Phishing bei Pollin

[Marc Haber]

Bernd Lauert <m8r-9vv4fj@mailinator.com> wrote:

Für den entstandenen Aufwand durch Datenmißbrauch (z. B. unberechtigte
Konto-Abbuchungen, RĂźckbuchungen, Inkasso-Mahnungen, Kreditscore-
Beschädigung) kÜnnen die Betroffenen sich natßrlich natßrlich finanziell
an ihm schadlos halten. Wenn's dumm läuft ist, ist er dadurch bald
insolvent.

Lall. Der Nachweis dĂźrfte schwierig zu fĂźhren sein.
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

 

[Bernd Lauert]

On Sat, 30 Jul 2016 23:50:06 +0200, Marc Haber wrote:

Bernd Lauert <m8r-9vv4fj@mailinator.com> wrote:
Für den entstandenen Aufwand durch Datenmißbrauch (z. B. unberechtigte
Konto-Abbuchungen, RĂźckbuchungen, Inkasso-Mahnungen, Kreditscore-
Beschädigung) kÜnnen die Betroffenen sich natßrlich natßrlich finanziell
an ihm schadlos halten. Wenn's dumm läuft ist, ist er dadurch bald
insolvent.

Lall. Der Nachweis dĂźrfte schwierig zu fĂźhren sein.

Das o. g. läßt sich leicht nachweisen.

 

[horst-d.winzler]

Am 30.07.2016 um 15:19 schrieb Kai-Martin:

Johannes Bauer wrote:

Es wĂźrde mich sehr wundern, wenn die fĂźr Fax-Bestellungen einen
eigenen Prozess hätten. Eher vermute ich, dass ein Mitarbeiter deine
Bestellung ins Webinterface abtippen wird.

Klar.
Die manuelle Zwischenstation schließt allerdings Phishing aus.


Mein Gott freue ich mich darauf, wenn das letzte Fax endlich auf dem
Schrott liegt

Ja, das papierlose BĂźro wurde schon vor langer Zeit angekĂźndigt. Wie war
doch noch gleich der Papierverbrauch in den BĂźros?

Ich bin da neutral. Zum Faxe verschicken brauche ich kein Faxgerät,
nur ein Modem.

Vergiß den Scanner nicht.

und wir eine weitverbreitetes, rechtsverbindliches
System zum elektronischen Datentausch haben. Gäbs ja schon, nutzt
nur fast keiner.

An der Stelle versäumt es die Politik seit mittlerweile zwei
Jahrzehnten ihren Job zu machen. Die notwendige Technik existiert seit
(mindestens) 1991...

Ich lästere zwar gern ßber die Politiker (oft zu Recht) aber auch die
Anbieter sicherer Technik beklecker sich auch nicht gerade mit Ruhm.
Vermutlich ist fĂźr viele der "Schwebungszustand" zu lukrativ als das
tragfähige Entscheidungen getroffen werden. Auch so kÜnnen
Volkswirtschaften in ihrer Entwicklung gehemmt werden.
Nur, was wird mit den Leuten gemacht, die durch neue, oft intelligentere
Technik, ihren Arbeitsplatz verlieren?
Das es keine Arbeit gäbe, ist eine Mär. Die Bundeskanzlerin hat ja
gerade mittels der Willkommenskultur fßr mehr Beschäftigung gesorgt.
--
---hdw---

 

[Frank MĂźller]

horst-d.winzler schrieb:

Nur, was wird mit den Leuten gemacht, die durch neue, oft intelligentere
Technik, ihren Arbeitsplatz verlieren?

Die werden von der Arbeitsagentur umgeschult.
Altenpfleger werden im Moment gesucht...

Frank

 

[Nomen Nescio]

Marc Haber wrote:

Bernd Lauert <m8r-9vv4fj@mailinator.com> wrote:
Das o. g. lässt sich leicht nachweisen.

Das sehe ich entschieden anders.

Der Bernd wird dir sicherlich erklären, wie man gerichtsfest und unwiderlegbar nachweisen kann dass eine unberechtigte
Lastschrift aufgrund des Pollin Hacks zustande gekommen ist. Das ist bestimmt wieder die von ihr so toll gefundene,
aber nie verstandene asymmetrische Verschlüsselung im Spiel. *eg*

 

[horst-d.winzler]

Am 31.07.2016 um 10:16 schrieb Frank MĂźller:

horst-d.winzler schrieb:

Nur, was wird mit den Leuten gemacht, die durch neue, oft
intelligentere Technik, ihren Arbeitsplatz verlieren?

Die werden von der Arbeitsagentur umgeschult. Altenpfleger werden im
Moment gesucht...

Da kommt mir spontan der Gedanke, die Bundestagsabgeordneten zu
Altenpfleger umschulen. Denn pro Fraktion 2 Abgeordnet reichen vĂśllig
aus. Denn viel mehr sind Merkelzeit ohnehin nicht nĂśtig ;-)

--
---hdw---

 

[Dieter Wiedmann]

Am 31.07.2016 10:16, schrieb Frank MĂźller:

horst-d.winzler schrieb:

Nur, was wird mit den Leuten gemacht, die durch neue, oft
intelligentere Technik, ihren Arbeitsplatz verlieren?

Die werden von der Arbeitsagentur umgeschult. Altenpfleger werden im
Moment gesucht...

Selbstpflege also.



CNR, Dieter

 

[Marc Haber]

Bernd Lauert <m8r-9vv4fj@mailinator.com> wrote:

On Sat, 30 Jul 2016 23:50:06 +0200, Marc Haber wrote:
Bernd Lauert <m8r-9vv4fj@mailinator.com> wrote:
Für den entstandenen Aufwand durch Datenmißbrauch (z. B. unberechtigte
Konto-Abbuchungen, RĂźckbuchungen, Inkasso-Mahnungen, Kreditscore-
Beschädigung) kÜnnen die Betroffenen sich natßrlich natßrlich finanziell
an ihm schadlos halten. Wenn's dumm läuft ist, ist er dadurch bald
insolvent.

Lall. Der Nachweis dĂźrfte schwierig zu fĂźhren sein.

Das o. g. läßt sich leicht nachweisen.

Das sehe ich entschieden anders.

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

 

[Nomen Nescio]

Bernd Lauert:

Selbst PayPal speichert die Bankverbindungen nicht im
Klartext auf ihrem Webserver, obwohl sie ein Zahlungsdienstleister sind.

Und woher nimmst du diese Information?

Übrigens speichern sowohl meine Bank, als auch mein Kreditkartenherausgeber meine Kontonummer bzw meine
Kreditkartennummer auf ihrem Webserver. Weil ich sie "dort Klartext einsehen" (sic!) kann. Alles unsichere Buden?

 

[Rupert Haselbeck]

Marc Haber schrieb:

Bernd Lauert wrote:
Marc Haber wrote:
Bernd Lauert wrote:
Für den entstandenen Aufwand durch Datenmißbrauch (z. B. unberechtigte
Konto-Abbuchungen, RĂźckbuchungen, Inkasso-Mahnungen, Kreditscore-
Beschädigung) kÜnnen die Betroffenen sich natßrlich natßrlich finanziell
an ihm schadlos halten. Wenn's dumm läuft ist, ist er dadurch bald
insolvent.

Lall. Der Nachweis dĂźrfte schwierig zu fĂźhren sein.

Das o. g. läßt sich leicht nachweisen.

Das sehe ich entschieden anders.

Da Bernd auch hier mal wieder ausgesprochenen BlÜdsinn ablässt, sieht das
wohl jeder ausser Bernd entschieden anders.

MfG
Rupert

 

[Axel Schwenke]

On 29.07.2016 19:15, Bernd Lauert wrote:

Du kapierst das Problem nicht. Bei Herrn Pollin wurden komplette
Postanschriften, Packstationsanschriften, Geburtsdaten und zugehĂśrige
Bankverbindungen (!) im Klartext rausgetragen

So weit korrekt.

weil sie auf dem Onlineshop-
Server unverschlĂźsselt abgelegt waren und womĂśglich noch sind.

Woher beziehst du diese Weisheit? MĂśglicherweise sind diese Daten ja
verschlĂźsselt _gespeichert_. BlĂśderweise braucht Pollin die Daten bei einer
Bestellung unverschlüsselt. Also muß da irgendwo auch der Schlüssel für die
Daten liegen. Wenn die Hacker aber Komplettzugriff auf den Server hatten,
dann haben sie am Ende so oder so Klartext.

Und nein, dagegen gibt es genau gar keinen Schutz. Auch das Ăźbliche
Paßwort-Hashing ist viel weniger wert als allgemein angenommen.
Crackprogramme dafĂźr laufen massiv parallel auf GPU-Kernen. Und da wir davon
ausgehen können, daß 80% der Nutzer schwache Paßwörter verwenden, werden
eben jene 80% der Accounts frßher oder später offen sein.

Natürlich ist es ärgerlich, daß Pollin's Server gehackt werden konnten. Aber
das passiert auch anderen, viel größeren Unternehmen. Und an der Reaktion
seitens Pollin finde ich nichts auszusetzen. Sie haben zur
Schadensbegrenzung alle Paßworte zurückgesetzt und ihre Kunden informiert.
Das ist mehr als viele andere in der Situation gemacht hätten.


XL

 

[Bernd Lauert]

On Sun, 31 Jul 2016 15:36:12 +0200, Axel Schwenke wrote:

On 29.07.2016 19:15, Bernd Lauert wrote:
Du kapierst das Problem nicht. Bei Herrn Pollin wurden komplette
Postanschriften, Packstationsanschriften, Geburtsdaten und zugehĂśrige
Bankverbindungen (!) im Klartext rausgetragen

So weit korrekt.

weil sie auf dem Onlineshop-
Server unverschlĂźsselt abgelegt waren und womĂśglich noch sind.

Woher beziehst du diese Weisheit?

Weil man die Zahlungsdaten dort Klartext einsehen kann.

MĂśglicherweise sind diese Daten ja
verschlĂźsselt _gespeichert_. BlĂśderweise braucht Pollin die Daten bei
einer Bestellung unverschlĂźsselt.

Aber nicht auf dem Webserver, sondern nur in der Buchhaltung. So wie die
PCI-Richtlinien der Kreditkartenunternehmen das nicht ohne Grund
vorschreiben. Selbst PayPal speichert die Bankverbindungen nicht im
Klartext auf ihrem Webserver, obwohl sie ein Zahlungsdienstleister sind.

> Und nein, dagegen gibt es genau gar keinen Schutz.

Falsch.

> [restliches unqualifziertes Geschreibsel gelĂśscht]

 

[Rolf Bombach]

Johannes Bauer schrieb:

Es wĂźrde mich sehr wundern, wenn die fĂźr Fax-Bestellungen einen eigenen
Prozess hätten. Eher vermute ich, dass ein Mitarbeiter deine Bestellung
ins Webinterface abtippen wird.

Was den Prozess auch nicht verbilligt. Aber die Kosten werden ja auf
alle ßberwälzt, daher merkt man es nicht. Oder so ähnlich. Kundenlogik
ist nicht notwendigerweise schlauer als diejenige der Shops.

Was macht der Clown im BĂźro? ...

Mein Gott freue ich mich darauf, wenn das letzte Fax endlich auf dem
Schrott liegt und wir eine weitverbreitetes, rechtsverbindliches System
zum elektronischen Datentausch haben. Gäbs ja schon, nutzt nur fast keiner.

Industrie 4.0 meets bureau 0.9

--
mfg Rolf Bombach

 

[Matthias Weingart]

Bernd Lauert <m8r-9vv4fj@mailinator.com>:

On Fri, 29 Jul 2016 20:43:33 +0200, Hanno Foest wrote:

Am 29.07.2016 um 20:31 schrieb Bernd Lauert:

Kreditkartenunternehmen haben nicht umsonst entsprechend strenge PCI-
Richtlinien, wenn man Zahlungen Ăźber sie abwickeln will.

Allerdings sind Kreditkartennummern was anderes als
Bankverbindungsdaten. Letztere stehen beispielsweise standardmäßig
auf den meisten Geschäftsbriefvordrucken, erstere nicht.

Sie sind bei Privatleuten ein Token um Lastschriftzahlungen abzuwickeln.

Die Mißbrauchsprävention ist bei Kreditkarten inzwischen übrigens
deutlich besser bis hin zu automatischer Erkennung und Abweisung
mißbräuchlicher Transaktionen. Die Arbeit mit den unberechtigten
SEPA-Belastungen bleibt hingegen beim Opfer selbst hängen.

Was sich darauf beschränkt, dass das Opfer die unberechtigte LS einfach
zurückgehen lässt. Das muss das Opfer nichts erklären. Wo ist da das Problem?
(Das besteht darin, dass das Opfer regelmässig seinen Ktoauszug auf
unberechtigte Buchungen überpürfen muss). Bei geklauter (oder erratener) Pin
sieht das schon anders aus.

M.
--

 

[Johannes Bauer]

On 31.07.2016 15:36, Axel Schwenke wrote:

Und nein, dagegen gibt es genau gar keinen Schutz. Auch das Ăźbliche
Paßwort-Hashing ist viel weniger wert als allgemein angenommen.
Crackprogramme dafĂźr laufen massiv parallel auf GPU-Kernen. Und da wir davon
ausgehen können, daß 80% der Nutzer schwache Paßwörter verwenden, werden
eben jene 80% der Accounts frßher oder später offen sein.

Richtig gemacht bietet Passwort-Hashing durchaus ein sehr hohes
Sicherheitsniveau. Das Problem ist, dass viele Leute Ăźberhaupt kein
GefĂźhl dafĂźr haben, was sie gerade machen. Und dann durch viele
"PHP-Kryptografen" eben so Konstruktionen wie ungesalzener MD5(x) oder
MD5(SHA1(x)) herauskommt. Murks eben.

Gegen einen korrekt parametrierten PBKDF2 mit HMAC-SHA256, gutem Salt
(Typ 4 UUID z.B.) und hohem Iteration Count (25-100k) hast du aber auch
mit einem GPU-Cluster sehr schlechte Karten. Bei einer Memory-harten KDF
sogar auf GPUs sogar noch schlechtere (z.B. scrypt).

Viele Grüße,
Johannes

--

Wo hattest Du das Beben nochmal GENAU vorhergesagt?
Zumindest nicht Ăśffentlich!

Ah, der neueste und bis heute genialste Streich unsere großen
Kosmologen: Die Geheim-Vorhersage.
- Karl Kaos Ăźber RĂźdiger Thomas in dsa <hidbv3$om2$1@speranza.aioe.org>

 

[Matthias Weingart]

Marc Haber <mh+usenetspam1118@zugschl.us>:

Bernd Lauert <m8r-9vv4fj@mailinator.com> wrote:
Für den entstandenen Aufwand durch Datenmißbrauch (z. B. unberechtigte
Konto-Abbuchungen, RĂźckbuchungen, Inkasso-Mahnungen, Kreditscore-
Beschädigung) kÜnnen die Betroffenen sich natßrlich natßrlich
finanziell an ihm schadlos halten. Wenn's dumm läuft ist, ist er
dadurch bald insolvent.

Lall. Der Nachweis dĂźrfte schwierig zu fĂźhren sein.

Mhh ich hab tatsächlich ne Lastschrift von der dubiosen Cyberport gehabt. Für
mich ja kein Problem, ich lass die einfach zurückgehen...

M.
--

 

[Holm Tiffe]

On 29.07.2016 22:35, Bernd Lauert wrote:

On Fri, 29 Jul 2016 21:19:02 +0200, Frank MĂźller wrote:

Bernd Lauert schrieb:

Bankverbindungen unverschlĂźsselt im Online-Shop speichern ist schon
grob fahrlässig. Herr Pollin darf sich auf Schadenersatzforderungen
einstellen.

Warum? Jeder kleine Handwerksbetrieb druckt seine Bankverbindung auf
sein Firmenpapier.

Ganz einfach weil es einen rechtlichen Unterschied gibt zwischen
"Datenbank auf einem Webserver" und "Drucken auf eigenes Geschäftspapier".

Kokolores.

Gruß,

holm

 

[Holm Tiffe]

On 30.07.2016 12:28, Bernd Lauert wrote:

On Sat, 30 Jul 2016 10:55:24 +0200, Manuel Reimer wrote:

Man hat, wenn man via PayPal zahlt, bei Pollin keinen Nachteil. Deshalb
habe ich gerade eine Mail an deren Support geschrieben, mit der
Aufforderung, meine Bankdaten umgehend von deren Server zu lĂśschen. Da
die Gefahr wohl bei allen Händlern gleich ist, werde ich wohl bei
Reichelt auch lĂśschen lassen. Ich hoffe einfach das man bei PayPal die
Bankdaten auf Systemen lagert, die nicht unmittelbar vom Internet
erreichbar sind.

Reichelt ist in der Hinsicht vorbildlich, dort liegen die Zahlungsdaten
nicht im Webshop. Da hat zumindest jemand mitgedacht. FrĂźher brauchte man
nicht mal die Kundenadreßdaten selbst dort ablegen, bestellen ging online
mit Name, Kundennummer und PLZ.

Ich hab so das GefĂźhl das Ihr noch nicht ernsthaft mit solchen
Anwendungen zu tun hattet?

Die Daten liegen i.A. in einer Datenbank, das der Datenbankserver auf
der selben Maschine läuft ist schon ein Sonderfall der durch
Billighoster benutzt wird, sonst liegt nämlich die Datenbank schon aus
Performance GrĂźnden wo anders.

Alledings muß auch der Webshop in der Lage sein die Kontodaten in die
Datenbank einzutragen, die Verbindung besteht also doch und in der
Konfiguration des Webshops sind zwangsläufig die Zugangsdaten zu finden.
Wenn man also die WebmĂźhle Ăźbernommen hat, kommt man auch an die
Datenbank..immer.

Gruß,

Holm

 

[Rupert Haselbeck]

Matthias Weingart schrieb:

Was sich darauf beschr�nkt, dass das Opfer die unberechtigte LS einfach
zur�ckgehen l�sst. Das muss das Opfer nichts erkl�ren.

ACK

Wo ist da das
Problem? (Das besteht darin, dass das Opfer regelm�ssig seinen Ktoauszug
auf unberechtigte Buchungen �berp�rfen muss).

Dazu ist der Inhaber eines Bankkontos ohnehin verpflichtet. Das ergibt sich
schon aus den Ăźblichen Bank-AGB.

Bei geklauter (oder
erratener) Pin sieht das schon anders aus.

Welche PIN?

MfG
Rupert

 

[Hergen Lehmann]

Am 01.08.2016 um 14:38 schrieb Holm Tiffe:

Wenn man also die WebmĂźhle Ăźbernommen hat, kommt man auch an die
Datenbank..immer.

Unfug. Der Denkfehler liegt schon beim WĂśrtchen "die". Eine vernĂźnftige
Sicherheitsarchitektur wird mindestens zwei Datenbankserver haben: einen
in der DMZ fĂźr das Webgeraffel und einen jenseits einer (restriktiv
konfigurierten) Firewall fĂźr die interne Buchhaltung.

Hergen