Zum Inhalt springen

Schutz gegen Fake-Daten?


Ulfmann

Empfohlene Beiträge

Moin.

Aus aktuellem Anlass recherchiere ich grad über eine Seite, die Fake Daten generiert und nach einer Möglichkeit, deren Generierungspattern zu erkennen oder so. Wir hatten am Wochenende eine sehr große Menge an "Falsch-Käufen" und ich bin grade einer Seite auf der Spur (fake-it, heißen die, darf ich das hier angeben?) mit der die Daten wohl generiert wurden. Auf deren Facebook Seite findet ein offener Austausch über den Daten-Missbrauch statt, es werden Tipps gegeben, wo man am besten damit einkauft und Updates zur Entwicklung der Seite gepostet. Echt gruselig. Meine Frage: Wüsstet ihr Ansatzpunkte, wie man sowas unterbinden (oder zumindest erschweren) kann? E-Mail Validierung funktioniert ja auch nur bedingt.

Lasst mal hören. Danke soweit.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Doch, das ist ja das große Problem. Unser Payment-Partner validiert eben nur die formale Gültigkeit und da wird eine Kreditkarten-Nr gegen den Luhn-Algorithmus gegen gerechnet und gut. Damit ist aber nicht gesagt, dass dieses Konto auch einen Inhaber hat.

Edit:

@Gottlike: "cKonto verwendet die offiziellen Prüfmethoden aller registrierten IBANs und die aktuell 141 Prüfverfahren der Deutschen Bundesbank, um Bankverbindungen auf Plausibilität zu überprüfen" Das passiert schon, reicht aber nicht.

Edit2:

Das eindeutigste Muster, das wir bisher haben, ist die E-Mail Adresse aller (!) dort generierten Datensätze, die dem Muster Vorname.Nachname[Zahl].bekannteranbieter.com folgt. Ist natürlich alles andere als zuverlässig und es gibt ja auch viele Payment Daten von anderen Quellen.

Bearbeitet von Ulfmann
Link zu diesem Kommentar
Auf anderen Seiten teilen

Die meisten Bezahldienstleister die ich kenne die z. B. ELV anbieten o.ä führen eine einmalige Authentifizierung über eine angegebene Deutsche Handynummer durch (SMS Code, der dann eingegeben werden muss). Du kannst zwar nicht verhindern, dass Handykarten geklaut oder gefälscht werden. Allerdings werden in Deutschland keine anonymen Prepaid Simkarten mehr verkauft und die Leute müssen sich zur Aktivierung einer solchen beim Mobilfunkanbieter registrieren lassen. Das erhöht den Aufwand für eine Falschbezahlung der bei einer formalen Prüfung für den Bösewicht praktisch null ist.

Ich finde ihr solltet dringend Druck bei eurem Payment-Partner ausüben. Nur eine formalte Gültigkeit zu prüfen ist absolut nicht mehr state of the art im Payment Bereich. Eine absolute Sicherheit gibt es natürlich nicht, aber ich halte multiple Authentifizierungsmaßnahmen für deutlich effektiver als versuchen in den Anmeldedaten bekannte Muster zu finden. Das ist als Kunde eures Payment Dienstleisters gar nicht eure Aufgabe.

Bearbeitet von Uhu
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 23 Minuten schrieb Ulfmann:

Doch, das ist ja das große Problem. Unser Payment-Partner validiert eben nur die formale Gültigkeit und da wird eine Kreditkarten-Nr gegen den Luhn-Algorithmus gegen gerechnet und gut. Damit ist aber nicht gesagt, dass dieses Konto auch einen Inhaber hat.

Edit:

@Gottlike: "cKonto verwendet die offiziellen Prüfmethoden aller registrierten IBANs und die aktuell 141 Prüfverfahren der Deutschen Bundesbank, um Bankverbindungen auf Plausibilität zu überprüfen" Das passiert schon, reicht aber nicht.

Was denn nun? Wird nur auf formale Gültigkeit überprüft oder mehr?
Bei cKonto werden u.A. auch Stammdaten abgeglichen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 46 Minuten schrieb Ulfmann:

Wir hatten am Wochenende eine sehr große Menge an "Falsch-Käufen"

Wie wäre es, wenn Ersteinkäufe nur über Zahlungsverfahren abgewickelt werden können, bei denen das Risiko nicht bei dem Shopbetreiber (also euch) liegt. Zusätzlich müsst ihr den Aufwand des Aftersales erst nach Zahlungseingang beginnen, damit Fakebestellungen keinen Aufwand erzeugen. Z.B. per Vorauskasse (Überweisung, Kredikarte, ...). Alle weiteren Bestellungen dann auch über die anderen Verfahren.

Link zu diesem Kommentar
Auf anderen Seiten teilen

@pr0gg3r Das ist dann eine Business-Entscheidung auf die ich keinen Einfluss habe. Klar kann man die Bezahloptionen eingrenzen auf Wege, die weniger anfällig sind, aber ich vermute, das wollen wir nicht. Da gebe ich @Uhu schon recht, das sollte unser Dienstleister tun.

@Gottlike Ich hab cKonto so verstanden, dass sie IBAN und Kreditkarten-Nummern auch nur gegen eine Prüfsumme halten. Und das macht unser Dienstleister schon. Das reicht aber eben nicht, weil man damit nicht ausschließen kann, dass das Konto gar keinen Inhaber hat.

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor einer Stunde schrieb Uhu:

Du kannst zwar nicht verhindern, dass Handykarten geklaut oder gefälscht werden. Allerdings werden in Deutschland keine anonymen Prepaid Simkarten mehr verkauft und die Leute müssen sich zur Aktivierung einer solchen beim Mobilfunkanbieter registrieren lassen. Das erhöht den Aufwand für eine Falschbezahlung der bei einer formalen Prüfung für den Bösewicht praktisch null ist.

Es gibt allerdings auch verschiedene Webseiten die mehrere Mobilnummern bieten die man für Telefonverifikationen benutzen angeben kann und die dann einfach alles was an sie gesendet wird auf der Webseite veröffentlichen. Das heißt man müsste auch regelmäßig nach solchen Nummern suchen und diese in eine Blacklist einfügen. Auch könnte schon verwendete Nummern speichern (oder den Hash einer Nummer um nicht in Datenschutzprobleme zu laufen) und damit verhindern, dass die selbe Nummer mehrmals verwendet wird.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 4 Minuten schrieb Guybrush Threepwood:

Es gibt allerdings auch verschiedene Webseiten die mehrere Mobilnummern bieten die man für Telefonverifikationen benutzen angeben kann und die dann einfach alles was an sie gesendet wird auf der Webseite veröffentlichen. Das heißt man müsste auch regelmäßig nach solchen Nummern suchen und diese in eine Blacklist einfügen. Auch könnte schon verwendete Nummern speichern (oder den Hash einer Nummer um nicht in Datenschutzprobleme zu laufen) und damit verhindern, dass die selbe Nummer mehrmals verwendet wird.

Aufjedenfall. Eigentlich erwarte ich, dass ein Payment-Anbieter genau dies tut. Ehrlich gesagt bin ich ziemlich schockkiert das der Anbieter von Ulfmann nur eine formale Prüfung vornimmt. Soetwas habe ich ehrlich gesagt das letzte mal vor 10 Jahren gesehen ... Wenn der Payment Anbieter hier nicht nachzieht wäre hier sogar zu prüfen, ob hier nicht gegenüber dem Payment Anbieter Schadensersatzansprüche geltend gemacht werden können.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...