Phishing bei Pollin

[Bernd Lauert]

On Fri, 29 Jul 2016 22:57:03 +0200, Frank MĂźller wrote:

wo soll da ein Schaden entstehen?
Da würde ich mir eher Gedanken machen daß so meine e-Mail-Adresse in die
Hände von Spammern kommt und dann zugemßllt wird.

Es sind E-Mail-Adresse in Verbindung mit vollständiger Anschrift,
Geburtsdatum, ggf. Packstation und Bankverbindung gestohlen worden.

Damit kann man schon eine Menge Schindluder treiben und genau das passiert
auch gerade.

 

[Johannes Bauer]

On 29.07.2016 22:43, Hergen Lehmann wrote:

Am 29.07.2016 um 21:46 schrieb Johannes Bauer:

Der zum VerschlĂźsseln liegt auf dem Webserver.
Der zum EntschlĂźsseln gesichert in der Buchhaltungssoftware.

Oooh, das ist ja geradezu brilliant.

NĂś, das ist Standard.

Wow, da hat aber jemand das Ironietag Ăźbersehen.

Anderer Standard-Ansatz: Die Kontoverbindungen liegen ausschließlich in
der Buchhaltungssoftware bzw. beim Zahlungsdienstleister und geeignete
technische Maßnahmen sorgen dafür, das der Datenfluss aus dem Webserver
dorthin eine Einbahnstraße ist.

"geeignete technische Maßnahmen" ist keine geeignete technische
Handlungsanweisung. Die Daten, die am Frontend fĂźr vernĂźnftige
Bedienbarkeit zwingend notwendig sind, reichen aber leider auch fĂźr
Phishing aus.

Und wie machst du dem Kunden klar, mit welchen Bankdaten er gerade
einkauft?

Indem man die letzten 3-4 Ziffern der Konto-/Kreditkartennummer noch mal
unverschlĂźsselt auf dem Webserver ablegt und dem Kunden beim Checkout
anzeigt. Ebenfalls Standard und zahllosen Webshops so umgesetzt.

Und ebenfalls fĂźr Phishing EXAKT so zu verwenden.

Leute wie du haben keinen Schimmer, was fĂźr praktische Probleme sinnvoll
eingesetzte Krypto im tagtäglichen Einsatz mit sich bringt.

Am Ende der Sachargumente kommen die persĂśnlichen Angriffe. Peinlich,
das du schon im deinem zweiten Beitrag an diesem Punkt bist...

Nein, aber ich sehe im tagtäglichen Alltag halbgare LÜsungen von
selbsternannten Krypto-Genies, die, wenn man sie nur schräg anschaut,
hinten und vorne diverse LĂźcken haben. Ich kann es einfach nicht mehr hĂśren.

Kreditkartenunternehmen haben nicht umsonst entsprechend strenge PCI-
Richtlinien, wenn man Zahlungen Ăźber sie abwickeln will.

Ein Resteverramscher ist kein Kreditkartenunternehmen.

Aber er will Zahlungen Ăźber Kreditkarten abwickeln und mĂźsste sich
eigentlich an das halten, was sein Zahlungsdienstleister ihm vertraglich
vorschreibt.
Vielleicht tut er's sogar, die Rede war ja nur von geklauten
Kontonummern, nicht von Kreditkartennummern.

Gut erkannt.

Gruß,
Johannes

--

Wo hattest Du das Beben nochmal GENAU vorhergesagt?
Zumindest nicht Ăśffentlich!

Ah, der neueste und bis heute genialste Streich unsere großen
Kosmologen: Die Geheim-Vorhersage.
- Karl Kaos Ăźber RĂźdiger Thomas in dsa <hidbv3$om2$1@speranza.aioe.org>

 

[Marcel Mueller]

On 29.07.16 18.55, Bernd Lauert wrote:

Bankverbindungen unverschlüsselt im Online-Shop speichern ist schon grob
fahrlässig.

Wie denn sonst? Selbst wenn sie verschlüsselt wären, müsste der
Schlüssel dabei sein, anders könnte man sie ja bei Bedarf nicht
entschlüsseln.

Das mit dem Verschlüsseln funktioniert nur bei Passwortern (mit Salt und
Hash) wo man das Passwort nie wieder lesen können muss.

Herr Pollin darf sich auf Schadenersatzforderungen einstellen.
Seine Hausbank wird sicher auch ein Wörtchen mit ihm zu reden haben.

Die sind froh, dass /sie/ es nicht waren. ;-)

Nein im ernst, denen ist das sch***egal. Es sind ja nicht /ihre/ Daten,
jedenfalls nur zu einem sehr kleinen Teil.


Marcel

 

[Hergen Lehmann]

Am 29.07.2016 um 23:38 schrieb Johannes Bauer:

Anderer Standard-Ansatz: Die Kontoverbindungen liegen ausschließlich in
der Buchhaltungssoftware bzw. beim Zahlungsdienstleister und geeignete
technische Maßnahmen sorgen dafür, das der Datenfluss aus dem Webserver
dorthin eine Einbahnstraße ist.

"geeignete technische Maßnahmen" ist keine geeignete technische
Handlungsanweisung.

Eine konkrete technische Handlungsanweisung setzt Kenntnis der
eingesetzten Software, der Netzwerkstruktur, sowie der Arbeitsabläufe im
konkreten Unternehmen voraus.

Es ist aber für einen fähigen Softwareentwickler keine allzu große
Herausforderung, eine Schnittstelle so konzipieren, das Informationen
nur in eine Richtung fließen können. Und die Verwendung anderer
Schnittstellen per Firewall zu blockieren.

Die Daten, die am Frontend fĂźr vernĂźnftige
Bedienbarkeit zwingend notwendig sind, reichen aber leider auch fĂźr
Phishing aus.

FĂźr Phishing mit guter Erfolgsquote reichen email-Adresse, Name sowie
die *Vermutung* das die Person Kunde bei einer bestimmten Firma sein
kĂśnnte.

Weitere Daten machen den Kohl auch nicht mehr fett, zumal (wie von
anderen schon ausgefĂźhrt) die Kontonummer keine wirklich geheime
Information ist. Jede Firma, mit dem man mal Zahlungsverkehr hatte, hat
diese. Und von dort landet sie frßher oder später bei Auskunfteien und
Adresshändlern.

Hergen

 

[Kai-Martin]

Bernd Mayer wrote:

"Phishing-Angriff auf Pollin-Kunden"
http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-Kunden-3280449.html

Da bin ich nachträglich froh, dass ich meine Bestellungen ßber das
altmodische Fax abwickle. Eigentlich nur aus Faulheit von meiner Seite
aus. Denn Fax ist die einzige Schnittstelle, die wirklich bei allen
Distributoren gleich funktioniert.

---&ltkaimartin(>---

 

[Frank MĂźller]

Bernd Lauert schrieb:

On Fri, 29 Jul 2016 22:57:03 +0200, Frank MĂźller wrote:

wo soll da ein Schaden entstehen?
Da würde ich mir eher Gedanken machen daß so meine e-Mail-Adresse in die
Hände von Spammern kommt und dann zugemßllt wird.

Es sind E-Mail-Adresse in Verbindung mit vollständiger Anschrift,
Geburtsdatum, ggf. Packstation und Bankverbindung gestohlen worden.

Damit kann man schon eine Menge Schindluder treiben und genau das passiert
auch gerade.

Werde doch mal etwas genauer! Was soll denn "eine Menge Schindluder"
sein, ich kann mir da nichts drunter vorstellen. Wie wäre es mal mit einen
Beispiel?

Frank

 

[Rupert Haselbeck]

Frank MĂźller schrieb:

Bernd Lauert schrieb:
On Fri, 29 Jul 2016 22:57:03 +0200, Frank MĂźller wrote:

wo soll da ein Schaden entstehen?
Da würde ich mir eher Gedanken machen daß so meine e-Mail-Adresse in die
Hände von Spammern kommt und dann zugemßllt wird.

Es sind E-Mail-Adresse in Verbindung mit vollständiger Anschrift,
Geburtsdatum, ggf. Packstation und Bankverbindung gestohlen worden.

Damit kann man schon eine Menge Schindluder treiben und genau das
passiert auch gerade.

Werde doch mal etwas genauer! Was soll denn "eine Menge Schindluder"
sein, ich kann mir da nichts drunter vorstellen. Wie wäre es mal mit einen
Beispiel?

Er ist bisher auf keinerlei Einwand eingegangen, obgleich seine diversen
Behauptungen ja sowohl rechtlich wie tatsächlich größtenteils grotesker
Humbug sind, soweit sie nicht sowieso weitab vom Thema liegen.
Vermutlich wohl nur ein akuter Abfall von Trollerei -> Killfile

MfG
Rupert

 

[Johannes Bauer]

On 30.07.2016 06:10, Kai-Martin wrote:

Bernd Mayer wrote:

"Phishing-Angriff auf Pollin-Kunden"
http://www.heise.de/newsticker/meldung/Phishing-Angriff-auf-Pollin-Kunden-3280449.html

Da bin ich nachträglich froh, dass ich meine Bestellungen ßber das
altmodische Fax abwickle. Eigentlich nur aus Faulheit von meiner Seite
aus. Denn Fax ist die einzige Schnittstelle, die wirklich bei allen
Distributoren gleich funktioniert.

Es wĂźrde mich sehr wundern, wenn die fĂźr Fax-Bestellungen einen eigenen
Prozess hätten. Eher vermute ich, dass ein Mitarbeiter deine Bestellung
ins Webinterface abtippen wird.

Mein Gott freue ich mich darauf, wenn das letzte Fax endlich auf dem
Schrott liegt und wir eine weitverbreitetes, rechtsverbindliches System
zum elektronischen Datentausch haben. Gäbs ja schon, nutzt nur fast keiner.

Gruß,
Johannes

--

Wo hattest Du das Beben nochmal GENAU vorhergesagt?
Zumindest nicht Ăśffentlich!

Ah, der neueste und bis heute genialste Streich unsere großen
Kosmologen: Die Geheim-Vorhersage.
- Karl Kaos Ăźber RĂźdiger Thomas in dsa <hidbv3$om2$1@speranza.aioe.org>

 

[Manuel Reimer]

On 07/29/2016 06:27 PM, Bernd Mayer wrote:

Nachtrag:

"WICHTIG: Bitte ändern Sie Ihr Passwort!"
http://www.pollin.de/shop/cp/bitte_passwort_aendern.html

Oder am besten gleich das Konto lĂśschen lassen.

Die einzigen Ausnahmen bei Webshops, bei denen ich ein Login akzeptiere,
sind Ebay und Amazon. Bei allen anderen hat sich das mit dem Einkaufen
umgehend erledigt, wenn ich genĂśtigt werde, mich irgendwie zu registrieren.

Gruß

Manuel

 

[Manuel Reimer]

On 07/29/2016 06:55 PM, Bernd Lauert wrote:

Bankverbindungen unverschlĂźsselt im Online-Shop speichern ist schon grob
fahrlässig. Herr Pollin darf sich auf Schadenersatzforderungen einstellen.
Seine Hausbank wird sicher auch ein WĂśrtchen mit ihm zu reden haben.

Ich finde es eher unschĂśn, dass hier keine Trennung zwischen
Webinterface und Bankdaten stattfindet. Ich befĂźrchte aber, dass das
wohl so die Regel sein wird.

Eigentlich wĂźrde es vollkommen reichen wenn das Webinterface die
Bankdaten nur *schreiben* kĂśnnte. Auslesen ist hier eigentlich unnĂśtig.

Um die meisten Angriffe abzuwehren, wĂźrde es dann vollkommen ausreichen,
wenn Webserver und Abrechnung mit zwei verschiedenen Usern auf ein und
demselben Server laufen wĂźrden.

Und natĂźrlich kann man mit Bankdaten Mist treiben. Um via Bankeinzug zu
kaufen muss man nur die korrekte Bankverbindung kennen. Und um ehrlich
zu sein wĂźrde ich garnicht merken, wenn jemand auf dem Weg zum Beispiel
etwas fĂźr 5 Euro auf meine Kosten kaufen wĂźrde. Ich kaufe einfach zu
viel Kleinkram via PayPal und Amazon und prĂźfe nicht jede 5 Euro
Abbuchung im Detail nach.

Man hat, wenn man via PayPal zahlt, bei Pollin keinen Nachteil. Deshalb
habe ich gerade eine Mail an deren Support geschrieben, mit der
Aufforderung, meine Bankdaten umgehend von deren Server zu lĂśschen. Da
die Gefahr wohl bei allen Händlern gleich ist, werde ich wohl bei
Reichelt auch lĂśschen lassen. Ich hoffe einfach das man bei PayPal die
Bankdaten auf Systemen lagert, die nicht unmittelbar vom Internet
erreichbar sind.

Gruß

Manuel

 

[Bernd Laengerich]

Am 29.07.2016 um 22:43 schrieb Hergen Lehmann:

Aber er will Zahlungen Ăźber Kreditkarten abwickeln und mĂźsste sich
eigentlich an das halten, was sein Zahlungsdienstleister ihm vertraglich
vorschreibt.

Seit wann macht Pollin das? Pollin selber bietet nur Lastschriften an,
alles andere läuft ßber externe Dienstleister, dabei kommt Pollins
Webshop nicht mit schĂźtzenswerten Kartendaten in BerĂźhrung.

Bernd

 

[Bernd Laengerich]

Am 29.07.2016 um 23:20 schrieb Rupert Haselbeck:

> So, so. Welchen relevanten Unterschied glaubst du denn da zu verorten?

Es gibt einen ganz anderen Unterschied in diesem Fall und der betrifft
§9 BDSG.

Bernd

 

[Lutz Schulze]

Am Sat, 30 Jul 2016 10:34:56 +0200 schrieb Manuel Reimer:

On 07/29/2016 06:27 PM, Bernd Mayer wrote:
Nachtrag:

"WICHTIG: Bitte ändern Sie Ihr Passwort!"
http://www.pollin.de/shop/cp/bitte_passwort_aendern.html

Oder am besten gleich das Konto löschen lassen.

Die einzigen Ausnahmen bei Webshops, bei denen ich ein Login akzeptiere,
sind Ebay und Amazon. Bei allen anderen hat sich das mit dem Einkaufen
umgehend erledigt, wenn ich genötigt werde, mich irgendwie zu registrieren.

Da werden die sich aber dermassen ärgern ...

Lutz


--
Mit unseren Sensoren ist der Administrator informiert, bevor es Probleme im
Serverraum gibt: preiswerte Monitoring Hard- und Software-kostenloses Plugin
auch für Nagios - Nachricht per e-mail,SMS und SNMP: http://www.messpc.de
Messwerte nachträgliche Wärmedämmung http://www.messpc.de/waermedaemmung.php

 

[Rupert Haselbeck]

Lutz Schulze schrieb:

Am Sat, 30 Jul 2016 10:34:56 +0200 schrieb Manuel Reimer:

On 07/29/2016 06:27 PM, Bernd Mayer wrote:
Nachtrag:

"WICHTIG: Bitte ändern Sie Ihr Passwort!"
http://www.pollin.de/shop/cp/bitte_passwort_aendern.html

Oder am besten gleich das Konto lĂśschen lassen.

Die einzigen Ausnahmen bei Webshops, bei denen ich ein Login akzeptiere,
sind Ebay und Amazon. Bei allen anderen hat sich das mit dem Einkaufen
umgehend erledigt, wenn ich genĂśtigt werde, mich irgendwie zu
registrieren.

Da werden die sich aber dermassen ärgern ...

Nu ja. Es gibt ja auch Leute, die kaufen nicht beim Bauern auf dem
Wochenmarkt ein, weil der ihn evtl. ansehen und womĂśglich wiedererkennen
kĂśnnte...

MfG
Rupert

 

[Bernd Lauert]

On Sat, 30 Jul 2016 10:55:24 +0200, Manuel Reimer wrote:

Man hat, wenn man via PayPal zahlt, bei Pollin keinen Nachteil. Deshalb
habe ich gerade eine Mail an deren Support geschrieben, mit der
Aufforderung, meine Bankdaten umgehend von deren Server zu lĂśschen. Da
die Gefahr wohl bei allen Händlern gleich ist, werde ich wohl bei
Reichelt auch lĂśschen lassen. Ich hoffe einfach das man bei PayPal die
Bankdaten auf Systemen lagert, die nicht unmittelbar vom Internet
erreichbar sind.

Reichelt ist in der Hinsicht vorbildlich, dort liegen die Zahlungsdaten
nicht im Webshop. Da hat zumindest jemand mitgedacht. FrĂźher brauchte man
nicht mal die Kundenadreßdaten selbst dort ablegen, bestellen ging online
mit Name, Kundennummer und PLZ.

 

[Kai-Martin]

Johannes Bauer wrote:

Es wĂźrde mich sehr wundern, wenn die fĂźr Fax-Bestellungen einen
eigenen Prozess hätten. Eher vermute ich, dass ein Mitarbeiter deine
Bestellung ins Webinterface abtippen wird.

Klar.
Die manuelle Zwischenstation schließt allerdings Phishing aus.

Mein Gott freue ich mich darauf, wenn das letzte Fax endlich auf dem
Schrott liegt

Ich bin da neutral. Zum Faxe verschicken brauche ich kein Faxgerät,
nur ein Modem.

und wir eine weitverbreitetes, rechtsverbindliches
System zum elektronischen Datentausch haben. Gäbs ja schon, nutzt
nur fast keiner.

An der Stelle versäumt es die Politik seit mittlerweile zwei
Jahrzehnten ihren Job zu machen. Die notwendige Technik existiert seit
(mindestens) 1991...

---&ltkaimartin(>---

 

[Gerrit Heitsch]

On 07/30/2016 03:19 PM, Kai-Martin wrote:

Johannes Bauer wrote:

Mein Gott freue ich mich darauf, wenn das letzte Fax endlich auf dem
Schrott liegt

Ich bin da neutral. Zum Faxe verschicken brauche ich kein Faxgerät,
nur ein Modem.

Du kannst Faxe immer noch neu kaufen. Sie verstecken sich heutzutage in
diesen Multifunktionsgeräten, z.B. von Brother.

Gerrit

 

[Kai-Martin]

Bernd Laengerich wrote:

Seit wann macht Pollin das? Pollin selber bietet nur Lastschriften
an,

und das gute alte "Rechnung + Überweisung". Auch wenn es nicht
ausdrĂźcklich auf der Homepage steht.

alles andere läuft ßber externe Dienstleister, dabei kommt
Pollins Webshop nicht mit schĂźtzenswerten Kartendaten in BerĂźhrung.

Auch andere Dienstleister haben potentiell SicherheitslĂźcken.
Wenn A eine Zahlung an B vornehmen mĂśchte, gibt es keinen sachlichen
Grund, warum dafür Daten fließen müssen, die über den Betrag und die
Identität von A hinaus gehen.

Public-Key-Verfahren existieren. Und sie existieren schon etwas länger
als dass man sie als potentiell unsichere "Neuheit" abwerten kĂśnnte.

---&ltkaimartin(>---

 

[Manuel Reimer]

On 07/30/2016 11:47 AM, Lutz Schulze wrote:

Die einzigen Ausnahmen bei Webshops, bei denen ich ein Login akzeptiere,
sind Ebay und Amazon. Bei allen anderen hat sich das mit dem Einkaufen
umgehend erledigt, wenn ich genötigt werde, mich irgendwie zu registrieren.

Da werden die sich aber dermassen ärgern ...

Das ist mir schnurzpiep. Ich habe es mittlerweile echt satt für jeden
Sch... immer neue Accounts zu brauchen und "OpenID" und Co. wurden ja
nicht angenommen. Also ständig neue Passwörter. Und natürlich zur
Sicherheit überall ein anderes...

Nein, ich will keinen Passwort-Manager. Für eine einmalige Bestellung
bei einem Mini-Webshop brauche ich keinen Account.

Gruß

Manuel

 

[Bernd Laengerich]

Am 30.07.2016 um 15:26 schrieb Kai-Martin:

> Auch andere Dienstleister haben potentiell SicherheitslĂźcken.

Sicher, aber daß war nicht Thema, sondern der geknackte Shopserver von
Pollin.

Wenn A eine Zahlung an B vornehmen mĂśchte, gibt es keinen sachlichen
Grund, warum dafür Daten fließen müssen, die über den Betrag und die
Identität von A hinaus gehen.

Tun sie in der Regel auch nicht. Oft auch nicht die Identität, das geht
auch Ăźber eine entsprechende Transaktionskennung. Und relevante Daten
mĂźssen und werden erst dann ausgetauscht, wenn z.B. der
Kreditkartenbelastung nachträglich widersprochen wurde.

Bernd