Visa secure

9 views
Skip to first unread message

Stephan Elinghaus

unread,
Dec 5, 2022, 3:12:33 AM12/5/22
to
Grüß Gott zusammen,


weil hier nichts OT ist und es zumindest etwas mit Technik zu tun hat:
Ich hatte neulich ein seltsames Erlebnis mit einem online-Bezahlvorgang
per Kreditkarte (Visa, eine echte Kreditkarte, keine Debitkarte) und
"Visa-secure".
Ich verwende in meinem Browser uBlock origin in der "Paranoid"-Variante:
Es wird erst mal alles geblockt, inklusive JavaScript. Nur das, was
explizit freigeschaltet ist, wird auch nachgeladen bzw. ausgeführt.
Jetzt habe ich einen Bezahlvorgang bei einem online-Händler angestoßen,
bei welchem ich schon lagen Kunde bin und der in meiner Liste als
durchaus seriös gilt (Völkner, falls das von Interesse sein sollte).

Jetzt wurde ich während dem Bezahlvorgang, nach der Eingabe meiner
Kreditkartendaten, auf die Seiten von Visa bzw. Visa-secure
weitergeleitet, wo der Skriptblocker alles blockiert hat.

Erwartungskonform hat die Seite gar nichts oder nur einen Platzhalter
angezeigt. Ich habe den Blocker auf "Visa ok" gestellt und per F5
neu geladen. Und wider erwarten: die Bezahlung hat funktioniert.

Warum?
Ist es denn "secure", wenn ich alles blockiere? Für mich sicher
ja, aber im Rahmen eines angeblichen "Verifikationsprozesses"?
Ich hätte doch irgendwelche Daten eingeben müssen. Einen
zweiten Faktor, der bei mir auf "SMS" gestellt ist.
Nichts dergleichen. Der Bezahlvorgang ist ohne irgendwelche
Eingaben meinerseits durchgewunken worden.

Müßte so eine Aktion nicht mit einem Fehler abgebrochen werden?
Weiß zufällig jemand genauer, was exakt hinter Visa secure steht? Ich
kenne nur die Infos von Visa selbst bzw. die, die auf deren Homepage
zu finden sind.

--
[out of signatures error]

Matthias Eißing

unread,
Dec 5, 2022, 3:17:34 AM12/5/22
to
Am 05.12.22 um 09:12 schrieb Stephan Elinghaus:
> Der Bezahlvorgang ist ohne irgendwelche
> Eingaben meinerseits durchgewunken worden.

War der Betrag eher klein? Unter 30 EUR?

https://bankenverband.de/themen/online-kreditkartenzahlungen-2021-verpflichtend-3d-secure/

"Muss die zusätzliche Freigabe jedes Mal sein?

Ob die Authentifizierung jedes Mal mit dem 3D- Secure Verfahren
durchgeführt werden muss, hängt von der Entscheidung der jeweiligen
kartenausgebenden Bank ab. Kauft man häufiger bei dem gleichen
Online-Händler ein, kann gegebenenfalls darauf verzichtet werden, jedes
Mal die Zahlung per Kreditkarte mit zwei Faktoren freizugeben. Auch bei
niedrigen Beträgen (unter 30 Euro) kann gegebenenfalls auf das
zweistufige Verfahren verzichtet werden. "

--
cu://Matthias.Eißing.de

Stephan Elinghaus

unread,
Dec 5, 2022, 3:29:36 AM12/5/22
to
Matthias Eißing <meis...@gmx.de> schrieb:
> Am 05.12.22 um 09:12 schrieb Stephan Elinghaus:
>> Der Bezahlvorgang ist ohne irgendwelche
>> Eingaben meinerseits durchgewunken worden.
>
> War der Betrag eher klein? Unter 30 EUR?

Nein, sehr weit drüber.

--
[last signature - order now]

Hergen Lehmann

unread,
Dec 5, 2022, 4:00:03 AM12/5/22
to
Am 05.12.22 um 09:12 schrieb Stephan Elinghaus:

> Ich hätte doch irgendwelche Daten eingeben müssen. Einen
> zweiten Faktor, der bei mir auf "SMS" gestellt ist.
> Nichts dergleichen. Der Bezahlvorgang ist ohne irgendwelche
> Eingaben meinerseits durchgewunken worden.
>
> Müßte so eine Aktion nicht mit einem Fehler abgebrochen werden?

Letztlich entscheidet die kartenausgebende Bank, ob und in welchem
Umfang sie eine Verifikation anfordert. Gerne ist dabei auch eine
Zufallskomponente enthalten, um die Kunden nicht damit zu nerven, das
bei JEDEM Bezahlvorgang Zusatzinformation angefordert werden.

Möglicherweise genügte ihr in diesem Fall die Information, das der (über
die IP-Adresse ermittelte) Standort des Internetzugangs ungefähr zur
Anschrift des Karteninhabers passt. Möglicherweise genügte auch bereits
die Erkenntnis "deutscher Provider, Anschlussinhaber lässt sich ggf. auf
dem Rechtsweg ermitteln".

Matthias Eißing

unread,
Dec 5, 2022, 4:02:43 AM12/5/22
to
Am 05.12.22 um 09:29 schrieb Stephan Elinghaus:
> Matthias Eißing <meis...@gmx.de> schrieb:
>> Am 05.12.22 um 09:12 schrieb Stephan Elinghaus:
>>> Der Bezahlvorgang ist ohne irgendwelche
>>> Eingaben meinerseits durchgewunken worden.
>>
>> War der Betrag eher klein? Unter 30 EUR?
>
> Nein, sehr weit drüber.

Hatte ich auch schon (guter, 3-stelliger Betrag): Keine 3DSecure/2FA
Anforderung.

--
cu://Matthias.Eißing.de

Peter Veith

unread,
Dec 5, 2022, 4:31:55 AM12/5/22
to
Stephan Elinghaus schrieb am Montag, 5. Dezember 2022 um 09:12:33 UTC+1:

> Ist es denn "secure", wenn ich alles blockiere? Für mich sicher
> ja, aber im Rahmen eines angeblichen "Verifikationsprozesses"?
> Ich hätte doch irgendwelche Daten eingeben müssen. Einen
> zweiten Faktor, der bei mir auf "SMS" gestellt ist.
> Nichts dergleichen. Der Bezahlvorgang ist ohne irgendwelche
> Eingaben meinerseits durchgewunken worden.

M.W. muß sich der Zahlungsempfänger "Visa-secure" angeschlossen
haben und Geld für diese Dienstleistung zahlen.

So mußte ich bei einem Lieferanten regelmäßig die TAN per SMS
abwarten und später auch die Sicherheitsabfrage beantworten
("Wie heißt Ihr Hund?" - "Wowwow"), erst dann wurde die Zahlung
ausgeführt ... nun geht bei ihm die Zahlung ohne etwas durch.

Kurz:
Auch ich tendiere dazu, daß das "Durchwinken" nichts mit Deinem
Blocken zu tun hatte.

Selbst tätige ich Bezahlvorgänge auf einem seperaten Browser, der
für nichts anderes genutzt wird, daher kennt der auch keine Blocker.
Allerdings mußte ich "Visa-secure" für den Pi-hole freischalten, denn
sonst ging nichts.

Peter

Stephan Elinghaus

unread,
Dec 5, 2022, 4:41:18 AM12/5/22
to
Matthias Eißing <meis...@gmx.de> schrieb:
> Am 05.12.22 um 09:29 schrieb Stephan Elinghaus:
>> Matthias Eißing <meis...@gmx.de> schrieb:
>>> Am 05.12.22 um 09:12 schrieb Stephan Elinghaus:
>>>> Der Bezahlvorgang ist ohne irgendwelche
>>>> Eingaben meinerseits durchgewunken worden.
>>>
>>> War der Betrag eher klein? Unter 30 EUR?
>>
>> Nein, sehr weit drüber.
>
> Hatte ich auch schon (guter, 3-stelliger Betrag): Keine 3DSecure/2FA
> Anforderung.

Aha. Danke für die Info.


--
[null]

Stephan Elinghaus

unread,
Dec 5, 2022, 4:47:05 AM12/5/22
to
Hergen Lehmann <hlehmann.ex...@snafu.de> schrieb:
Das klingt plausibel, danke.
Ich dachte, ich hätte vor der Transaktion noch angezeigt bekommen,
daß ich zu "Visa secure" weitergeleitet werden. Dann ist es vielleicht
so gelaufen, daß die Skripte nicht gegriffen haben und dann diese
Entscheidung ausgewürfelt wurde. Würde es zumindest erklären, daß
die Zahlung ohne weitere Verifikation durchging. Ich hatte zwar das
Gegenteil erwartet, aber sei's drum. Zumal es um ein paar Hundert
Euro ging, nicht nur um eine handvoll Münzen.

--
[place signature here]

Wendelin Uez

unread,
Dec 5, 2022, 5:43:15 AM12/5/22
to
> Möglicherweise genügte ihr in diesem Fall die Information, das der (über
> die IP-Adresse ermittelte) Standort des Internetzugangs ungefähr zur
> Anschrift des Karteninhabers passt. Möglicherweise genügte auch bereits
> die Erkenntnis "deutscher Provider, Anschlussinhaber lässt sich ggf. auf
> dem Rechtsweg ermitteln".


Auf eine derart vage Übereinstimmung läßt sich die Bank mit Sicherheit nicht
ein - sie würfelt nicht den gesetzlich vorgegebenen Verifikationsbedarf aus
und gibt sich dann mit dem ungefähren Standort zufrieden.

Das Problem der Banken ist ja gerade, daß sie nur aufgrund der
Verbindungsdaten keine Aussage über den Teilnehmer treffen können und
deshalb zwingend weitere Informationen zur Authorisierung brauchen, weil
sonst sie für den Transaktionsbetrag haften. Und keine Bank haftet gerne für
ihre Kunden, keine einzige.

Bei Smartphone-Aufrufen ist das anders, da greifen andere
Sicherheitskonzepte, z.B. bankeigene Apps., die mit dem Smartphone
"verheiratet" sind und deshalb garantieren, daß die Internetverbindung von
dem spezifizierten und der Bank bekanntem Gerät stammt.

Reply all
Reply to author
Forward
0 new messages