• Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.

    Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
    Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.

    Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.

    User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.

Google-Pay-Wallet-Betrugsversuch über Barclays-Kreditkarte / Aufklärung der technischen Hintergründe

ANZEIGE

geos

Erfahrenes Mitglied
23.02.2013
12.227
6.436
ANZEIGE
Ist diese Meldung vom Google Wallet oder von Barclays? Sorry, ich verwende kein GoogleWallet und weiß daher nicht, wie die Meldungen normalerweise aussehen.
Hast Du in letzter Zeit mit der physischen Karte irgendwo bezahlt bzw. könnten die Kartendaten irgendwo abgegriffen/kopiert worden sein?
 

dbln

Neues Mitglied
30.11.2024
11
22
Ist diese Meldung vom Google Wallet oder von Barclays? Sorry, ich verwende kein GoogleWallet und weiß daher nicht, wie die Meldungen normalerweise aussehen.
Hast Du in letzter Zeit mit der physischen Karte irgendwo bezahlt bzw. könnten die Kartendaten irgendwo abgegriffen/kopiert worden sein?
Die Meldung aus dem Screenshot ist von der Google-Wallet. Von Barclays kam nichts.
Die physische Karte wurde in den letzten 12 Monaten nie direkt genutzt, immer nur auf Reisen mittels Google-Pay. Daher denke ich nicht, dass die physische Karte abgegriffen wurde, zumal sich ja dann auch nicht die Google-Wallet gemeldet hätte.
 
  • Like
Reaktionen: geos

geos

Erfahrenes Mitglied
23.02.2013
12.227
6.436
Wichtige Handys, u.a. für Banking / Payment, betreibe ich grundsätzlich mit Telekom-SIM und VPN auf Systemebene, auch im Ausland. Hotel-WLAN, Billig-Welt-SIM etc. sind hierfür tabu.

Gegen welche Art von Angriffen hilft dies? Ich verstehe, dass Du damit Deine Aktivitäten gegenüber dem lokalen Netzbetreiber verbirgst, aber in wiefern hilft das gegen Angriffe auf Dein Gerät? (unter der Annahme, dass Du stets TLS verwendest)

Oft, wenn Freunde in Asien sind und schöne Bilder im Status teilen, bekomme ich zeitgleich und danach Nachrichten von Mädchen aus eben diesem Land, die eine starke Schulter suchen. An Zufall glaube ich hierbei nicht.
Was für Nachrichten? Über eben jene "sozialen" Netzwerke? Vermutlich können die Absenderinnen sehen, dass Deine Freunde eine Affinität zu Land X haben und dass dass sie Deine Freunde sind. Da schließen sie dann eben von ihnen auf Dich. Könnte ja passen.
 

geos

Erfahrenes Mitglied
23.02.2013
12.227
6.436
Okay, danke. Eigentlich gibts nur zwei Szenarien, mehr kann ich aus der Ferne auch nicht analyisieren, da muss Barclays ran.

Szenario 1 (wahrscheinlich)
Bei deinen letzten Einsätzen der Barclays über Google Pay (in Istanbul oder Thailand) sind deine Zahlungsdaten (entweder im Terminal oder Abrechnungsdienstleister) abgegriffen worden.

Die Transaktion ist ein Test, ob die Karte belastbar ist, um damit weiter arbeiten zu können oder die Daten weiter zu verkaufen.

das dürften wir als gesichert ansehen

Zum Glück für dich (und Pech für die Betrüger) sendet Google Pay nur eine virtuelle Kartennummer und zusätzliche einmaligen Tokens für die Zahlung. Die virtuelle Kartennummer hilft alleine nicht weiter, die Betrüger haben jedoch keinen Unterschied gemacht und einfach eine Belastung versucht. Die ist natürlich von Barclays abgelehnt worden, weil die notwendigen Tokens fehlen oder die Karte gesperrt ist.

Ist das plausibel? Wer erstellt die virtuelle Kartennummer? Google oder Barclays? Würde im ersteren Fall überhaupt eine Anfrage, zumal Tage nach der Erstellung der virtuellen Kartennummer, an Barclays gehen? Ist ie virtuelle Kartennummer etwa in den Systemen von Visa (temporär) hinterlegt und Barclays zugeordnet? Welche Lebensdauer hat sie?
Und sollte die Mitteilung über die abgelehnte Belastung nicht die virtuelle statt die echte Kartennummer ausweisen?

Soweit haben die Sicherheitssysteme gegriffen.

Szenario 2 (weniger wahrscheinlich)
Jemand hat deine Karte auf einem anderen Gerät aktiviert und damit versucht zu zahlen, ist aber an deiner Sperre bei Barclays gescheitert. Aktuell ist wohl eine Phishingwelle unterwegs, bei dem es wohl zu solchen Zugriffen kommt (z.B. Heise.de Meldung).

Sowas ging mir auch durch den Kopf. Kann man eine Kreditkarte auf mehreren Geräten für Google Pay aktivieren?

Anderseits: wenn jemand das geschafft hat, würde er dann eine 0,3 AED Probebuchung machen? Ist das auch bei diesem speziellen Betrugssystem üblich? Machen die Betrüger dies trotz erfolgreicher Aktivierung (was ja eigentlich schon einen Durchbruch darstellt für sie), um z.B. auf Ländersperren o.ä. zu testen, bevor sie damit richtig am POS bezahlen?
 

eham

Erfahrenes Mitglied
22.03.2023
737
816
NRW
Ist das plausibel? Wer erstellt die virtuelle Kartennummer? Google oder Barclays? Würde im ersteren Fall überhaupt eine Anfrage, zumal Tage nach der Erstellung der virtuellen Kartennummer, an Barclays gehen? Ist ie virtuelle Kartennummer etwa in den Systemen von Visa (temporär) hinterlegt und Barclays zugeordnet? Welche Lebensdauer hat sie?
Und sollte die Mitteilung über die abgelehnte Belastung nicht die virtuelle statt die echte Kartennummer ausweisen?
Die meisten öffentlichen Grafiken (Z.B. Übersichtsartikel) geben leider nicht die ganzen Details her. Wer das technisch nachlesen möchte: bitte beim EMVCo.

Die D-PAN (virtuelle Kartennummer) wird beim Anlegen der Karte in Google Pay generiert (vom wem ist auch egal) und ist auch so lange gültig wie die Karte in der Wallet bleibt. Die Nummer ist notwendig, damit die Zahlung von Visa richtig zu Barclays geroutet werden kann.
Nur reicht die Nummer halt für eine Zahlung (anders als bei normalen Karten) nicht aus! Sondern Google Pay sendet ein sog. Token für jede Zahlung an das Terminal über das Zahlungsnetzwerk bis zu Barclays. Die erkennen, dass es sich um Google Pay handelt, prüfen die virtuelle Kartennummer, um die Zahlung zum Kundenkonto zuzuordnen und checken dann das Token. Wenn das nicht passt: ablehnen.

Barclays hat ja durchaus die abgelehnte Zahlung gesehen; lasst euch nicht verwirren, wen das in der App nicht auftaucht, das hat nichts zu bedeuten.
 
  • Like
Reaktionen: geos

ive

Erfahrenes Mitglied
24.09.2022
534
405
Würde im ersteren Fall überhaupt eine Anfrage, zumal Tage nach der Erstellung der virtuellen Kartennummer, an Barclays gehen? Ist ie virtuelle Kartennummer etwa in den Systemen von Visa (temporär) hinterlegt und Barclays zugeordnet? Welche Lebensdauer hat sie?

Die Lebensdauer sollte wenigstens so groß sein, damit CashBack funktioniert. Also reden wir von Tagen, nicht von Stunden.
 

dbln

Neues Mitglied
30.11.2024
11
22
Ist ie virtuelle Kartennummer etwa in den Systemen von Visa (temporär) hinterlegt und Barclays zugeordnet? Welche Lebensdauer hat sie?
Und sollte die Mitteilung über die abgelehnte Belastung nicht die virtuelle statt die echte Kartennummer ausweisen?
Ich gehe davon aus, die virtuelle Kartennummer wird von Google (oder einem dahinterstehenden Dienstleister) generiert. Die virtuelle Kartennummer blieb bislang immer gleich, änderte sich nur, wenn ich mal die echte Karte aus der Wallet gelöscht habe und sie dann neu hinzugefügt habe. Die virtuelle Kartennummer steht anonymisiert ja auch auf den Belegen, die man bei Zahlungen an POS bekommt. In der Wallet taucht die auf vier Stellen abgekürzte, virtuelle Nummer nur in den Details der Karte oder bei erfolgreichen Zahlungen auf, es werden aber auch die letzten 4 Stellen der physichen Karte in der Wallet angezeigt (so wie auf meinem Screenshot), damit der Nutzer auf einen Blick sieht, auf welcher seiner Karten die Transaktion dann bankseitig erscheint.


Kann man eine Kreditkarte auf mehreren Geräten für Google Pay aktivieren?
Ja, das ginge durchaus. Beispielsweise auf einem Smartphone und einer Watch. Da nutzt Du ggf. denselben Google-Account, in beiden Geräten ist dieselbe Karte hinterlegt, aber in jedem Gerät wird eine eigene, virtuelle Karte generiert.
Ist in meinem Fall aber nicht geschehen, Barclays hat mir ja gesagt, die Karte ist nur in einer Wallet.
 

geos

Erfahrenes Mitglied
23.02.2013
12.227
6.436
Dann wird es wohl so sein, wie eham geschrieben hat. Die Zahlung mit der virtuellen KK wurde (z.B. an einem manipulierten Terminal) mitgeschnitten und die Kartendaten für eine Testzahlung eingesetzt. Diese wurde von Barclays abgelehnt wegen des fehlenden Tokens. Offenbar werden solche Ablehnungen (dennoch) über das Google Wallet dem Kunden mitgeteilt.
Aus meiner Sicht war es dann unnötig, dass Barclays die Karte getauscht hat. Wegen des fehlenden Tokens wäre eigentlich gar nichts notwendig gewesen, aber zumindest hätte es gereicht, die Warte aus dem Wallet rauszunehmen. Wenn man sie später wieder hinzufügt, ergibt sich eine neue virtuelle KK-Nummer, richtig?
 
  • Like
Reaktionen: eham

Songbird

Erfahrenes Mitglied
02.06.2019
2.415
624
Yokohama
Vielleicht hat jemand einfach nur eine Nummer generiert und das war halt zufällig diese. Wäre nicht das erste Mal.
 
  • Like
Reaktionen: Hotel

dbln

Neues Mitglied
30.11.2024
11
22
Vielleicht hat jemand einfach nur eine Nummer generiert und das war halt zufällig diese. Wäre nicht das erste Mal.
Das war ja auch schon meine laienhafte Vermutung. Nur stellt sich dann mangels Test auf Plausibilität noch immer die Frage, ob dann die Google-Wallet mit dieser Ablehnungsnachricht aufploppt und ob dann Google-Pay trotz fehlender Token den Versuch an die Bank weiterreicht und die ausgebende Bank von dem Versuch was mitbekommt, wie es bei mir ja war.
 

eham

Erfahrenes Mitglied
22.03.2023
737
816
NRW
Das war ja auch schon meine laienhafte Vermutung. Nur stellt sich dann mangels Test auf Plausibilität noch immer die Frage, ob dann die Google-Wallet mit dieser Ablehnungsnachricht aufploppt und ob dann Google-Pay trotz fehlender Token den Versuch an die Bank weiterreicht und die ausgebende Bank von dem Versuch was mitbekommt, wie es bei mir ja war.
Also, die DPAN generieren die Kartenanbieter (Visa, MC etc.), nicht Google selbst. Der Zahlungsvorgsng am Terminal läuft dann nicht direkt über Google, sondern über das normale Zahlungsnetzwerk zur Bank. Das ist bewusst so, weil sonst Google als Zahlungsdienstleister weiteren regulatorischen Anforderungen in allen Ländern (analog einer Bank) erfüllen müsste.
Die Rückmeldung an Google Pay erfolgt dann durch das Zahlungsnetz.

Den Flow zur Aktivierung einer Karte gibt's hier bei Google zum Anschauen.
 

Kartenstecker

Erfahrenes Mitglied
05.12.2022
739
1.306
Google verwendet eine ordentliche Verschlüsselung. Man kann Google Pay auch gefahrlos in einem öffentlichen WLAN nutzen. Man muss auch nicht mehrere Googlekonten dafür anlegen. Nicht die connection oder Google ist das Problem, die Endgeräte und das Betriebssystem sind das Problem. Auch wenn du drei Googlekonten parallel darauf aktiviert hättest, was soll das auch ändern oder schützen.

China phones/Grauimporte meide ich hingegen aus guten Gründen, die waren von Anfang an in dringendem Verdacht viele offene Scheunentore zu haben, schon um nach Hause zu telefonieren.
Bei alter Firmware die keine Updates mehr bekommt würde ich sagen case closed, weg damit. Ist nur eine Frage der Zeit bis du auch mit anderen Konten Probleme bekommst.

Gut möglich, dass dein Modell so veraltet ist, dass selbst die chinesischen Überwachungsbehörden kein Interesse mehr daran haben und eingebaute Backdoors durch korrupte Zensoren u. ä. inzwischen ganz unten in der kleinkriminellen Resteverwertung gelandet sind. Deswegen passiert das jetzt erst und nicht von Anfang an. Zuvor haben sie dich vielleicht nur passiv ausspioniert.

Zum Thema Zeitdruck und Callcenter: nicht alle Firmen arbeiten für telefonischen Kundenservice mit Callcentern, gar unter Zeitdruck. Aber was sollte der gute Mann sagen, da gibt es nicht viel Unklarheiten was hier passiert sein könnte. Hätte Google Pay an sich ein Loch wäre das schon in der Tagesschau gekommen und man müsste nicht hier im Forum spekulieren.

Aber ein kompromittiertes Betriebssystem könnte durchaus dazu führen, dass unbemerkt Zahlungen autorisiert werden.
Da muss ich gleich an die Zeit der großen Windows Bugs mit XP denken, da gab es Malware mit denen man die Anzeige manipulieren oder verschleiern konnte und Nutzer dadurch so austricksen konnte, dass sie Dinge bestätigen die sie nie bestätigen wollten.

Vielleicht hat eine Malware einen overlay erzeugt der dich für sonst was deinen Fingerabdruck auflegen ließ, während dahinter eigentlich Google Pay nach Autorisierung einer Browserzahlung gefragt hat. Wenn sowas ähnliches vor 20 Jahren Betrügern schon eingefallen ist wäre das jetzt keine große Überraschung.

Wenn du Geld sparen willst dann kauf dein Smartphone zu black friday oder so und nehme offizielle Ware von bekannten Anbietern wie Lenovo, Samsung und Co. Kein sideloading, nur Apps aus dem Google Store und wenn's keine Updates mehr gibt weg damit. So multifunktional wie ein Smartphone heute genutzt werden kann und wie es Zugang zum gesamten Leben verwaltet, da muss man einfach Prioritäten setzen. Wer Chinaböller ausprobieren will, nur als Zweitgerät für Games oder so. Nicht für Finanzen.

PS: Virenscanner für Windows waren ja oft mehr snake oil als alles andere aber bei Smartphones kannst du die komplett vergessen, die erkennen höchstens wenn Tante Erna mal wieder die LetzteMahnung.xyz heruntergeladen hat und Malware im Downloadordner liegt. Kompromittierte Betriebssysteme können damit nicht erkannt werden.
 
Zuletzt bearbeitet:

dbln

Neues Mitglied
30.11.2024
11
22
Mir war ja beim Erstellen des Beitrages recht klar, dass es wahrscheinlich nicht zu einer finalen Aufklärung des von mir beschriebenen Falles kommen wird.

Bei Google-Pay habe ich natürlich auch ein Ticket eröffnet, allerdings ist der Support unterirdisch und aufgrund Agents im Ausland, dummer Übersetzungsfehler und immer denselben Standardtexten für Doofe abseits des von mir Beschriebenen gar nicht zielführend. Ich hoffe hier noch, durch weiteres Generve dieser Supporter die Sache beim Google-Support ins 2. Level zu bringen, damit jemand Qualifiziertes mal explizit meinen Fall anschaut, sich vernünftig äußert und vielleicht mehr Licht ins Dunkel bringt.

Hier im Forum scheint es bislang (zum Glück) ja noch niemanden zu geben, der Vergleichbares erlebt hat. Den Fokus des Übels auf mein böses Chinahandy (kein Grauimport, offiziell bei MediaMarkt gekauft) zu legen, finde ich allerdings etwas platt und zu kurz gedacht. Ok, es bekommt keine neue Firmware mehr, ist aber gem. Google offenbar noch sicher genug, mir u.A. Google-Pay zu ermöglichen. Es ist zwar richtig, dass Virenscanner sich schwer tun, ein kompromittiertes Smartphone-Betriebssystem zu erkennen, dennoch sind einige Virenscanner nicht völlig diesbezüglich im Blindflug unterwegs und erkennen oft Anzeichen von derartigen Eingriffen ins OS. Auf die zuletzt behaupteten "chinesischen Überwachungsbehörden", "korrupten Zensoren" und "kleinkriminelle Resteverwertung" gehe ich mal nicht näher ein, denn es ist m.E. Bullshit und bedarf eines Beweises. Samsung, Apple oder Lenovo könnte man auch unterstellen, Backdoors zu haben oder auf Fremdkomponenten zurückzugreifen, die dies ermöglichen (könnten).

Mir stellt sich mittlerweile vor allem eine Frage:
Wie die Leute, die alles auf mein böses Endgerät schieben, den Fall denn kommentieren würden, wenn es sich um ein nagelneues iPhone 16 oder Samsung S24 mit aktuellster Firmware aber ansonsten gleicher Ausgangssituation, wie der von mir, handeln würde?
 
  • Like
Reaktionen: Maynooth

geos

Erfahrenes Mitglied
23.02.2013
12.227
6.436
Es hat mit Deinem Endgerät gar nichts zu tun. Eham hat doch sehr überzeugend erläutert, was da passiert ist. Die virtuelle KK-Nummer wurde abgefischt und damit ein Bezahlversuch unternommen, der scheiterte. Das ist alles.
Kommt sicher täglich millionenfach vor weltweit, und Google wird da gar nichts machen. Worked as designed.

That being said... Google interessiert sich für Deine Sicherheit natürlich allenfalls insoweit wie es sein Geschäft negativ beeinflussen könnte. Irgendwelche Handlungen, Nichthandlungen und Äußerungen von Google dienen ausschließlich der Verbesserung ihrer Geschäftssituation. Zu glauben, Deine Sicherheit sei Google intrinsisch wichtig, ist wie "your privacy is important to us" für bare Münze zu nehmen (egal von welchem Anbieter übrigens, der sich so äußert).
Hersteller wie Samsung, Apple oder Lenovo ebenso wie Google bauen (zumindest nicht ohne Zwang von oben) keine Hintertüren ein, weil sie jederzeit durch die Vordertüre auf alle Deine Daten zugreifen können und dies, zumindest für viele Metadaten, auch kontinuierlich machen (bzw. sich sie ihnen von Dir ständig schicken lassen).
 

Hotel

Erfahrenes Mitglied
20.10.2020
3.170
3.433
Wie die Leute, die alles auf mein böses Endgerät schieben,

Derartige Äußerungen bezeichnet man in der Psychologie als „Unterverantwortlichkeit“:

Dein Smartphone ist „schuld“, obwohl es keinerlei eigenen Willen hat. Nicht Du, der Du Banking auf Hardware mit ausgelaufenem Software-Support machst. Nicht Du, der Du ein Gerät, welches von Mi nicht nach Deutschland exportiert wurde und ab Werk noch nicht mal im Android die deutsche Sprache unterstützt, nutzt.

Das ist so wie „der Spiegel ist dran schuld, dass ich im Spiegel fett aussehe“. Und nicht ich selber, obwohl ich fett bin.

@Kartenstecker hat dargelegt, dass in seiner Umgebung (auch in meiner) vermeidbare Sicherheitslücken vermieden werden. Indem z.B. Hardware mit abgelaufenem Software-Support ausgesondert wird.
 
  • Like
Reaktionen: Simineon

eham

Erfahrenes Mitglied
22.03.2023
737
816
NRW
Bei Google-Pay habe ich natürlich auch ein Ticket eröffnet, allerdings ist der Support unterirdisch und aufgrund Agents im Ausland, dummer Übersetzungsfehler und immer denselben Standardtexten für Doofe abseits des von mir Beschriebenen gar nicht zielführend. Ich hoffe hier noch, durch weiteres Generve dieser Supporter die Sache beim Google-Support ins 2. Level zu bringen, damit jemand Qualifiziertes mal explizit meinen Fall anschaut, sich vernünftig äußert und vielleicht mehr Licht ins Dunkel bringt.
Der Google Support wird dir - wie jedem anderen - per Bot mit Verweis auf (automatisiert übersetzte) FAQs antworten. Im besten Fall erreichst du einen indischen Supportmitarbeiter, der dich auf die FAQ verweist.
Google wird sich nicht tu deinem Fall äußern, weil sie a) keine weiteren Informationen dazu haben b) kein Interesse an einer Nachforschung haben c) erstmal alles "richtig" funktioniert hat und d) auch nicht zuständig sind (sondern deine Bank). Bei Barclays wird mindestens b) und c) zutreffen.

Wie schon gesagt: nicht weiter abmühen damit.
 
  • Like
Reaktionen: geos und dbln

Kartenstecker

Erfahrenes Mitglied
05.12.2022
739
1.306
Verbreitet waren trotzdem Grauimporte. Man kann ein Grauimport auch nicht dazu zwingen ein OTA Update mit einer Firmware zu machen die nicht auf dem Markt verfügbar ist auf dem es veröffentlicht wurde. Ich weiss nicht wie es konkret beim OP war.

Das ist ein sehr weit verbreitetes Thema bei "China Smartphones", damit meint man nicht Made In China, das ist Apple auch, sondern die wackelige lokale Struktur die nicht so auf Integrität der Geräte achtet und auch nicht achten kann (da nicht ausreichend dimensioniert), wie bei Apple, Samsung, LG, Lenovo, Google gewohnt.

In jedem Fall ist man selbst verantwortlich wenn man ein Gerät betreibt das end of life ist und keine Sicherheitsupdates mehr erhalten hat. Google kann dieses Problem nur mit dem ganz groben Rechen korrigieren indem ältere Android Versionen irgendwann pauschal für Google Pay gesperrt werden.

Ich glaube übrigens weiterhin, dass die wahrscheinlichste Version eines Betrugsversuchs die hier passiert ist eine Browserzahlung war. Viele Leute wissen nicht mal, dass Google Pay nicht nur kontaktlos an der Ladenkasse funktioniert sondern analog zu PayPal oder Amazon Pay auch Online-Zahlungen abwickelt. Ohne extra Registrierung oder Freischaltung oder dergleichen.

Man muss nur im Browser auf dem Smartphone einen entsprechenden Check-out besuchen und mit dem Google-Konto angemeldet sein und dann nochmal freigeben, normalerweise reicht per Fingerabdruck. Das geht aber auch über alle auf dem Smartphone installierten Apps. Ich habe erst am letzten Wochenende eine Lieferando-Bestellung per Google Pay auf meinem Smartphone bezahlt, direkt aus der Lieferando-App, ohne eine zusätzliche Bestätigung.

Wer braucht hier denn ernsthaft viel Fantasie um das Missbrauchspotential bei veralteter Software u. ä. zu sehen? Dazu muss nicht einmal irgendwas "abgefischt" werden.

Wenn das Betriebssystem keine aktuellen Patches mehr hat, erstmal egal von welchem Hersteller, ist das natürlich eine täglich wachsende Schwachstelle. Wer die AGB seiner Bank bei Einrichtung gelesen hat wird aber wissen, dass die Obliegenheiten bezüglich des Gerätes und der Software ausschließlich beim Kunden liegen. Wer das nicht will kann den Dienst nicht nutzen und muss bei Plastik bleiben. Oder halt Smartphones nur solange betreiben wie es regelmäßig aktuelle Sicherheitspatches bekommt usw.
 

Kartenstecker

Erfahrenes Mitglied
05.12.2022
739
1.306
PS: das verwendete Gerät scheint schon spätestens seit April 2024 keinen Support vom Hersteller mehr zu erhalten, vor Gericht hat man keine Chance wenn man es trotzdem weiter betreibt. Es ist die Obliegenheit des Kunden hierauf zu achten. Man kann natürlich die eigene Zeit und die Zeit von Kundenservicemitarbeitern irgendwo damit vergeuden, weil man es nicht einsehen will, die werden dafür bezahlt sich permanent mit derartigen Kundenbeschwerden zu befassen und sagen daher nicht direkt was sie wirklich denken, sondern verweisen höflich auf die FAQ, aber niemand kann erwarten hier im Forum ein kontroverses Anliegen zu posten und dafür nur sinngemäß "du hast alles richtig gemacht, wir schimpfen jetzt gemeinsam auf unterschiedliche Firmen und befeuern dich darin dich zu beschweren und schlecht bedient zu fühlen" zu erhalten. Wer das will darf nur mit Kundenservice sprechen, der wird dafür bezahlt einem Honig um den Mund zu schmieren, wir hier nicht. Wer ehrlichen Gedankenaustausch nicht will, inklusive einem direkten "das war vielleicht einfach dein Fehler!", sollte keine öffentlichen Fragen in Foren posten, denke ich.

 
  • Like
Reaktionen: Hotel

geos

Erfahrenes Mitglied
23.02.2013
12.227
6.436
Nochmals: es gibt keinerlei Anlass zur Annahme, dass das Telefon kompromittiert wurde und darüber der Zahlungsversuch ausgelöst wurde. Aus meiner Sicht lag die Schwachstelle höchstwahrscheinlich bei einem der Händler, bei dem damit bezahlt worden ist, und der Effekt wäre mit jedem anderen Telefon mit Google Pay ebenso aufgetreten.
Wie eham oben schon schreibt: Fall erledigt, abschließen.
Beitrag automatisch zusammengeführt:

Ich glaube übrigens weiterhin, dass die wahrscheinlichste Version eines Betrugsversuchs die hier passiert ist eine Browserzahlung war. Viele Leute wissen nicht mal, dass Google Pay nicht nur kontaktlos an der Ladenkasse funktioniert sondern analog zu PayPal oder Amazon Pay auch Online-Zahlungen abwickelt. Ohne extra Registrierung oder Freischaltung oder dergleichen.

Man muss nur im Browser auf dem Smartphone einen entsprechenden Check-out besuchen und mit dem Google-Konto angemeldet sein und dann nochmal freigeben, normalerweise reicht per Fingerabdruck. Das geht aber auch über alle auf dem Smartphone installierten Apps. Ich habe erst am letzten Wochenende eine Lieferando-Bestellung per Google Pay auf meinem Smartphone bezahlt, direkt aus der Lieferando-App, ohne eine zusätzliche Bestätigung.
Wenn es wirklich darüber gelaufen wäre, wäre die Zahlung durchgegangen (oder allenfalls vom normalen Fraudmanagement abgewiesen worden). Danach sah es hier nicht aus.
 

Kartenstecker

Erfahrenes Mitglied
05.12.2022
739
1.306
Durch die Tokenisierung ist das nicht einfach eine vorgeschaltete Kartennummer wie bei Curve, die nur möglichst vor dem Endnutzer verborgen wird.
Ohne Zugriff auf das Gesamtsystem ist der beim POS bekannte Token nutzlos.
Google Pay auf dem Endgerät ersetzt die Verifizierung durch PIN bei Plastik durch ein im Gerät vorhandenes System, der Token alleine reicht nicht um eine Zahlung auszulösen. Das ist also nicht einfach eine Kontaktloszahlung ohne PIN wie beim hinhalten der Plastikkarte, sondern da wird eine Authentifizierung verwendet, die sogar viel komplexer ist als eine vierstellige Zahl. Bei jeder Einrichtung eines Kontos für Google Pay auf dem jeweiligen Smartphone wird dieses Setup fest mit dem Gerät verdonglet und kann daher nicht durch Dritte replitziert werden.

Daher funktioniert skimming o. ä. nicht, es gibt am POS derzeit nichts was so sicher ist wie Google Pay. Zugleich sieht der POS nie die richtige Kartennummer, die ist zu keinem Zeitpunkt für den POS aufgelöst.



Das ist ein sehr sicheres System, wie schon erwähnt wäre jede kompromittierte Stelle bereits weithin bekannt und müsste hier nicht ohne jeden konkreten Beleg spekulativ diskutiert werden.

Es liegt einfach nahe und viel näher, dass etwas auf dem Endgerät stattfand, auch wenn OP ggf. lieber hören würde, dass seine Bank oder Google einen Fehler gemacht haben.
 

Mark Enschuh

Erfahrenes Mitglied
05.07.2023
277
334
ANZEIGE
Verbreitet waren trotzdem Grauimporte. Man kann ein Grauimport auch nicht dazu zwingen ein OTA Update mit einer Firmware zu machen die nicht auf dem Markt verfügbar ist auf dem es veröffentlicht wurde. Ich weiss nicht wie es konkret beim OP war.
Klar, die gibt es auch heute noch, da viele Geräte schon ein paar Monate vor dem globalen Release in China auf den Markt kommen und auch nicht jedes dort erscheinende Gerät global rausgebracht wird. Das aktuelle Note 14 Pro ist hier auch noch nicht released, aber hier und da schon als Grauimport mit chinesischer Firmware erhältlich.

Hier geht es aber um ein bei MediaMarkt erworbenes EU-Model des Note 10 Pro, mit der direkt vom Hersteller installierten global ROM.
 
  • Like
Reaktionen: Maynooth und dbln