Google-Pay-Wallet-Betrugsversuch über Barclays-Kreditkarte / Aufklärung der technischen Hintergründe

[dbln]

ANZEIGE

Die Zahlung wurde ja auch abgelehnt; das System hat ja funktioniert. Insofern haben weder der OP, noch die Bank, noch Google einen Fehler gemacht.

Es liegt einfach nahe und viel näher, dass etwas auf dem Endgerät stattfand, auch wenn OP ggf. lieber hören würde, dass seine Bank oder Google einen Fehler gemacht haben.

Wobei ich nochmal anmerken muss, dass die Karte temporär gesperrt war, also die Zahlung vermutlich nur deswegen nicht erfolgreich war.

Seltsam ist auch, dass die Karte nicht die Standardkarte in der Wallet war, sondern eine andere Karte der Comdirect. Wäre also irgend etwas auf meinem Smartphone geschehen, dann hätte jemand neben dem Überlisten des bei Browserzahlungen nötigen Fingerabdrucks noch aktiv die Karte in der Wallet auf die von Barclays wechseln müssen.

 

[eham]

Laß gut sein, es lohnt sich nicht, weiter darüber zu spekulieren.

Du hast deine alte Karte gesperrt und mehr (technische) Details wirst du auch nicht herausbekommen. Ich verweise auf meine Analyse in #22.

Den Hinweis, dein Smartphone auf dem aktuellsten Stand zu halten, würde ich trotzdem ernst nehmen.

 

[bytegetter]

Hat jemand schon mal in solchen Fällen Anzeige erstattet und im Rahmen der Akteneinsicht Erkenntnisse erhalten?

 

[geos]

Nein, und ich wüsste auch nicht, welche Angaben man da in welchen Akten erwarten sollte.

Beitrag automatisch zusammengeführt: 08.12.2024

Wobei ich nochmal anmerken muss, dass die Karte temporär gesperrt war, also die Zahlung vermutlich nur deswegen nicht erfolgreich war.

vermutlich in diesem Fall nicht nur deswegen; es haben oder hätten auch andere Mechanismen gegriffen. Über den detaillierten Ablauf der Ablehnung weiter zu spekulieren, ist mit dem Kenntnisstand hier müßig, und mehr Infos werden wir realistischerweise nicht erhalten.

Seltsam ist auch, dass die Karte nicht die Standardkarte in der Wallet war, sondern eine andere Karte der Comdirect. Wäre also irgend etwas auf meinem Smartphone geschehen, dann hätte jemand neben dem Überlisten des bei Browserzahlungen nötigen Fingerabdrucks noch aktiv die Karte in der Wallet auf die von Barclays wechseln müssen.

Da ist nichts seltsam. Es ist auf dem Smartphone nichts geschehen. Es gibt keinen Anlass, das anzunehmen.
Die Nummer der Karte wurde nach allem, was wir hier erfahren haben, bei einem Einsatz am POS abgefischt.
Akzeptiere es, mache Deinen Frieden damit. Kommt vor, und dagegen kannst Du nichts machen; war nicht Dein Versäumnis, und Du hattest in diesem Fall nicht einmal einen Schaden.
Danke dafür dass Du den Fall hier vorgestellt hast.

 

[Kartenstecker]

Es KANN eigentlich nicht am POS gewesen sein.
Der bekommt den Token zu sehen. Aber die Authentifizierung findet im Zahlungsnetzwerk statt, die Authentifizierung läuft ausschließlich auf dem Smartphone auf dem die Karte hinterlegt wurde und im Zahlungsnetzwerk. Anders als bei Ausspähmöglichkeiten der PIN am POS (Kamera, Glotzen, zweites Keypad) ist kein Ausspähen möglich.

Ein Abbuchungsversuch geschieht nur wenn alle für eine Zahlung benötigten Daten vollständig im Zahlungsnetzwerk eingegangen sind und dort verifiziert wurden, die Ablehnung findet dann durch die Bank statt (bei Sperrung durch Kunde oder fraud detection), erst dann hat die Bank darüber einen record.

Weil Google Pay eben nicht einfach nur eine vorgeschaltete weitere Kartennummer wie die Curve ist, sondern ein eigener Prozess, existiert hier auch keine Rückfallebene a la magstripe nur mit Kartennummer und expiry date. Die Karte wird auch nur als Einrichtungshilfe benutzt und ggf. als bewusste Fehldarstellung in der Anzeige im Google Wallet, damit der Kunde weiss welche Karte vermeintlich hinterlegt wurde. Am ehesten ist Google Pay mit einer zusätzlichen, virtuellen Karte vergleichbar, die über ein eigenes System direkt an das Konto angebunden ist, um die Sache aus Kundensicht möglichst übersichtlich zu machen erklärt man den Kunden das nur nicht so. Deswegen kann bei den meisten Banken Google Pay übrigens auch weiterhin genutzt werden, wenn man die physische Karte wegen Verlust oder Diebstahl sperren ließ.

Leute denken:

POS -> Google Pay - > "die bei Google hinterlegte KK/Debitkarte" -> Bank

Wie es wirklich ist:

POS -> Google Pay - > Bank

(die anderen, bei beiden Vorstellungen identischen, Schritte bewusst ausgelassen)

Es existiert Android Malware die nicht nur Bildschirminhalte mitschneiden kann, sondern auch manipulieren und Apps verborgen bedienen kann. Selbst bei einem up to date Betriebssystem sollte man bei Finanzapps daher nie Screenshots erlauben und nie erlauben, dass eine App sich über andere Apps legen darf.
Deswegen enthalten Apps und Systemeinstellungen hierzu meist auch Warnhinweise, ihr könnt mich ja für ahnungslos halten und die hier bereits verlinkte Dokumentation zu Google Pay direkt von Google für ein cleveres Fake, dann stecken aber auch die Entwickler eurer Finanzapps mit mir unter einer Decke und wir haben alle kollektiv keine Ahnung ...

Bei Interesse zu overlay und remote access malware googlen.

Und es hilft OP nicht wenn er sich weiterhin in Sicherheit wiegt, falls es über dein Smartphone geschah. Das weiss ich auch nicht mit Sicherheit, aber alleine die Möglichkeit sollte zu Handlung zwingen, wenn man im Zuge dessen herausgefunden hat, dass das Gerät stark veraltet ist und täglich unsicherer wird. Was gibt's da eigentlich zu diskutieren?
Wenn's dann doch schief geht haftet keine Bank und auch nicht Google, wenn das Betriebssystem nicht mehr unterstützt wird und keine Sicherheitsupdates mehr erhält.

Auch nicht wenn man sich an das Fernsehen, die Verbraucherzentrale oder die BaFin wendet und auch nicht wenn man zum Rechtsanwalt geht. Ein aktuelles Betriebssystem, das mit kritischen Sicherheitsupdates versorgt wird, ist eine conditio sine qua non für Google Pay.

 

[geos]

Bitte nicht grundsätzliche Haftungsfragen und Angriffsmöglichkeiten und den konkreten Missbrauchsversuch hier in einen Topf werfen. Das sind zwei Dinge, die man beide diskutieren kann, aber bitte getrennt.
Ich sehe nicht, was gegen die Hypothese spricht, dass die virtuelle Kartennummer auf Seiten des POS (oder sonstwo im Zahlungsnetz) abgefischt oder meinetwegen auch auf gut Glück erraten worden ist und damit ein ganz normaler Online-Bezahlversuch (der nichts mit Google Pay zu tun hat) über einen Minibetrag unternommen wurde, der dann zurückgewiesen wurde. Welcher der verschiedenen Sicherheitsmechanismen hier als erster gegriffen hat, wissen wir nicht.
Ich sehe auf Basis der hier vorliegenden Angaben keinen Grund zur Annahme, dass das Smartphone kompromittiert ist.

 

[Kartenstecker]

Es ist alleine dadurch kompromittiert, dass es seit April 2024 vom Hersteller nicht mehr unterstützt wird, IT Sicherheit basics 101.

Wie dargelegt ist es außerdem nicht möglich mit dem Token eine Onlinezahlung anzustoßen, ohne die im Smartphone hinterlegte Authentifizierung ist das so als würdest du bei einer Plastikkarte eine unvollständige Kartennummer eingeben. Der processor ninmt sowas nicht einmal an. Folglich tauchen auch nirgendwo Abbuchungsversuche auf.

Und damit verabschiede ich mich aus der Runde.

 

[Neo42]

PS: das verwendete Gerät scheint schon spätestens seit April 2024 keinen Support vom Hersteller mehr zu erhalten, vor Gericht hat man keine Chance wenn man es trotzdem weiter betreibt. Es ist die Obliegenheit des Kunden hierauf zu achten.

Halte ich für ein Gerücht. Kein deutsches Gericht wird einem Geschädigten ein Betriebssystem vorwerfen, das seit ein paar Monaten keine Updates mehr bekommen hat. Gefühlt 90% der normalen Anwender sind gar nicht in der Lage, das zu beurteilen.

Wenn die Bank oder Google es erlauben eine Kreditkarte auf dem Handy einzurichten/zu betreiben, dann darf der Verbraucher darauf vertrauen, daß es seine Richtigkeit hat und sicher ist. Für Schäden die nicht vorsätzlich oder grob fahrlässig verursacht werden haftet dann die Bank (bzw. deren Versicherung). Nicht umsonst verweigern viele Banken die Installation ihrer Apps auf gerooteten Phones oder auf alternativen Betriebssystemen -> da können sie das Risiko nämlich nicht einschätzen.

Wenn ein BS zu alt geworden ist, oder nicht über den gewünschten Patchlevel verfügt, ist an der Bank den Weiterbetrieb seiner Dienste zu verhindern.
Solange der Verbraucher solche Schranken nicht aktiv umgeht, würde ich mir darüber nicht die geringsten Sorgen machen.

 

[Kartenstecker]

Das stimmt schlicht nicht.
Fahrlässig handelt wer die im Verkehr erforderliche Sorgfalt außer Acht lässt.
Erforderliche Sorgfalt, das wird ja selbst den Omas die ARD schauen seit Jahren in jeder Ratgebersendung erklärt, ist bei EDV Systemen alle aktuellen Updates zu nutzen, die Diskussion darüber gab's auch schon mehrfach als Microsoft den Support für alte Windows Versionen eingestellt hatte und dadurch Homebanking unsicher wurde, das wurde im Grundsatz schon vor 20 Jahren gerichtlich durchprozessiert. In allen denkbaren Variationen.

Die Obliegenheit liegt beim Kunden. Bei wem auch sonst? Nur er hat Hoheit über sein Betriebssystem, nur er weiss ob er fremde Apps aus unsicheren Quellen per sideload nutzt usw.
Das ist durch gesunden Menschenverstand und AGB sowie Rechtsprechung alles glasklar. Du kannst es ja gerne darauf ankommen lassen.

Der Grundton "alles in Ordnung, mach dir keine Gedanken, benutz dein veraltetes Smartphone weiterhin mit Finanzapps" in diesem thread ist geradezu haarsträubend.

 

[Kartenstecker]

PS: OP handelt IMHO spätestens nach dieser Diskussion fahrlässig, wenn er weiterhin Banking über das Gerät betreibt. Käme es jemals zu einem Gerichtsverfahren hätte die Bank lediglich ein Beweisproblem, wenn OP die Erkenntnis, dass das Gerät veraltet war, er es aber trotzdem bewusst weiterbetrieben hat, nicht wahrheitsgemäß im Prozess bezeugt.

Es erfüllt geradezu eine übliche Musterdefinition von grober Fahrlässigkeit nach Kenntnisnahme eines veralteten Betriebssystems dieses weiterhin für Bankgeschäfte zu nutzen.
Etwaige Beweisprobleme ändern nichts an der Tatbestandsmäßigkeit.

 

[Neo42]

Fahrlässig handelt wer die im Verkehr erforderliche Sorgfalt außer Acht lässt.

Wer definiert diese? Ein Handy auf Android 13 (also nur eine Version niedriger als die wohl meisten im Umlauf; 15 kam ja erst vor 2 Monaten raus) auf dem letzten Patchlevel ist für mich keine Verletzung der Sorgfaltspflicht.

Die Obliegenheit liegt beim Kunden.

Der Kunde hat sein Telefon auf den letzten für ihn möglichen Stand gebracht.

Nur er hat Hoheit über sein Betriebssystem,

Die Bank kann die Version des Betriebssystem jederzeit sehen und den Weiterbetrieb ihrer Dienste technisch unterbinden; passiert jeden Tag wenn Apps ankündigen das sie den Support für bestimmte Versionen einstellen oder der Benutzer beim Start der App gezwungen wird, ein Update vorzunehmen.
Tut sie das nicht, ist das eine Risikoabwägung ihrerseits.

nur er weiss ob er fremde Apps aus unsicheren Quellen per sideload nutzt usw.

Gerootete Geräte oder fürs Sideloading freigeschaltete Geräte kann die Bank erkennen und dementsprecheld handeln.
Passiert oft genug, tut sie das nicht, ist das eine Risikoabwägung ihrerseits.
Ausserdem werben die Hersteller damit, daß besonders sensible Daten in einer Secure Enclave liegen und vor dem Zugriff Unbefugter, auch Malware, geschützt sind.

Das ist durch gesunden Menschenverstand und AGB sowie Rechtsprechung alles glasklar.

AGB sind genau so lange gültig, bis sie kassiert werden.
Was die Rechtsprechung betrifft, gibt es Urteile wo Verbraucher dafür haftbar gemacht wurden, ein aktuelles (also vom Hersteller nicht abgekündigtes) Betriebssystem auf dem letzten für Sie ersichtlichen Patchlevel verwendet haben?

Wenn in den AGB steht, ein Kunde hat dafür Sorge zu tragen alle für sein Betriebsystem verfügbaren Sicherheitsupdates einzuspielen, er das macht und die Bank dann technisch ermöglicht ihre Dienste auf dem Telefon zu aktivieren (obwohl sie das einfach prüfen und verhinden könnte), dann sehe ich absolut keine Fahrlässigkeit.

 

[Kartenstecker]

Weisst du was das Grundproblem mit juristischen Laien ist? Das hier. Alles immer versuchen dialektisch und rhetorisch zu diskutieren. Es geht nicht um Meinung oder Überzeugungskraft.
Es ist wie es ist.
Anders als bei der Hausordnung einer Jugendherberge kann ich dir nicht hinreichend den einen Paragraphen zeigen in dem alles steht, ohne neue Unklarheiten auszulösen, deswegen dauert das durchschnittliche Jurastudium 11 Semester 2 Jahre Referendariat. Und selbst Fachjuristen tun sich damit schwer, daher die umfangreichen Kommentarwerke als Arbeitshilfen.

Und niemand kann, will und darf Rechtsberatung in Internetforen geben, daher halte ich meine Hinweise allgemein.

ChatGPT ist ein erstaunlich guter Diskussionspartner für solche Dinge, wenn du immer wieder nach seriösen Quellen fragst und dir diese nennen lässt und prüfst.

Insbesondere sind Abgrenzungsfragen der Haftung und Fahrlässigkeit ein ganz eigenes Rechtsgebiet, was in sich in weitere Rechtsgebiete unterteilt ist, im Straßenverkehrsrecht ist es was anderes als im Bankenrecht, usw. Trotzdem gibt's gewisses Grundwissen, das jeder Jurist haben sollte und da kann ich nur sagen: du kannst es dir rhetorisch gerne so hin drehen, dass deine Privatmeinung erfüllt ist, du kannst diese aber nicht unter geltendes Recht subsumieren und damit ist es rechtlich keine vertretbare Meinung.

Derartig exzessive, einseitige Haftung mit einer carte blanche zu Lasten der Banken wäre auch mit Rechtsgrundsätzen nicht vereinbar, Verbraucherschutz hin oder her. Dieser wird maßgeblich über umfangreiche Belehrungs- und Zustimmungspflichten erfüllt.

Du kannst übrigens auch hier davon ausgehen, dass es schon längst Schlagzeilen gemacht hätte, wenn einer der täglich durch scam geschädigten Bankkunden die AGB von Google Pay erfolgreich im Rahmen der AGB Inhaltskontrolle hätte gerichtlich hinweg reduzieren lassen können um sich schadlos zu stellen. Die Medien berichten ja sogar ausführlich über derartige Entscheidungen wenn's um popliges Briefporto oder Kontoführungsgebühren geht.

Das Judiz ist in diesen Dingen ein zuverlässiger Kompass, es kommt selten vor, dass jemand im Vorbeigehen ein riesiges Rechtsproblem entdeckt hat, was alle Großkonzerne und deren teure Kanzleien übersehen haben, als Laie in einem Internetforum. It doesn't work like that.

 

[Neo42]

Weisst du was das Grundproblem mit juristischen Laien ist? Das hier.

Ertappt, ich bin kein Jurist. Bist Du einer? Kann ich mir eigentlich nicht vorstellen, weil Du Du meine Einlassungen sonst sicher kurz, knapp und überzeugend widerlegen könntest, anstatt rumzuschwafeln.
In diesem Fall stehen sich also die Meinungen zweier Laien konträr gegenüber; kann passieren.

Wenn Du doch einer bist, dann subsumiere doch bitte mal folgenden Sacherhalt für mich:

Vorwurf: Fahrlässiger Bertrieb von Banking Apps auf dem Smartphone
Fakten:
- Kunde betreibt ein Betriebssystem, das dass aktuell (im August 2024, neuere Zahlen habe ich nicht gefunden) das noch am meisten benutzte Android System ist (1) und von Google bis 2027 (2) supportet wird. Es ist also sicher als aktuell und nicht als obsolet zu bezeichnen.
- Kunde hat sein System auf den aktuellsten verfügbaren Stand upgedated.

Wo handelt, juristisch gesehen, der Kunde hier fahrlässig?

(1): https://www.netzwelt.de/news/233077...-verteilung-android-betriebssysteme-0208.html
(2): https://www.futurezone.de/digital-life/article449287/android-version-ende.html

Ich kenne mich mit Android nicht wirklich aus, das war nur das erste was Google ausgespuckt hat. Ich lasse mich hier gerne korrigieren.

 

[Kartenstecker]

Ich werde hier wie gesagt keine Rechtsberatung* geben. Wobei schon der Obersatz die falsche These aufwirft.
Es hat übrigens noch nie überzeugt zu sagen "aber die anderen machen das doch auch". Wenn die dafür die Haftung übernehmen wollen ist das deren freie Entscheidung als Bürger.

Du versuchst außerdem den Maßstab zu verschieben. Es geht nicht um das letzte verfügbare Update. Ich überlasse es deiner Fantasie dir zu diesem Leitsatz selbst absurde Ergebnisse zu überlegen.
Wenn ein Gerät nicht mehr vom Hersteller unterstützt wird gibt es für die quasi täglich aufkommenden exploits keine Fehlerbehebung mehr. Bis zu diesem Zeitpunkt ist die Haftungsfrage im Einzelfall durchaus eine schwierige Abgrenzung.
Ab diesem Zeitpunkt und mit Wissen und Wollen solch ein Gerät weiter zu betreiben ist eine ganz andere Frage.

Es ist nicht die Obliegenheit einer Bank alle möglichen Kundengeräte aus der Ferne zu überwachen, noch wäre das leistbar oder aus Gründen des Datenschutzes statthaft. Stattdessen wird über AGB und Belehrung eine Abgrenzung der Verantwortlichkeiten vorgenommen und wer damit nicht einverstanden ist darf die entsprechende Dienstleistung nicht in Anspruch nehmen. Verbraucherschutz soll nicht die Vertragsfreiheit oder persönliches Risiko abschaffen, sondern lediglich den organisatorisch weniger kompetenten Verbraucher davor schützen aus Unwissenheit vom üblicherweise viel besser organisierten Unternehmen übervorteilt zu werden.

Wir drehen uns hier sowieso im Kreis. Du hast deine Meinung und willst die mit allem Nachdruck in die Rechtslage pressen. Ich bin aus guten Gründen kein Rechtsanwalt geworden, für diese Art Verbraucherberatung fehlt mir die Geduld.

(*Subsumtion unter den Einzelfall).

 

[geos]

Es ist alleine dadurch kompromittiert, dass es seit April 2024 vom Hersteller nicht mehr unterstützt wird, IT Sicherheit basics 101.

Wir haben offenbar eine unterschiedliche Verwendung des Wortes "kompromittiert". Für mich ist ein Gerät, wenn es keine Sicherheitsupdates mehr erhält, sicherlich non-compliant und idR. auch tatsächlich unsicher, aber durch diesen Umstand allein noch nicht automatisch kompromittiert. Daran soll die Diskussion allerdings nicht scheitern. Daher präzisiere ich gerne: der Zustand des Telefons spielte für den Missbrauchsversuch hier keine Rolle.

Wie dargelegt ist es außerdem nicht möglich mit dem Token eine Onlinezahlung anzustoßen, ohne die im Smartphone hinterlegte Authentifizierung ist das so als würdest du bei einer Plastikkarte eine unvollständige Kartennummer eingeben. Der processor ninmt sowas nicht einmal an. Folglich tauchen auch nirgendwo Abbuchungsversuche auf.

Ich gehe davon aus dass eine erfolgreiche Zahlung am POS/beim Processor mitgeschnitten und die dort verwendete (in diesem Fall virtuelle ) Kartennummer (oder was der Angreifer, der es abgefischt hat, dafür hielt; evtl. war sie auch auf gut Glück "konstruiert"/"erraten") für einen späteren Zahlungsversuch (bei einer schnöden Onlinezahlung; nichts mit Google Pay) verwendet wurde, was aber auf Grund der Sicherheitsmechanismen nicht geklappt hat.

Und damit verabschiede ich mich aus der Runde.

offenbar nicht wirklich

Ich schlage vor, dass alle (Möchtegern-) Fachjuristen die Diskussion über eine Haftung des Kunden beim Einsatz veralteter/ungepatchter Smartphones separat fortführen, z.B. im Google Pay Faden, da sie mit dem Fall hier nichts zu tun hat, aber durchaus von allgemeinerem Interesse sein könnte.

Wenn jemand tatsächlich ein Smartphone kompromittiert und dort beliebige Zahlungen auslösen kann, wird er übrigens nicht wie hier erst eine lächerliche Testzahlung machen und danach nichts weiter, wenn es mit einer der unter ferner liefen hinterlegten Karten scheitert, sondern gleich was ordentliches.

 

[Kartenstecker]

Deine süffisante Polemik kann nicht darüber hinweg täuschen, dass du nicht den Hauch eines Indiz oder Anhaltspunkt für irgendwas davon hast was du hier schreibst. Wieso deine These mit der Funktionsweise von Google Pay unvereinbar ist habe ich bereits erklärt, wenn dich die technische Dokumentation dazu interessiert, einfach googlen.
Daher kann man zumindest sagen, dass es das nicht gewesen sein kann.

Nach dem Ausschlussprinzip bleibt dann nicht mehr wirklich was anderes als das Endgerät, das zufälligerweise veraltet ist.
Ja, ist schon wirklich eine steile These OP zu raten das nicht weiter für Finanzen zu nutzen, Sicherheitsupdates sind schließlich überbewertet, weiss doch jeder.


blaaa blaaa blaaa


Und wenn's dann doch irgendwann schief geht ist die Trübsal wieder groß und alle sollen dafür verantwortlich sein, nur nicht man selbst.

 

[Hotel]

ANZEIGE

Es ist eine Frage der Lebenseinstellung:

Möchte ich alles, was leicht möglich ist, dafür tun, damit ich am Smartphone sicher Banking machen kann. Dann kommen Smartphones mit abgelaufenem Software-Support in den Müll/ zu Kleinanzeigen. Dann kaufe ich die schlimmsten der China-Böller gar nicht erst.

Oder ich habe es gern „spannend“, und belege dann den Support der Bank mit massenhaft Nachrichten, wenn es schief geht. Wer dagegen argumentiert, bekommt als Antwort: „Das ist mir einen Ticken zu platt.“

Bei uns soll alles einfach nur funktionieren. Deshalb nutzen wir nur iPhones, nur so lange noch alles geupdatet wird. Das sind beim iPhone ca. 5 Jahre. Kein Sideload, kein Root.