Phishing bei Pollin

Bernd Mayer · Jul 29, 2016

Hallo,

gerade gelesen:

"Phishing-Angriff auf Pollin-Kunden"
http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-Kunden-3280449.html

und:

"Elektronikversand Pollin bestĂ¤tigt schwerwiegenden Hacker-Angriff"
http://www.heise.de/newsticker/meldung/Elektronikversand-Pollin-bestaetigt-schwerwiegenden-Hacker-Angriff-3281324.html

Bernd Mayer

Bernd Mayer · Jul 29, 2016

Am 29.07.2016 um 18:20 schrieb Bernd Mayer:

"Phishing-Angriff auf Pollin-Kunden"
http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-Kunden-3280449.html

"Elektronikversand Pollin bestĂ¤tigt schwerwiegenden Hacker-Angriff"
http://www.heise.de/newsticker/meldung/Elektronikversand-Pollin-bestaetigt-schwerwiegenden-Hacker-Angriff-3281324.html

Nachtrag:

"WICHTIG: Bitte Ă¤ndern Sie Ihr Passwort!"
http://www.pollin.de/shop/cp/bitte_passwort_aendern.html

Bernd Mayer

Marc Santhoff · Jul 29, 2016

Bernd Mayer <beam.bam.boom@knuut.de> schrieb:

Am 29.07.2016 um 18:20 schrieb Bernd Mayer:

"Phishing-Angriff auf Pollin-Kunden"
http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-Kunden-3280449.html

"Elektronikversand Pollin bestätigt schwerwiegenden Hacker-Angriff"
http://www.heise.de/newsticker/meldung/Elektronikversand-Pollin-bestaetigt-schwerwiegenden-Hacker-Angriff-3281324.html

Nachtrag:

"WICHTIG: Bitte ändern Sie Ihr Passwort!"
http://www.pollin.de/shop/cp/bitte_passwort_aendern.html

Ausgewählte Kunden bekamen sogar eine E-Mail mit einem ... intressanten
Text und der Aufforderung, doch bitte das Passwort zu ändern. Bei der
Informationspolitik läßt das ahnen, das könnten die betroffenen sein(?).

Marc

Nomen Nescio · Jul 29, 2016

Bernd Lauert:

Der zum Verschlüsseln liegt auf dem Webserver.
Der zum Entschlüsseln gesichert in der Buchhaltungssoftware.

Kreditkartenunternehmen haben nicht umsonst entsprechend strenge PCI-
Richtlinien, wenn man Zahlungen über sie abwickeln will.

Seltsam dass dann soviele Kreditkartendaten gestohlen werden. Mehr als Kontonummern übrigens. Wahrscheinlich hat keiner
auf deine "grandiosen" Vorschläge gehört. Du solltest Consultant werden.

Mach dich weiter zum Brot, Bernd.

Bernd Lauert · Jul 29, 2016

On Fri, 29 Jul 2016 18:20:28 +0200, Bernd Mayer wrote:

"Phishing-Angriff auf Pollin-Kunden"
http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-
Kunden-3280449.html

und:

"Elektronikversand Pollin bestĂ¤tigt schwerwiegenden Hacker-Angriff"
http://www.heise.de/newsticker/meldung/Elektronikversand-Pollin-
bestaetigt-schwerwiegenden-Hacker-Angriff-3281324.html

Bankverbindungen unverschlĂźsselt im Online-Shop speichern ist schon grob
fahrlĂ¤ssig. Herr Pollin darf sich auf Schadenersatzforderungen einstellen.
Seine Hausbank wird sicher auch ein WĂśrtchen mit ihm zu reden haben.

horst-d.winzler · Jul 29, 2016

Am 29.07.2016 um 18:55 schrieb Bernd Lauert:

On Fri, 29 Jul 2016 18:20:28 +0200, Bernd Mayer wrote:

"Phishing-Angriff auf Pollin-Kunden"
http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-

--- Herr Pollin darf sich auf Schadenersatzforderungen einstellen.
Seine Hausbank wird sicher auch ein WĂśrtchen mit ihm zu reden haben.

Die Konten sind gesperrt. Die Kunden mĂźssen ein neues Passwort installieren.

--
---hdw---

Bernd Lauert · Jul 29, 2016

On Fri, 29 Jul 2016 19:02:53 +0200, horst-d.winzler wrote:

Am 29.07.2016 um 18:55 schrieb Bernd Lauert:
On Fri, 29 Jul 2016 18:20:28 +0200, Bernd Mayer wrote:

"Phishing-Angriff auf Pollin-Kunden"
http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-

--- Herr Pollin darf sich auf Schadenersatzforderungen einstellen.
Seine Hausbank wird sicher auch ein WĂśrtchen mit ihm zu reden haben.

Die Konten sind gesperrt. Die Kunden mĂźssen ein neues Passwort
installieren.

Du kapierst das Problem nicht. Bei Herrn Pollin wurden komplette
Postanschriften, Packstationsanschriften, Geburtsdaten und zugehĂśrige
Bankverbindungen (!) im Klartext rausgetragen, weil sie auf dem Onlineshop-
Server unverschlĂźsselt abgelegt waren und womĂśglich noch sind.

Seine Kunden werden jetzt sicherlich Ziel diverser BetrĂźgereien werden und
daran wird ein neues PaĂwort nichts mehr Ă¤ndern. Die "PayPal"-Phishing-
Mail war nur der Anfang.

FĂźr den entstandenen Aufwand durch DatenmiĂbrauch (z. B. unberechtigte
Konto-Abbuchungen, RĂźckbuchungen, Inkasso-Mahnungen, Kreditscore-
BeschĂ¤digung) kĂśnnen die Betroffenen sich natĂźrlich natĂźrlich finanziell
an ihm schadlos halten. Wenn's dumm lĂ¤uft ist, ist er dadurch bald
insolvent.

Rupert Haselbeck · Jul 29, 2016

Bernd Lauert schrieb:

On Fri, 29 Jul 2016 19:02:53 +0200, horst-d.winzler wrote:

Am 29.07.2016 um 18:55 schrieb Bernd Lauert:
On Fri, 29 Jul 2016 18:20:28 +0200, Bernd Mayer wrote:

"Phishing-Angriff auf Pollin-Kunden"
http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-
--- Herr Pollin darf sich auf Schadenersatzforderungen einstellen.
Seine Hausbank wird sicher auch ein WĂśrtchen mit ihm zu reden haben.

Die Konten sind gesperrt. Die Kunden mĂźssen ein neues Passwort
installieren.

Du kapierst das Problem nicht.

Die Sache mit dem nicht kapieren liegt wohl eher umgekahrt...

Bei Herrn Pollin wurden komplette
Postanschriften, Packstationsanschriften, Geburtsdaten und zugehĂśrige
Bankverbindungen (!) im Klartext rausgetragen, weil sie auf dem
Onlineshop- Server unverschlĂźsselt abgelegt waren und womĂśglich noch sind.

Was soll denn bitte an Postanschriften oder Bankverbindungen etc.
geheimhaltungsbedĂźrftig sein?
Jeder halbwegs normale Mensch, zumindest der Teil der Menschheit, der am
modernen Wirtschaftsleben teilnimmt, ist zwangslĂ¤ufig hĂśchst freigiebig mit
diesen Daten. Bei jedem Brief, jedem Fax, jeder Email an irgendeinen
VersandhĂ¤ndler wird man vermutlich diese Daten angeben - zumindest dann,
wenn man die bestellte Ware nicht selber abholen und vor Ort bar bezahlen
will :->

Seine Kunden werden jetzt sicherlich Ziel diverser BetrĂźgereien werden und
daran wird ein neues PaĂwort nichts mehr Ă¤ndern. Die "PayPal"-Phishing-
Mail war nur der Anfang.

MĂśglich - aber wo ist der Zusammenhang?

FĂźr den entstandenen Aufwand durch DatenmiĂbrauch (z. B. unberechtigte
Konto-Abbuchungen, RĂźckbuchungen, Inkasso-Mahnungen, Kreditscore-
BeschĂ¤digung) kĂśnnen die Betroffenen sich natĂźrlich natĂźrlich finanziell
an ihm schadlos halten.

BlĂśdsinn! Erstens sind die genannten Daten in keiner Weise kritisch und
zweitens mĂźsstest du natĂźrlich beweisen, dass derjenige, von dessen Systemen
diese Daten geklaut worden sein sollen, zumindest fahrlĂ¤ssig gehandelt hat.
Und zuerst wirst du natĂźrlich beweisen dĂźrfen, dass es Ăźberhaupt der von dir
Beschuldigte war, dem die Daten abhanden kamen. Viel Spass dabei...

Wenn's dumm lĂ¤uft ist, ist er dadurch bald
insolvent.

Deine Phantasie ist bemerkenswert

MfG
Rupert

Johannes Bauer · Jul 30, 2016

On 29.07.2016 18:55, Bernd Lauert wrote:

Bankverbindungen unverschlĂźsselt im Online-Shop speichern ist schon grob
fahrlĂ¤ssig.

Ach, dann erzĂ¤hl mal, wie man das heutzutage macht. Und erklĂ¤r gleich
mit, wo die entsprechenden SchlĂźssel liegen.

Herr Pollin darf sich auf Schadenersatzforderungen einstellen.
Seine Hausbank wird sicher auch ein WĂśrtchen mit ihm zu reden haben.

Bullshit.

GruĂ,
Johannes

--

Wo hattest Du das Beben nochmal GENAU vorhergesagt?
Zumindest nicht Ăśffentlich!

Ah, der neueste und bis heute genialste Streich unsere groĂen
Kosmologen: Die Geheim-Vorhersage.
- Karl Kaos Ăźber RĂźdiger Thomas in dsa <hidbv3$om2$1@speranza.aioe.org>

Bernd Lauert · Jul 30, 2016

On Fri, 29 Jul 2016 20:21:06 +0200, Johannes Bauer wrote:

On 29.07.2016 18:55, Bernd Lauert wrote:

Bankverbindungen unverschlĂźsselt im Online-Shop speichern ist schon
grob fahrlĂ¤ssig.

Ach, dann erzĂ¤hl mal, wie man das heutzutage macht.

Von asymmetrischer VerschlĂźsselung haste noch nie von gehĂśrt, was?

Und erklĂ¤r gleich
mit, wo die entsprechenden SchlĂźssel liegen.

Der zum VerschlĂźsseln liegt auf dem Webserver.
Der zum EntschlĂźsseln gesichert in der Buchhaltungssoftware.

Kreditkartenunternehmen haben nicht umsonst entsprechend strenge PCI-
Richtlinien, wenn man Zahlungen Ăźber sie abwickeln will.

Hanno Foest · Jul 30, 2016

Am 29.07.2016 um 20:31 schrieb Bernd Lauert:

Kreditkartenunternehmen haben nicht umsonst entsprechend strenge PCI-
Richtlinien, wenn man Zahlungen Ăźber sie abwickeln will.

Allerdings sind Kreditkartennummern was anderes als
Bankverbindungsdaten. Letztere stehen beispielsweise standardmĂ¤Ăig auf
den meisten GeschĂ¤ftsbriefvordrucken, erstere nicht.

Hanno

Frank MĂźller · Jul 30, 2016

Bernd Lauert schrieb:

Bankverbindungen unverschlĂźsselt im Online-Shop speichern ist schon grob
fahrlĂ¤ssig. Herr Pollin darf sich auf Schadenersatzforderungen einstellen.

Warum? Jeder kleine Handwerksbetrieb druckt seine Bankverbindung
auf sein Firmenpapier. Wo soll da ein Schaden entstehen?

Frank

Bernd Lauert · Jul 30, 2016

On Fri, 29 Jul 2016 20:43:33 +0200, Hanno Foest wrote:

Am 29.07.2016 um 20:31 schrieb Bernd Lauert:

Kreditkartenunternehmen haben nicht umsonst entsprechend strenge PCI-
Richtlinien, wenn man Zahlungen Ăźber sie abwickeln will.

Allerdings sind Kreditkartennummern was anderes als
Bankverbindungsdaten. Letztere stehen beispielsweise standardmĂ¤Ăig auf
den meisten GeschĂ¤ftsbriefvordrucken, erstere nicht.

Sie sind bei Privatleuten ein Token um Lastschriftzahlungen abzuwickeln.

Die MiĂbrauchsprĂ¤vention ist bei Kreditkarten inzwischen Ăźbrigens deutlich
besser bis hin zu automatischer Erkennung und Abweisung miĂbrĂ¤uchlicher
Transaktionen. Die Arbeit mit den unberechtigten SEPA-Belastungen bleibt
hingegen beim Opfer selbst hĂ¤ngen.

Johannes Bauer · Jul 30, 2016

On 29.07.2016 20:31, Bernd Lauert wrote:

Ach, dann erzĂ¤hl mal, wie man das heutzutage macht.

Von asymmetrischer VerschlĂźsselung haste noch nie von gehĂśrt, was?

Doch, Kumpel. Und ich traue mich wetten, dass ich deutlich mehr
Erfahrung mit angewandter Krypto habe als du, sowohl in Theorie als in
Praxis.

Und erklĂ¤r gleich
mit, wo die entsprechenden SchlĂźssel liegen.

Der zum VerschlĂźsseln liegt auf dem Webserver.
Der zum EntschlĂźsseln gesichert in der Buchhaltungssoftware.

Oooh, das ist ja geradezu brilliant.

Und wie machst du dem Kunden klar, mit welchen Bankdaten er gerade
einkauft? Und welche Software fĂźr's Backend kennst du, die fĂźr einen
X-beliebigen popeligen Webshop sowas umsetzt? Oder willst du dir die
entsprechenden Module selber bauen?

Leute wie du haben keinen Schimmer, was fĂźr praktische Probleme sinnvoll
eingesetzte Krypto im tagtĂ¤glichen Einsatz mit sich bringt. Aber was
rede ich da, du glaubst ja sogar auch noch dass Max strafrechtlich
verfolgt wird, dafĂźr dass er sich seinen Shop hacken hat lassen.

Kreditkartenunternehmen haben nicht umsonst entsprechend strenge PCI-
Richtlinien, wenn man Zahlungen Ăźber sie abwickeln will.

Ein Resteverramscher ist kein Kreditkartenunternehmen.

GruĂ,
Johannes

--

Wo hattest Du das Beben nochmal GENAU vorhergesagt?
Zumindest nicht Ăśffentlich!

Ah, der neueste und bis heute genialste Streich unsere groĂen
Kosmologen: Die Geheim-Vorhersage.
- Karl Kaos Ăźber RĂźdiger Thomas in dsa <hidbv3$om2$1@speranza.aioe.org>

Bernd Lauert · Jul 30, 2016

On Fri, 29 Jul 2016 21:46:25 +0200, Johannes Bauer wrote:

Und wie machst du dem Kunden klar, mit welchen Bankdaten er gerade
einkauft?

Was bist du denn fĂźr ein AnfĂ¤nger?

Indem man dem Kunden die Bank nennt und nicht Zahlungsdaten im Klartext
anzeigt. So wie das alle seriĂśsen Webshop-Betreiber machen. Hast du zum
ersten Mal im Netz eingekauft?

Und welche Software fĂźr's Backend kennst du, die fĂźr einen
X-beliebigen popeligen Webshop sowas umsetzt? Oder willst du dir die
entsprechenden Module selber bauen?

Das Pollin-Teil ist ein amateurhafter Eigenbau. Deshalb ist auch geknackt
worden.

Leute wie du haben keinen Schimmer, was fĂźr praktische Probleme sinnvoll
eingesetzte Krypto im tagtĂ¤glichen Einsatz mit sich bringt. Aber was
rede ich da, du glaubst ja sogar auch noch dass Max strafrechtlich
verfolgt wird, dafĂźr dass er sich seinen Shop hacken hat lassen.

Nein, er wird nicht strafrechtlich verfolgt, ist aber zivilrechtlich voll
haftbar. Das kann er u. U. an seinen Dienstleister durchreichen, der dann
hoffentlich Ăźber seine Berufshaftpflicht ausreichend abgesichert ist.

Kreditkartenunternehmen haben nicht umsonst entsprechend strenge PCI-
Richtlinien, wenn man Zahlungen Ăźber sie abwickeln will.

Ein Resteverramscher ist kein Kreditkartenunternehmen.

Er hat keinen Akzeptanzvertrag. Und hĂ¤tte mit seiner Webshopbastelei auch
nie einen bekommen. Genau wegen dieser Richtlinien eben.

Bernd Lauert · Jul 30, 2016

On Fri, 29 Jul 2016 21:19:02 +0200, Frank MĂźller wrote:

Bernd Lauert schrieb:

Bankverbindungen unverschlĂźsselt im Online-Shop speichern ist schon
grob fahrlĂ¤ssig. Herr Pollin darf sich auf Schadenersatzforderungen
einstellen.

Warum? Jeder kleine Handwerksbetrieb druckt seine Bankverbindung auf
sein Firmenpapier.

Ganz einfach weil es einen rechtlichen Unterschied gibt zwischen
"Datenbank auf einem Webserver" und "Drucken auf eigenes GeschĂ¤ftspapier".

Hergen Lehmann · Jul 30, 2016

Am 29.07.2016 um 21:46 schrieb Johannes Bauer:

Der zum VerschlĂźsseln liegt auf dem Webserver.
Der zum EntschlĂźsseln gesichert in der Buchhaltungssoftware.

Oooh, das ist ja geradezu brilliant.

NĂś, das ist Standard.

Anderer Standard-Ansatz: Die Kontoverbindungen liegen ausschlieĂlich in
der Buchhaltungssoftware bzw. beim Zahlungsdienstleister und geeignete
technische MaĂnahmen sorgen dafĂźr, das der Datenfluss aus dem Webserver
dorthin eine EinbahnstraĂe ist.

Und wie machst du dem Kunden klar, mit welchen Bankdaten er gerade
einkauft?

Indem man die letzten 3-4 Ziffern der Konto-/Kreditkartennummer noch mal
unverschlĂźsselt auf dem Webserver ablegt und dem Kunden beim Checkout
anzeigt. Ebenfalls Standard und zahllosen Webshops so umgesetzt.

Und welche Software fĂźr's Backend kennst du, die fĂźr einen
X-beliebigen popeligen Webshop sowas umsetzt? Oder willst du dir die
entsprechenden Module selber bauen?

Der Pollin-Shop sieht aber doch ziemlich selbstgestrickt aus.
Die einzigen Hinweise auf Toolkits, die ich auf die Schnelle finde, sind
jQuery und shopgate. Letzteres ist wohl irgendein Handy-App-Gateway.

Leute wie du haben keinen Schimmer, was fĂźr praktische Probleme sinnvoll
eingesetzte Krypto im tagtĂ¤glichen Einsatz mit sich bringt.

Am Ende der Sachargumente kommen die persĂśnlichen Angriffe. Peinlich,
das du schon im deinem zweiten Beitrag an diesem Punkt bist...

Kreditkartenunternehmen haben nicht umsonst entsprechend strenge PCI-
Richtlinien, wenn man Zahlungen Ăźber sie abwickeln will.

Ein Resteverramscher ist kein Kreditkartenunternehmen.

Aber er will Zahlungen Ăźber Kreditkarten abwickeln und mĂźsste sich
eigentlich an das halten, was sein Zahlungsdienstleister ihm vertraglich
vorschreibt.
Vielleicht tut er's sogar, die Rede war ja nur von geklauten
Kontonummern, nicht von Kreditkartennummern.

Hergen

Frank MĂźller · Jul 30, 2016

Bernd Lauert schrieb:

On Fri, 29 Jul 2016 21:19:02 +0200, Frank MĂźller wrote:

Bernd Lauert schrieb:

Bankverbindungen unverschlĂźsselt im Online-Shop speichern ist schon
grob fahrlĂ¤ssig. Herr Pollin darf sich auf Schadenersatzforderungen
einstellen.

Warum? Jeder kleine Handwerksbetrieb druckt seine Bankverbindung auf
sein Firmenpapier.

Ganz einfach weil es einen rechtlichen Unterschied gibt zwischen
"Datenbank auf einem Webserver" und "Drucken auf eigenes GeschĂ¤ftspapier".

"Rechtlich" greift erst wenn ein Schaden entsteht,
wo soll da ein Schaden entstehen?
Da wĂźrde ich mir eher Gedanken machen daĂ so
meine e-Mail-Adresse in die HĂ¤nde von Spammern
kommt und dann zugemĂźllt wird.

Frank

Rupert Haselbeck · Jul 30, 2016

Bernd Lauert schrieb:

Ganz einfach weil es einen rechtlichen Unterschied gibt zwischen
"Datenbank auf einem Webserver" und "Drucken auf eigenes GeschĂ¤ftspapier".

So, so. Welchen relevanten Unterschied glaubst du denn da zu verorten?

MfG
Rupert

Johannes Bauer · Jul 30, 2016

On 29.07.2016 22:33, Bernd Lauert wrote:

On Fri, 29 Jul 2016 21:46:25 +0200, Johannes Bauer wrote:

Und wie machst du dem Kunden klar, mit welchen Bankdaten er gerade
einkauft?

Was bist du denn fĂźr ein AnfĂ¤nger?

Indem man dem Kunden die Bank nennt und nicht Zahlungsdaten im Klartext
anzeigt. So wie das alle seriĂśsen Webshop-Betreiber machen. Hast du zum
ersten Mal im Netz eingekauft?

Sehr schĂśn: Teilweise Klartext also. Und du meinst das reicht fĂźr
Phishing nicht?

Hast du denn noch nie eine Phishing-Mail gesehen? WeiĂt du, wie Social
Engineering funktioniert oder ist wirklich jedes Wort von dir komplett
substanzlos?

Und welche Software fĂźr's Backend kennst du, die fĂźr einen
X-beliebigen popeligen Webshop sowas umsetzt? Oder willst du dir die
entsprechenden Module selber bauen?

Das Pollin-Teil ist ein amateurhafter Eigenbau. Deshalb ist auch geknackt
worden.

Ah, Frage nicht beantwortet. Also kennst du keine, ja?

Kreditkartenunternehmen haben nicht umsonst entsprechend strenge PCI-
Richtlinien, wenn man Zahlungen Ăźber sie abwickeln will.

Ein Resteverramscher ist kein Kreditkartenunternehmen.

Er hat keinen Akzeptanzvertrag. Und hĂ¤tte mit seiner Webshopbastelei auch
nie einen bekommen. Genau wegen dieser Richtlinien eben.

Und mit BetĂ¤ubungsmitteln darf Pollin auch nicht handeln, aber das ist
vĂśllig am Thema vorbei. Es ging um Kontodaten.

GruĂ,
Johannes

--

Wo hattest Du das Beben nochmal GENAU vorhergesagt?
Zumindest nicht Ăśffentlich!

Ah, der neueste und bis heute genialste Streich unsere groĂen
Kosmologen: Die Geheim-Vorhersage.
- Karl Kaos Ăźber RĂźdiger Thomas in dsa <hidbv3$om2$1@speranza.aioe.org>

Phishing bei Pollin

Bernd Mayer

Guest

Bernd Mayer

Guest

Marc Santhoff

Guest

Nomen Nescio

Guest

Bernd Lauert

Guest

horst-d.winzler

Guest

Bernd Lauert

Guest

Rupert Haselbeck

Guest

Johannes Bauer

Guest

Bernd Lauert

Guest

Hanno Foest

Guest

Frank MĂźller

Guest

Bernd Lauert

Guest

Johannes Bauer

Guest

Bernd Lauert

Guest

Bernd Lauert

Guest

Hergen Lehmann

Guest

Frank MĂźller

Guest

Rupert Haselbeck

Guest

Johannes Bauer

Guest

Log in

Welcome to EDABoard.com

Sponsor