Google-Pay-Wallet-Betrugsversuch über Barclays-Kreditkarte / Aufklärung der technischen Hintergründe

[dbln]

ANZEIGE

Hallo an alle Kreditkarten-Spezialisten,
ich hatte kürzlich ein sehr seltsames Erlebnis mit Google-Pay in Sachen Betrugsversuch. Da auch die kartenausgebende Bank keine große Hilfe war und mir nur eine neue Kreditkarte erstellt hat, ansonsten hinsichtlich der technischen Hintergründe entweder nicht interessiert oder qualifiziert hinsichtlich konkreter Aussagen war, stelle ich Euch mal meinen Fall vor.

Ausgangslage:
- Ein Handy (Xiaomi Redmi Note 10 Pro) auf dem meine Wallet installiert ist, sonst keine Geräte
- vier Kredit-/Debitkarten in Wallet hinterlegt
- eingestellte Standardkarte: Debitkarte von Comdirect
- betroffene Karte: Kreditkarte von Barclays (in Barclays-App stets temporär gesperrt)

Der Fall:
Ich saß zuhause am Rechner, mein Handy lag auf Stumm geschaltet unbenutzt neben mir. Als ich das Handy in die Hand nahm, bemerkte ich, dass seit 10 Minuten eine Nachricht der Google-Wallet-App vorliegt. Eine Zahlung sei abgelehnt worden. Betreffende Karte ist die (temporär gesperrte) Barclaycard, die auch nicht die in der Wallet eingerichtete Standardkarte ist. Betrag: 0,30 AED (umgerechnet 8 Eurocent), Abbuchungsversuch über "SPEED LINK EVENTS ORG" (hierzu lässt sich nicht wirklich was finden). In der App von Barclays ist dieser Abbuchungsversuch nicht zu sehen, es erfolgte auch seitens Barclays keine anderweitige Benachrichtigung.

Ich rief die Sicherheitsabteilung von Barclays an, die kennen die Transaktion. Man will mir weiß machen, es sei von meiner Wallet auf meinem (unbenutzten) Handy ausgegangen, die Karte sei auch nur in dieser einen Wallet hinterlegt. Man habe keine Erklärung dafür, wie es ansonsten passiert sein kann. Meine geäußerte Vermutung, die Pseudo-Kartendaten aus der App für diese Karte seien z.B. bei einer legitimen Transaktion abgegriffen worden und für den Abbuchungsversuch genutzt worden, schloss der Mitarbeiter ("Geht nicht") aus. Die Karte wurde über die Wallet letztmals vor 2 Wochen genutzt, oftmals in Thailand bei seriösen Händlern und auf der Rückreise letztmals in Istanbul in einem Getränkeshop im Flughafen. Ich bin keine technisch unbedarfte Person, mein Handy ist hinsichtlich aller Apps aktuell und ich denke nicht, dass es kompromittiert ist (Virenscan ohne Befund, sonst keine Auffälligkeiten). Barclays erstellte mir eine neue Karte, damit war die Sache für die Bank erledigt - für mich eine unbefriedigende Sache, denn ich will wissen, was da los war/ist.

Frage:
Hat jemand Ahnung, die das technisch sein kann, dass scheinbar meine Wallet ohne mein Zutun (z.B. Scan des Fingerabdruckes) für diesen Betrugsversuch genutzt wurde?

 

[eham]

Hallo an alle Kreditkarten-Spezialisten,
ich hatte kürzlich ein sehr seltsames Erlebnis mit Google-Pay in Sachen Betrugsversuch. [...]

Meine ersten Gedanken:

• Kopieren der Kartendaten sollte durch Tokenization ausgeschlossen sein
• Grundsätzlich sind die Karten aus deinem Google Wallet ja in deinem Google-Account hinterlegt. Könnte es sein, dass über deinen Google Account z.B. online damit bezahlt wurde?

Prüfe bitte deinen Google Account mal auf Auffälligkeiten und ändere das Passwort auf allen Geräten. Ggf. hat jemand ein Login-Token von Google abgegriffen.

 

[dbln]

Das Google-Konto, welches ich für die Wallet verwende, ist ein Extrakonto, welches ich nur für Google-Pay verwende. Hatte ich damals aus Sicherheitsgründen so gemacht, da ich das Zahlungsprofil von sonstigen Anwendungsszenarien trennen wollte.

Im Konto sind laut Google in den letzten 28 Tagen keine sicherheitsrelevanten Ereignisse geschehen und auch keine unbekannten Geräte in der Übersicht, das habe ich gerade gecheckt.

 

[Hotel]

Frage:
Hat jemand Ahnung, die das technisch sein kann, dass scheinbar meine Wallet ohne mein Zutun (z.B. Scan des Fingerabdruckes) für diesen Betrugsversuch genutzt wurde?

Unsichere Hardware wegen veraltetem Betriebssystem (welches nutzt Du?) ?
Smartphone gerootet?

Die Barclays-Bank hat Dir doch indirekt bestätigt, dass ein Bot auf Deinem Smartphone die Zahlung ausgelöst hat.

Für Banking-Anwendungen ist ein aktuelles Betriebssystem Pflicht.

 

[dbln]

Die Barclays-Bank hat Dir doch indirekt bestätigt, dass ein Bot auf Deinem Smartphone die Zahlung ausgelöst hat.

Sorry, aber wo liest Du das? Die Bank hat mir überhaupt nichts (indirekt) gesagt. Der Mitarbeiter wollte den Fall schnell vom Tisch haben (Zeitdruck im Callcenter) und war an einer näheren technischen Aufklärung nicht wirklich interessiert. Zumal Du mit Deiner Aussage ja sagen willst, dass die Sicherheitsmechanismen der Google-Wallet-App (hier z.B. der Fingerabdruck bei Nicht-NFC-Zahlungen) ohne Weiteres "von einem Bot" deaktiviert werden können? Sorry, also das ist mir nen Ticken zu platt.

Nochwas: Drei verschiedene Viren-/Malware-Scanner hab ich übers Smartphone laufen lassen: Kein Befund.

 

[Hotel]

Nochmal:

Welche Android-Version nutzt Du? Und hoffentlich ein Android vom Gerätehersteller…

Ist Dein Smartphone gerootet?

 

[dbln]

Welche vom Hersteller freigegebene Android-Version nutzt Du?

Ist Dein Smartphone geroutet?

MIUI Version: 14.0.9 Global
Androidversion: 13 TKQ1.221013.002
NICHT geroutet, KEINE Hersteller-Updates ausgelassen

 

[bytegetter]

Ausgangslage:
- Ein Handy (Xiaomi Redmi Note 10 Pro) auf dem meine Wallet installiert ist, sonst keine Geräte

Eins von denen?

Trojaner auf Xiaomi-Smartphones: So wird man ihn los - CURVED.de

Achtung: Einige importierte Xiaomi-Smartphones sind mit einem Trojaner verseucht. Wir sagen Euch, welche betroffen sind und was Ihr dagegen tun könnt.

curved.de

 

[Hotel]

MIUI Version: 14.0.9 Global
Androidversion: 13 TKQ1.221013.002
NICHT geroutet, KEINE Hersteller-Updates ausgelassen

Offiziellen Software-Support gibt es für Deine Hardware scheinbar vom Hersteller gar nicht mehr (https://www.gizmochina.com/2024/03/28/should-you-upgrade-your-redmi-note-10-pro/)…

Es gibt möglicherweise noch nicht einmal offizielle deutschsprachige Firmware von Mi für Deine Hardware…

Wie kritisch das ist, vermag ich nicht zu bewerten.

 

[eham]

Das Google-Konto, welches ich für die Wallet verwende, ist ein Extrakonto, welches ich nur für Google-Pay verwende.

Das verhindert nicht, dass von deinem Gerät (oder im Web) jemand ein Zugriffstoken auf den Google Account abgreifen könnte.

Schick mal bitte nen Screenshot der abgelehnten Zahlung.

 

[dbln]

Eins von denen?

Trojaner auf Xiaomi-Smartphones: So wird man ihn los - CURVED.de

Achtung: Einige importierte Xiaomi-Smartphones sind mit einem Trojaner verseucht. Wir sagen Euch, welche betroffen sind und was Ihr dagegen tun könnt.

curved.de

Nein, mein Gerät ist nicht betroffen.

Das verhindert nicht, dass von deinem Gerät (oder im Web) jemand ein Zugriffstoken auf den Google Account abgreifen könnte.

Schick mal bitte nen Screenshot der abgelehnten Zahlung.

Gern

 

[bytegetter]

Typisch Anfix-Transaktion zur Gültigkeitsprüfung, danach kommen normalerweise die "richtigen" Transaktionen.

 

[RayJo]

Die Karte wurde über die Wallet letztmals vor 2 Wochen genutzt, oftmals in Thailand bei seriösen Händlern und auf der Rückreise letztmals in Istanbul in einem Getränkeshop im Flughafen

Würde dort die Ursache sehen. Erklärung habe ich aber auch keine.

 

[Hotel]

Das Xiaomi Redmi Note 10 Pro hier nutzt kein aktuelles Android, und der Software-Support des Herstellers ist abgelaufen.
Außerdem hat ein Xiaomi Redmi Note 10 Pro grundsätzlich keine vom Hersteller gelieferte deutsche Firmware. Die Firmware kommt von einem Drittanbieter.

Wie seht Ihr Risiken bei der Nutzung solcher Smartphones mit nicht aktueller bzw. nicht vom Hersteller gelieferter Software? Kann man darauf problemlos Banking-Anwendungen laufen lassen?

Bei uns in der Firma wird Hardware ohne offiziellen Software-Support grundsätzlich aussortiert, um jedes Risiko zu minimieren.

 

[Porti]

Wichtige Handys, u.a. für Banking / Payment, betreibe ich grundsätzlich mit Telekom-SIM und VPN auf Systemebene, auch im Ausland. Hotel-WLAN, Billig-Welt-SIM etc. sind hierfür tabu. Zahle dann auch eher mit Karte, als mit dem Handy.

Oft, wenn Freunde in Asien sind und schöne Bilder im Status teilen, bekomme ich zeitgleich und danach Nachrichten von Mädchen aus eben diesem Land, die eine starke Schulter suchen. An Zufall glaube ich hierbei nicht.

 

[eham]

Nein, mein Gerät ist nicht betroffen.


Gern

Danke für den Screenshot. Google Pay generiert eine virtuelle Kartennummer (D-PAN) für deine Karte. Die letzten 4 Stellen werden in der Zahlung angezeigt, bei dir xx22.
@dbln : Schau mal bitte, ob das die gleichen Ziffern sind, die bei den letzten Einsätzen der Barclayscard über Google Pay (z.B. Istanbul) sind!?

 

[tmmd]

Hast du die Barclay Card irgendwo online hinterlegt in Onlinehsops, für irgendwelche Abos o.ä.?

 

[Hotel]

Wichtige Handys, u.a. für Banking / Payment, betreibe ich grundsätzlich mit Telekom-SIM und VPN auf Systemebene, auch im Ausland. Hotel-WLAN, Billig-Welt-SIM etc. sind hierfür tabu. Zahle dann auch eher mit Karte, als mit dem Handy.

Ich ebenso. Telekom-SIM, ggf. Option gebucht (für zusätzliche 50€ im Monat habe ich gerade außerhalb der EU monatlich meine 80 GB EU-Traffic und meine EU-Telefonie). VPN zur FritzBox in DE.

Fremdes WLAN ohne VPN geht gar nicht. Abgesehen davon gehe ich nie in fremde WLANs, weil ich genug mobilen Traffic nutzen kann (DE flat, andere Länder 80GB/ Monat).

Das ganze mit iPhone/ Laptop mit aktueller Software.

Da ist aus meiner Sicht einiges abgedichtet.

 

[ThoPBe]

Das Google-Konto, welches ich für die Wallet verwende, ist ein Extrakonto, welches ich nur für Google-Pay verwende. Hatte ich damals aus Sicherheitsgründen so gemacht, da ich das Zahlungsprofil von sonstigen Anwendungsszenarien trennen wollte.

Im Konto sind laut Google in den letzten 28 Tagen keine sicherheitsrelevanten Ereignisse geschehen und auch keine unbekannten Geräte in der Übersicht, das habe ich gerade gecheckt.

Wie? Zwei verschiedene Google-Konten auf einem Android-Gerät?

Beitrag automatisch zusammengeführt: 01.12.2024

Typisch Anfix-Transaktion zur Gültigkeitsprüfung, danach kommen normalerweise die "richtigen" Transaktionen.

Dem TE geht es darum, warum und wie die Barclays genutzt werden konnte/wurde, obwohl eine andere Karte als Standard hinterlegt war. Zumal die nicht Google die Abbuchung verhindert hat, sondern die temporäre Sperre von BC.

Der Fehler liegt NICHT auf der BC-Seite. Sondern dort, wo Google Wallet und BC gemeinsam aufgetaucht und genutzt wurden.

 

[kmak]

Wenn man die virtuelle Kartennummer aus GP ausliest und diese dann (Online oder als Magnetstreifen-Zahlung) verwendet - was passiert dann?

Ich erwarte das sie in jedem Fall abgelehnt wird. Aber bekommt man so eine Meldung wie der Fragesteller?

 

[dbln]

Danke für den Screenshot. Google Pay generiert eine virtuelle Kartennummer (D-PAN) für deine Karte. Die letzten 4 Stellen werden in der Zahlung angezeigt, bei dir xx22.
@dbln : Schau mal bitte, ob das die gleichen Ziffern sind, die bei den letzten Einsätzen der Barclayscard über Google Pay (z.B. Istanbul) sind!?

Die xx22 ist die Endung der "richtigen" Karte. In den vorherigen (erfolgreichen) Transaktionen war es immer dieselbe virtuelle Kartennummer. Bei der abgelehnten Zahlung, um die es hier geht, sieht man leider keine weiteren Details wie die abgekürzte virtuelle Kartennummer, wie sonst bei erfolgreichen Transaktionen.

Hast du die Barclay Card irgendwo online hinterlegt in Onlinehsops, für irgendwelche Abos o.ä.?

Nein, nichts. Auch nicht in der Vergangenheit.

Wie? Zwei verschiedene Google-Konten auf einem Android-Gerät?

Beitrag automatisch zusammengeführt: 01.12.2024

Dem TE geht es darum, warum und wie die Barclays genutzt werden konnte/wurde, obwohl eine andere Karte als Standard hinterlegt war. Zumal die nicht Google die Abbuchung verhindert hat, sondern die temporäre Sperre von BC.

Der Fehler liegt NICHT auf der BC-Seite. Sondern dort, wo Google Wallet und BC gemeinsam aufgetaucht und genutzt wurden.

Du kannst auf einem Android-Gerät mehrere Google-Konten einrichten. Wie ich bereits schrieb, nutze ich dieses eine nur für Google-Pay, somit kommt es nicht mit anderen Anwendungsszenarien in Berührung.

Wenn man die virtuelle Kartennummer aus GP ausliest und diese dann (Online oder als Magnetstreifen-Zahlung) verwendet - was passiert dann?

Ich erwarte das sie in jedem Fall abgelehnt wird. Aber bekommt man so eine Meldung wie der Fragesteller?

Das würde mich auch interessieren. Vollständig aus Google-Pay auslesen stelle ich mir aber schwer vor. Eher auf dem Weg vom Zahlungsterminal eines Händlers zur Kreditkartengesellschaft, also mittels Manipulation des Gerätes. Auch finde ich spannend, was passiert, wenn jemand die virtuelle Kartennummer irgendwo eingibt, die er vielleicht mit entsprechenden Tools generiert hat - also sozusagen Kartennummern ausprobiert ob sie gültig sind und dann durch Zufall bei einer virtuellen Karte von Google-Pay landet.

 

[eham]

Die xx22 ist die Endung der "richtigen" Karte. In den vorherigen (erfolgreichen) Transaktionen war es immer dieselbe virtuelle Kartennummer. Bei der abgelehnten Zahlung, um die es hier geht, sieht man leider keine weiteren Details wie die abgekürzte virtuelle Kartennummer, wie sonst bei erfolgreichen Transaktionen.

Okay, danke. Eigentlich gibts nur zwei Szenarien, mehr kann ich aus der Ferne auch nicht analyisieren, da muss Barclays ran.

Szenario 1 (wahrscheinlich)
Bei deinen letzten Einsätzen der Barclays über Google Pay (in Istanbul oder Thailand) sind deine Zahlungsdaten (entweder im Terminal oder Abrechnungsdienstleister) abgegriffen worden.

Die Transaktion ist ein Test, ob die Karte belastbar ist, um damit weiter arbeiten zu können oder die Daten weiter zu verkaufen.

Zum Glück für dich (und Pech für die Betrüger) sendet Google Pay nur eine virtuelle Kartennummer und zusätzliche einmaligen Tokens für die Zahlung. Die virtuelle Kartennummer hilft alleine nicht weiter, die Betrüger haben jedoch keinen Unterschied gemacht und einfach eine Belastung versucht. Die ist natürlich von Barclays abgelehnt worden, weil die notwendigen Tokens fehlen oder die Karte gesperrt ist.
Soweit haben die Sicherheitssysteme gegriffen.

Szenario 2 (weniger wahrscheinlich)
Jemand hat deine Karte auf einem anderen Gerät aktiviert und damit versucht zu zahlen, ist aber an deiner Sperre bei Barclays gescheitert. Aktuell ist wohl eine Phishingwelle unterwegs, bei dem es wohl zu solchen Zugriffen kommt (z.B. Heise.de Meldung).

Was kannst du tun:
1. Karte sperren und neue anfordern (wie bereits getan)
2. Smartphone auf dem aktuellen Stand halten
3. Betrugsversuch mit allen Details an Barclays melden
4. Karte für alle Länder sperren, wo sie aktuell nicht eingesetzt wird
5. Nicht weiter drüber grübeln

Hope that helps!

 

[eham]

[...]. Auch finde ich spannend, was passiert, wenn jemand die virtuelle Kartennummer irgendwo eingibt, die er vielleicht mit entsprechenden Tools generiert hat - also sozusagen Kartennummern ausprobiert ob sie gültig sind und dann durch Zufall bei einer virtuellen Karte von Google-Pay landet.

Ich habs noch nie ausprobiert, du bekommst aber die Infos aus einer Google Pay Zahlung mit meiner CreditCardChecker App heraus.

 

[kmak]

[Google-Kartennummer auslesen] Das würde mich auch interessieren. Vollständig aus Google-Pay auslesen stelle ich mir aber schwer vor.

Kein Problem. Du brauchst ein zweites Telefon mit NFC und eine geeignete App, beispielsweise https://play.google.com/store/apps/details?id=de.erichambuch.apps.creditcardchecker (deren Autor hier vertreten ist). Für die Kartenleser sehen virtuelle und physische Karten gleich aus.

 

[vlugangst]

ANZEIGE

Den Beitrag über deinem hast du gelesen?