Wenn man die Protonen und Elektronen und Neutronen von Gold in drei getrennten Autos transportiert, lohnt ein Angriff nicht.
Weil man vielleicht Gammel-Fleisch-Neutronen, CDU-Wahlwerbung-Elektronen und Gold-Protonen klaut. Die dann nicht zusammen passen. (Vereinfacht gesagt).
Wenn man bei einer Email die geraden Buchstaben über gmx versendet und die ungeraden über web.de, kann erst der Empfänger die Email lesen.
Bei nur drei CC-Unternehmen würde ich bei denen ansetzen. Die legen Technik fest und liefern die an die Dienstleister.
Diese wiederum haben nirgendwo die CC-Nummer. Die Transportieren sie nur vom Shop zur CC-Firma und die zur Sparkasse und die Sparkasse unterschreibt dem Dienstleister, das die 123 Euros in Ordnung gehen. Der Dienstleister braucht gar nicht die CC zu behalten oder zu wissen. Ausser bei Durchdrück auf Papier aber das könnte man durch spezielle Lesegeräte mit GSM/UMTS/WLAN/Internet/ISDN/Modem auch regeln. Dann kostet es 10 Cent mehr wegen einer SMS wenn das Strand-Restaurant keine Internet-Flatrate hat.
Im Prinzip könnte man Handies dazu umbauen bzw. Handy+Lesegerät.
Die CC kopieren kann man weiterhin. Aber auch dafür gibts sehr einfache Ideen. Oder wollt ihr, das ihr aus dem Irak Bestellungen nach Osteuropa auf Eure Kosten im Onlineshop getätigt werden ohne das die Bank euch mal Anruft oder eine SMS mit einer Bestätigung schickt ?
Natürlich nur bei neuen Shops wo ihr noch nicht eingekauft habt.
Bei bekannten Shops und gleicher Lieferadresse oder Kunden-Nummer (Freundin bestellt mit CC, hat aber bei Amazon andere Kundennummer aber die Lieferadresse ist gleich), braucht die Sparkasse auch nicht anrufen oder eine TAN per SMS zu senden, die man dann im Onlineshop eingibt.
Die Lösungen sind ultra-einfach.
Weil man nämlich heute per SMS(teuer), Handy(auch teuer), FAX, Email, Skype,... problemlos sofort erreichbar ist. Dann kann man bei neuen CC-Shops/Restaurants/Orten eine Überprüfung starten: "Er hat noch nie in München mit CC bezahlt, weil er in Hamburg wohnt. Wir fragen ihn bzw schicken ihm eine SMS mit TAN die er dem Kellner nennen muss weil der ihn danach fragen muss, weil wir die Rechnung sonst nicht anerkennen und das CC-Auslese-Gerät quengelt bis man die richtige TAN für diese CC eingibt. Man kann zwischendrin anderen Rechnungen bearbeiten oder wenn er sein Handy vergessen hat, macht man mit dem Gerät voll viele Fotos von ihn und veröffentlicht sie im Internet, wenn die Bezahlung vom CC-Inhaber verweigert wurde."
oder halt: "Er ist immer in irgendwelchen Münchener Restaurants, wir fragen ihn nicht sondern schicken nur sofort eine Email mit dem Rechnungsbetrag."
Wenn ich Finanzminister wäre, würde ich jeden Monat eine Million Euro weniger als Verluste absetzbar machen. Und diese Zahlen veröffentlichen.
In anderen Berichten stand was von 155 Mio Euro Schaden aber nicht in welchem Zeitraum oder ob das nur der Schaden durch das Spanien-Leck werden soll.
Siga59875353 schrieb:
--------------------------------------------------------------------------------
> Bei nur drei CC-Unternehmen würde ich bei denen ansetzen. Die legen Technik
> fest und liefern die an die Dienstleister.
Jupp, und die haben eigentlich ziemlich strenge Sicherheitsstandards, die nur irgendwie nicht erfüllt werden.
http://de.wikipedia.org/wiki/PCI_DSS
> Diese wiederum haben nirgendwo die CC-Nummer. Die Transportieren sie nur
> vom Shop zur CC-Firma und die zur Sparkasse und die Sparkasse unterschreibt
> dem Dienstleister, das die 123 Euros in Ordnung gehen. Der Dienstleister
> braucht gar nicht die CC zu behalten oder zu wissen. Ausser bei Durchdrück
> auf Papier aber das könnte man durch spezielle Lesegeräte mit
> GSM/UMTS/WLAN/Internet/ISDN/Modem auch regeln. Dann kostet es 10 Cent mehr
> wegen einer SMS wenn das Strand-Restaurant keine Internet-Flatrate hat.
>
Wenn nicht die CC-Nummer als Merkmal, um vom Laden, über die verschiedenen Rechenzentren die die Buchungen, Autorisierungen usw machen, was dann? Kontonummer? Du brauchst immer ein Merkmal um die Zahlung einer Person zuordnen zu können, die sie begleicht. Und egal welches Merkmal man dann nimmt, das ist dann angreifbar.
Oder stellst du dir das echt so vor, dass jemand in NY im Supermarkt an der Kasse steht und dann das Terminal ne Verbindung zur Sparkasse Buxtehude aufbaut und die dann sagen, ah das ist der Meier, der darf und wir schreiben mal ne Überweisung an den Supermarkt?
Siga59875353 schrieb:
--------------------------------------------------------------------------------
> Wenn man bei einer Email die geraden Buchstaben über gmx versendet und die
> ungeraden über web.de, kann erst der Empfänger die Email lesen.
>
web.de und gmx sind doch beide united internet
NochIrgendwer schrieb:
--------------------------------------------------------------------------------
> Wenn nicht die CC-Nummer als Merkmal, um vom Laden, über die verschiedenen
> Rechenzentren die die Buchungen, Autorisierungen usw machen, was dann?
> Kontonummer? Du brauchst immer ein Merkmal um die Zahlung einer Person
> zuordnen zu können, die sie begleicht. Und egal welches Merkmal man dann
> nimmt, das ist dann angreifbar.
Nein. Weil die Shops schon verschlüsselt die Kommunikation abwickelt. Zu Geräten die beim Dienstleister stehen und ultrahart verschlüsseln und versiegelt sind und mit der Sparkasse oder deren Dienstleister reden. Nur das Lesegerät im Shop (zertifiziert oder was auch immer) kennt die Nummer und vergisst sie dann gleich wieder, weil es eine Quittung vom Dienstleister kriegt, die dann ausgedruckt und archiviert werden kann.
Der Dienstleister unterschreibt dem Shop per digitalem und ultrahart signiertem TCP/UDP-Paket "hey alter, du kriegst die 123 Euro" weil vorher die sparkasse dem dienstleister unterschrieben hat "hey dienstleister, du kriegst die 123 Euro" usw. . Mehr interessiert doch keinen. Dafür braucht man die Nummern nicht speichern. Ach wegen Regress ? Ja. Dafür gibts Pin-Bestätigung um sowas zu verringern. Aber auch dann braucht der Dienstleister das nicht Speichern sondern nur die Token-ID die die Sparkasse zu dieser Transaktion ihm mitteilt. Welche CC dadran hängt, weiss und archiviert die Sparkasse dann ja selber.
Im Prinzip ist der Dienstleister ein "remixer" und die Sparkasse geht im Prinzip auch der Shop nichts an. Aber wegen Quittung usw. sollte visa das dann wissen und SOFORT!!! eine Email lossenden. Als ob Emails 155 Mio Euro kosten würden.
Jeder muss nur das nötigste wissen. Genau das interessiert hier viele nicht. Wozu muss der Callcenter-Verkäufer Deine Telefonnummer und BLZ/Kontonummer und Tonline-Passwort und deine letzten 1000 Anruf-Verbindungs-Hinweise kennen ? Nein. Muss er nicht. Er muss nur deinen Namen und die Optionen kennen. Deine Telefonnummer braucht er schon nicht mehr (das call-gerät im call-center weiss die nummer aber das braucht es dem Verkäufer nicht anzeigen). Nur Deinen aktuellen Tarif und Empfehlungen (die T-Com erzeugt hat und nicht aus deinen verbinduungsnachweisen vom Callcenter erzeugt werden) was sinnvoll wäre.
Um vorzulesen "Aufgrund ihres Datenvolumens wäre ein kleinerer Tarif sinnvoll". Und für "VDSL ist bei ihnen möglich, sind sie an T-Entertainment mit IPTV interessiert oder nur an VDSL ?" braucht er Deine PLZ/Adresse nicht. Die T-Com weiss, das VDSL geht und teilt ihm das mit. Und keine Info mehr als nötig.
> Oder stellst du dir das echt so vor, dass jemand in NY im Supermarkt an der
> Kasse steht und dann das Terminal ne Verbindung zur Sparkasse Buxtehude
> aufbaut und die dann sagen, ah das ist der Meier, der darf und wir
> schreiben mal ne Überweisung an den Supermarkt?
Wieso nicht ?
Papier-Durchdrücken gibts angeblich kaum noch.
Also ist es wohl elektronisch und mit ein paar UDP-Paketen in Sekundenbruchteilen erledigt.
Allerdings contacet das Terminal nur den Dienstleister der topologisch in der Nähe ist. Und der hat eine ultraharte hundertfach abgesicherte und tausendfach redundante Leitung zu VISA.COM oder sonstwo. Und VISA.COM hat eine tausendfach redundante ultraharte Leitung zur Sparkasse usw.
Weisst Du wo der Break Even für die "Investitionen" (bei mir wäre das billiger als alles andere weil das schon mit alten handies ginge) liegt? Bei 154 Mio Euro. Dafür kriegt accenture das sicher hin.
Denn die Kosten durch Diebstahl sind aktuell 155 Mio Euro.
Als Paypal-Händler wärst Du sofort dafür.
Denn Paypal nutzt böse User als Grund, um Händler nicht auszuzahlen. Also sollte man die bösen User verringern was teilweise durch CC-Kontrolle ginge. Oder die böse Usage...
Die Simpelheit der Lösungen ist erschreckend.
Und 155 Mio Euro (und zilliarden Yuan und Yen usw. und Dollar) sollten Motivation genug sein.
Kommentare: 222 | letzter Beitrag 26.05. 23:51
Kommentare: 163 | letzter Beitrag 11:57 Uhr
Kommentare: 94 | letzter Beitrag 26.05. 19:45
Kommentare: 66 | letzter Beitrag 08:55 Uhr
Kommentare: 64 | letzter Beitrag 26.05. 17:51
E-Mail an news@golem.de
Der japanische Spieldesigner Goichi Suda - Fans sagen schlicht "Suda 51" - ist für schräge Actionspiele bekannt. Sein nächstes Werk schickt ein scheinbar braves Schulmädchen in den Kampf gegen Zombies.
Weitgehend unbemerkt hat der US-Händler Tigerdirect die ersten Chromebox-Systeme von Google ausgeliefert. Für 330 US-Dollar bekommt der Nutzer recht gute Hardware in Nettop-Form, die sehr viel leistungsfähiger ist als die des Chromebook mit ChromeOS.
Nach der Urteilsverkündung im Rechtsstreit zwischen Youtube und Gema fühlten sich beide Seiten als Gewinner. In Wahrheit gibt es aber nur einen Verlierer, bloggt Medienrechtsexperte Thomas Hoeren: die Gema.
RIM soll in den kommenden Tagen erneut einen massiven Stellenabbau ankündigen. "Ich habe herausgefunden, welche Teile ich in meinem Puzzle nicht mehr benötige", sagte Firmenchef Thorsten Heins.
Ein britisches Blog will erfahren haben, dass Facebook den norwegischen Browserhersteller Opera Software kaufen will. Beide Unternehmen wollen sich dazu nicht äußern.
Am 26. Mai 2012 treten neue Datenschutzregeln der EU in Kraft. Websitebetreiber und Werbenetzwerke müssen Nutzer um Erlaubnis fragen, wenn sie Cookies setzen.