karteninhaber Transaktionen bestreiten kann, die Höhe der Transaktionsgebühr und die Wahrscheinlichkeit, dass die Transaktion als potenziell betrügerisch abgelehnt wird.

Amazon hat wahrscheinlich festgestellt, dass die Umsatzsteigerung durch ein vereinfachtes Zahlungssystem die gestiegenen Betrugskosten mehr als ausgleicht. Daher sind die einzigen Informationen, die für eine Zahlung erforderlich sind, die Kreditkartennummer.

Dinge wie die Bestellung per Mausklick sind nicht möglich, wenn jedes Mal das sichere 3D-Passwort erforderlich ist.
Einige Zahlungsanbieter wenden auch Heuristiken an, um zu entscheiden, ob sie nach dem 3DS-Code fragen möchten oder nicht.Die Idee ist, dass sie (der Händler) einen gewissen Schutz von der Kreditkartenfirma erhalten, ohne die regulären Benutzer zu belästigen.Keine Ahnung, wie effektiv sie sind, aber Sie werden manchmal gefragt und nicht andere von derselben Site
Ángel
2017-09-04 03:05:43 UTC
view on stackexchange narkive permalink

Amazon fordert nicht einmal den CVV an. Das einzige Stück, das zum Abrechnen einer Karte benötigt wird, ist die Kartennummer. Die Verarbeitung der Transaktion ohne CVV oder 3D wird vom Kartenverarbeiter als riskanter angesehen (was teurer ist oder sogar die Bereitstellung von Diensten verweigert). Amazon ist jedoch daran interessiert, dies im Austausch für einen optimierten Prozess für seine Besucher zu tun.

Nur zur Veranschaulichung: Vor einigen Monaten experimentierte ein lokaler Fernsehsender mit einem Betrug (der einvernehmlich mit dem ausgewählten Opfer durchgeführt wurde), bei dem die PAN und das Ablaufdatum der Karte mit einem erweiterten NFC-Lesegerät geklont wurden. Anschließend verwendeten sie diese Informationen, um Waren zu bestellen.Die Zielwebsite war im Video teilweise unscharf, aber ** es war eindeutig Amazon **, gemessen an den unscharfen Farben und dem Layout
@usr-local-ΕΨΗΕΛΩΝ Warum haben sie sich überhaupt die Mühe gemacht, die Karte zu klonen, um dieses Experiment durchzuführen?In Großbritannien benötigen Sie keine physische Karte, um Transaktionen auf einer Website durchzuführen. Sie müssen lediglich die Kartennummer, das Ablaufdatum und den Sicherheitscode kennen.Aber ich nehme an, wenn der Karteninhaber ihnen nur diese Informationen zum Eingeben gegeben hätte, wäre es kein so "interessantes" (wenn auch irreführendes) Element für das Fernsehprogramm gewesen!
Sie können die Nummer und das Ablaufdatum einer Kreditkarte mit einem speziellen RFID-Sender mit zusätzlicher Funkleistung aus kurzer Entfernung (2 Meter Entfernung) über die Tasche in der Tasche des Karteninhabers abrufen, was in diesem Fall einvernehmlich war.Z.B.in der Warteschlange in einem Museum.Das TV-Experiment wollte die Sicherheit kontaktloser Karten diskutieren und zeigen, wie man * einfach * eine Amazon-Bestellung aufgeben kann.
Phil M
2017-09-06 00:16:00 UTC
view on stackexchange narkive permalink

Kreditkarten-Sicherheitsfunktionen dienen zum Schutz des Händlers. Andere Felder wie Name, Ablauf, CVV, Secure 3D usw. dienen nur dazu, das Betrugsrisiko für den Händler zu verringern.

Wenn der Händler bereit ist, das Risiko einer Kreditkarte zu übernehmen, sind sie nur technisch benötigen die Kreditkartennummer, um eine Zahlung zu verarbeiten.

In den meisten Fällen muss ein Inhaber einer Kreditkarte (Nicht-Debitkarte) lediglich "Betrug" melden, und das Geld wird in kurzer Zeit storniert. Dies liegt daran, dass im Streitfall die Beweislast für den Händler gilt, dass die Zahlung durch einen Kunden legitim ist.

HINWEIS: Diese Verbraucherschutzbestimmungen gelten NICHT für Debitkarten, einschließlich Paypal. Die Beweislast wird für Debitkarten auf Bankkonten auf den Kunden übertragen. Die Lösung dauert häufig Monate.

Aus diesem Grund sollten Sie stattdessen tatsächliche Kreditkarten für öffentliche Zahlstationen wie Benzin, Parkuhren usw. verwenden.

Niklas R.
2017-09-06 06:15:57 UTC
view on stackexchange narkive permalink

3D Secure ist optional. So einfach ist das. In diesem Fall entspricht PCI DSS möglicherweise nicht der Durchsetzung von 3D-Sicherheit.

Kamria
2019-08-22 07:22:54 UTC
view on stackexchange narkive permalink

Die Implementierung von 3D Secure ist das Vorrecht des Händlers. 3D Secure ermöglicht eine Haftungsverlagerung bei Betrugsfällen.3D Secure ist in einigen Regionen aufgrund von Mandaten der Zentralbanken / Behörden vorgeschrieben.

RalphB
2017-09-05 20:33:47 UTC
view on stackexchange narkive permalink

Vielleicht haben Sie die Bestellung mit einem Klick wie ich aktiviert. Mein Provider fragt bei Amazon nie nach Lebenslauf, sondern auf anderen Websites. Möglicherweise, weil ich mit Zwei-Faktor-Authentifizierung bestätigt habe?



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...