Selbst die legalen Transaktionen ...

... mit Postbank Kreditkarten sehen inzwischen wie Phishing aus ...

Wollte neulich beim Online-Shopping mit meiner Postbank -Kreditkarte (Mastercard) etwas bezahlen - dabei klappt ein Fenster eines Zahlungsdienstleisters auf - und ich soll die Postbank-ID und das Passwort zum Online-Zugang zum mit der Kreditkarte verknüpften Girokonto eingeben.
Während ich mir noch überlege, ob die Eingabe der Daten dort eine gute Idee ist, und vorsichtshalber das SSL-Zertifikat des Pop-Up-Fensters anschauen will, klappt dieses Fenster wieder zu und im Fenster des Shops erscheint "Transaktions-Timeout" ....

Vielen Dank liebe EU-Komission für PSD2 und die Auswüchse, die die Interpretation dieser Richtlinie bei den Zahlungsdienstleistern treibt ...

Ich glaube, ich werde die Postbank-Kreditkarte kündigen ...

Ich kenne die Postbank zwar nicht, aber zumindest bei der ING wo ich eine Visa Karte habe und dann mit der Kreditkarte bezahlt habe, popte ein Fenster auf, das man die Bezahlung am Handy freigeben soll. (also nichts was man dort noch hätte eingeben müssen, wobei man natürlich im Shop die Kreditkartendaten angeben hat). Dann habe ich die App geöffnet dort kam die Frage ob ich die Zahlung genehmigen will, da stand für wen sie ist und auch noch mal die Summe. Nach bestätigen war es innerhalb von ca. 5 Sekunden freigeben. Könnte zwar etwas schneller sein wie die 5 Sekunden, aber so schlecht fand ich das nicht wirklich. Zumal wenn dies irgendwann verpflichtend wird kann man mit reinen Kreditkarten Daten alleine keinen Mist mehr machen

Und wenn das geknackt wurde, musst Du beim Nachfolger PSD3 dann 4 verschiedene Bestätigungen geben, wobei die Geräte aus einer Liste mit einer geheimen mathematischen Operation über Empfänger, Betrag, Mondphase und den Zyklusdaten des Lebenpartners ermittelt werden ...

Und was machen Singles? :D

Auf Einzelschicksale kann keine Rücksicht genommen werden...

Naja bei dem jetzigen System muss man ja nicht so viel knacken, die Informationen stehen alle auf der Karte jemand der auf die Karte schaut kann sich die Zahlen merken, da gab es hier ja sogar schon mal einen Artikel über jemanden der genau das gemacht hat. Das Shops teilweise auch die CV Nummern in Datenbanken speichern macht es nicht besser, dass der Shop es eigentlich nicht dürfte nützt einem als Kunden leider auch nichts.

Persönlich finde ich die Freigabe einer Buchung gar nicht so schlecht. Zumindest bei Visa Secure ist auch die Gefahr von Phishing so nicht gegeben wie ich es kenne. Eine Seite mit dem Logo der Bank welches mich auffordert auf dem Smartphone die App zu starten, da weiß ich nicht mal wie man beim Phishing ansetzen könnte.

Gerade Kreditkartenbetrug ist ja schon länger ein Problem, die Ansetze hier nerven zwar dürften es aber Sicherer machen, gab ja jetzt erst vor kurzem die Meldung das der Schaden durch Skimming auf einem Rekordtief ist durch zusätzliche Sicherungen

Solange in der Smartphone-App alle wichtigen Informationen zu dem, was man da abnicken soll wiederholt werden, ist das ein sehr deutlicher Sicherheitsgewinn. Ein banales "Transaktion bestätigen" ohne Transaktionsdatenzusammenfassung ist genau so sicher, wie ein "Face ID" ohne Ansage des Anlasses ....

Schlimm ist es wenn der Sicherheitsgewinn (der bestimmt nicht zu 100 % Sicherheit führt) dazu führt, mehr Haftung auf den Kunden abzuwälzen, weil man grobe Fahrlässigkeit des Kunden postuliert, wenn dann doch etwas passiert ...

Früher: Risiko, von einem Kreditkartenbetrug betroffen zu sein 0,5 %. Risiko trägt die Bank.
Heute: Risiko, von einem Kreditkartenbetrug betroffen zu sein 0,005 %. Risiko trägt der Kunde.
Das Szenario würde mir nicht gefallen ...

Früher und Heute zahlst DU und sonst keiner den Schaden. Die Bank zahlt nichts, sie sorgt dafür das es umverteilt wird. Nur Früher wurden die Schäden auf alle verteilt, da wurden die welche unvorsichtig waren bevorzugt und die welche sich vorbildlich absichern werden bestraft.

Heute Zahlt jeder für seine eigenen Dummheit. So nervig 2-FA ist, es auszuhebeln setzt eine ganze Menge an Vorarbeit und hohe Naivität eines Benutzers voraus. Und dann soll er auch dafür zahlen und nicht erwarten, das die Banken das weiterhin sozial auf alle Nutzer umlegen.