Insbesondere Commerzbank betroffen
Berichte über betrügerische Abbuchungen über Apple Pay häufen sich
Es ist ohnehin ratsam, seine Kontoauszüge und Kreditkartenabrechnungen stets aufmerksam zu prüfen. Nutzer von Apple Pay sollten hier aktuell besondere Sorgfalt walten lassen. Derzeit häufen sich die Berichte über offenbar betrügerische Abbuchungen aus dem Ausland.
Ein Leser berichtet davon, dass er auf eine nicht von ihm autorisierte Apple-Pay-Zahlung über die hinterlegte Commerzbank-Karte aufmerksam geworden ist. Auf seine Reklamation hin wurde ihm nicht nur bestätigt, dass es sich hier wohl tatsächlich um Betrug handelt, sondern ihm auch mitgeteilt, dass hiervon derzeit eine Vielzahl jener Commerzbank-Kunden betroffen ist, die Apple Pay verwenden.
Bild: Reddit
Dem Supportteam der Commerzbank zufolge handelt es sich dabei in der Regel um vergleichsweise kleine Beträge bis zu 30 Euro, die über Apple Pay von Debitkarten abgebucht werden und bei denen im Abbuchungstext häufig PayPal erwähnt wird. Die Abbuchungen erfolgen stets aus dem Ausland, wobei teils auch andere europäische Länder als Ursprungsland angegeben werden.
Hintergrund unklar
Wenngleich derzeit gehäuft über solche Betrugsfälle im Zusammenhang mit der Apple-Pay-Nutzung über die Commerzbank berichtet wird, scheint es wenig wahrscheinlich, dass Datenpannen oder Schwachstellen bei der Commerzbank selbst oder gar Apple selbst die Ursache sind. Man kann davon ausgehen, dass beide Parteien in dieser Sache im Hintergrund ermitteln. Möglicherweise sind hierbei Unregelmäßigkeiten bei zwischengeschalteten Zahlungsanbietern im Spiel. Die Erwähnung von PayPal im Abbuchungstext muss nicht zwingend darauf hindeuten, dass PayPal selbst tatsächlich auch eingebunden ist.
Sicher ist nur, dass es sich hierbei um keinen Einzelfall handelt. Die Angaben des Commerzbank-Supports werden durch Einträge in verschiedenen Diskussionsforen bestätigt. So berichten beispielsweise auf Reddit unter Überschriften wie “Hat die Commerzbank ein Datenleak?” oder “Commerzbank Betrügerische Abbuchungen via Apple als „PayPal“ getarnt” zahlreiche Nutzer von vergleichbaren Vorkommnissen.
Wenn möglich Auslandssperren verhängen
Über die Kontrolle der über Apple Pay erfolgten Abbuchungen hinaus könnt ihr euch vor solchem Missbrauch schützen, wenn beispielsweise die Auslandsnutzung eurer Karten beschränkt oder sperrt. Zumindest ein Teil der mit Apple Pay kooperierenden Banken bietet entsprechende Möglichkeiten an, unser Beispiel oben zeigt die Ländereinstellungen der DKB.
Bei Trade Republic ist mir das auch schon passiert und ich habe nicht mal diese Visakarte überhaupt irgendwo genutzt. Seitdem ist sie standardmäßig bei mir gesperrt.
So richtig versteh ich nicht wie das funktionieren soll. Die betroffenen Anwender haben also nirgends doppelt die Aus-Taste gedrückt um überhaupt erst Apple Pay zu aktivieren? Wäre ja komplett neu dass der NFC Chip dann überhaupt an ist.
Mit Apple Pay kann man doch auch online bezahlen, nicht nur am Terminal.
Ja, aber dann muss man die Zahlung am Handy freigeben
Je nach größe des Sicherheitsproblems, konnten vielleicht eigene Karten für Apple Pay generiert werden.
Wer sagt denn überhaupt, dass da eine Apple Kennung involviert ist? Das ist einfach nur eine Lastschrift mit irgendeinem Verwendungszweck. An sich muss das mit Apple gar nix zu tun haben. Und so wird es wohl abgelaufen sein. Allein der Empfänger verrät, dass es was falsches ist und deshalb holt man das Geld zurück.
Danke für den Tipp mit der Ländersperre!
Bei mir haben jetzt schon mehrmals betrügerische Werbeeinblendungen versucht, über 0.- Abbuchungen zu tätigen.
Also irgendwas stimmt hier nicht..
Was sehen wir auf den Screenshots? Das sind erst einmal Lastschrifteinzüge und keine direkten Kreditkartentransaktionen.
Die Gläubiger-ID DE38ZZZ00000020140 hat nichts mit Apple zu tun, das ist einfach die der Commerzbank. Diese verwendet sie zum Einzug der fälligen Beträge, die über deren Kredit- bzw. Debitkarten erfolgen. Eben einmal über eine Debitkarten-Transaktion von Apple und einmal von PayPal.
Mit Fake-PayPal Transaktionen hat es imho auch nichts zu tun. Man kann auch als Gast bei PayPal mit irgendwelchen Kartendaten Transaktionen durchführen (solange diese Karte nicht an ein anderes PayPal-Konto gebunden ist).
Ich glaube, dass es sich hierbei um einen simplen Leak der Kartendaten handelt und jemand war einfach mit der Kreditkarte über PayPal shoppen, das hat mE weder was mit Apple (Pay), noch mit der Commerzbank, noch mit PayPal zu tun.
Exakt habe ich mir bei den Screenshots auch gedacht. Die Leute werfen auch ganz schnell mal Apple Pay mit Zahlungen über das Apple-Konto etc zusammen obwohl die nichts miteinander zu tun haben müssen. Und auch wenn ich ifun für recht fähig halte, der Post basiert auf ein paar Reddit-Aussagen, da habe ich schon sehr viel Schwachsinn gelesen auf der Plattform. Hat noch keinen Informationsgehalt würd ich sagen.
Ja, das kommt auch nochmal dazu. Apple Pay hat ja nichts mit, ich nenne es mal veraltet, „iTunes-Transaktionen“ zu tun, wie wir sie hier im konkreten Fall sehen. Außer man verwendet Apple Pay dafür natürlich. Aber auch dann ist es hier im konkreten Fall ursprünglich eine iTunes/AppStore/iCloud-Transaktion.
Korrekt. Es wurde die Mastercard Debit für Zahlungen benutzt. Mehr lässt sich aus dem Screenshot nicht ableiten. Muss und wird mit Apple Pay gar nichts zu tun haben.
Bei mir ist in Abbuchungen auch kein Hinweis auf Apple Pay. Nach einer Reklamation hat die Bank aber bestätigt, dass es über Apple Pay lief.
Der Bericht ist kein Bilderbuch.
Bei der DKB sind trotz Ländersperre Onlinezahlungen ausdrücklich nicht gesperrt.
Das macht auch eigentlich keine Bank so. Sonst würden die Kunden alles außer Deutschland deaktivieren und sich dann wundern wieso Amazon.de nicht geht (Luxemburg) oder Lieferando.de (Niederlande) etc — meist hat man gar keine Ahnung von wo bei einer Online-Kartenzahlung abgebucht wird.
Das eine hat auch nichts mit den anderen zu tun, meine Banken trennen das auch beim deaktivieren…
Ich versteh das nicht… welche Daten benötigen die Betrüger denn um eine ApplePay-Abbuchung in meinem Namen zu autorisieren? Ich dachte dazu müsste wenigstens mal ein Apple-Device mit meinem Account drauf vorhanden sein?
Dein Vorname reicht, Horst.
Nicht bei einer 2 Faktor Authentifizierung
Und du machst deinem Namen alle Ehre.
Denke mit der Commerzbank schon, ne mir war es zweimal mit der Virtuellen Kreditkarte der Commerzbank …
Vermutung:
Bei dieser Karte gibt es keinen 3 stelligen, wie bei anderen Kreditkarten auf der Rückseite, mit dem die Zahlung bestätigt wird…
Da reicht die Kreditkarten-Nummer zum einkaufen aus…
Meiner Meinung nach muss die Commerzbank nachbessern …
Wenn der Shop die CVC will, kommt man ohne nicht weiter. Wenn der Shop diese nicht möchte, braucht man diese auch nicht, selbst wenn die Karte eine hat. Die Haftung des Händlers ist dann auch höher. Berühmtestes Beispiel dürfte Amazon sein, die keine CVC wollen. War zumindest sehr lange der Fall.
Ich habe letzten September mit Paypal auf Etsy etwas gekauft. Stunden später wurde in Schweden mit meiner Kreditkarte eingekauft.
Meine Vermutung ist, dass zwischen Paypal und etsy die Schwachstelle war. Wie sollte man sonst an meine Kreditkartendatrn gekommen sein? Habe alles zurück bekommen und wäre sehr ärgerlich geworden, da die Kreditkarte gesperrt werden musste und ich nicht zuhaue war, sondern unterwegs und ich auf kartenzahlung angewiesen war. Hatte aber noch eine weitere Karte. Ich bin sehr froh, mehr als eine Karte zu haben und dachte mir, was hätte ich früher gemacht, als ich noch keine Kreditkarte hatte und eventuell mein Konto, girokarte gesperrt worden wäre.
Ich habe zwei Girokonten und mehrere Kreditkarten, um für solche Fälle gewappnet zu sein.
Die Anzahl der potentiellen Angriffsvektoren zu erhöhen, ist wohl eher keine gute Idee und sicher keine Lösung.
Ich bin im Türkei-Urlaub (Alanya). Hier bekomme ich täglich bis zu 10 Zahlungsaufforderungen via Apple Pay (comdirect). Die Bterüger ubheinlich penetrant. Danke für den Tipp, habe soeben die Auslandszahlungsfunktion deaktiviert. BG
Was sind denn bitte „Zahlungsaufforderungen via Apple Pay“ genau? Und was hat das mit deiner geographischen Position zu tun?
Ich kenne die Ursache auch nicht. Mit Zahlungsaufforderung ist die Aktivierung meines Wallets gemeint. Wenn ich die Ein/Aus-Taste doppelt betätigen würde, würde die Zahlung durchgeführt werden.
Paulanergarten
Also alles was ich raus erkenne hat nichts mit Apple Pay zu tun.
Es klingt eher nach gestohlenen Kreditkarten Daten.
Mir werden in meiner App der Commerzbank, als auch in den Kontoauszügen nirgendwo die komplette virtuelle Kartennummer angezeigt. Weil Teil der Kartennunmer wird mir mit XXXX angezeigt. Wie soll das dann gehen?
Mit einem Zufallsgenerator
Wo/wie aktiviert man die Auslandsperre?
Suchmaschine: Name der Bank oder Kartenanbieter – Karte Ausland sperren
Es gibt da so eine verrückte Erfindung die sich Google nennt, solltest du dir mal anschauen
Ich dachte, es sei eine ApplePay-spezifische Einstellung, du Klugsche*sser!
Teilweise herrschen hier Zustände wie bei Reddit, ganz schlimm.
@dave: gilt das dann auch für Online-Zahlungen?
In der Regel sind doch nur Zahlungen in dem Land an physischen Kartenterminals gesperrt oder nicht?
++
Deine Wortwahl ist dagegen wirklich exquisit.
Manchmal muss man sich seinen Mitmenschen anpassen
Das mit der identischen Gläubiger-ID ist spannend. Wobei aus dem Screenshot nicht hervorgeht, ob denn die angebliche Apple.com Lastschrift legitim ist. Womöglich ist diese ebenfalls eine betrügerische Lastschrift?
„Die Abbuchungen erfolgen stets aus dem Ausland, wobei teils auch andere europäische Länder als Ursprungsland angegeben werden.“
Ausland UND andere europäische Länder? Sapperlot! ;)
Hahaha
hatte ich mir auch schon kopiert Zwecks Kommentar an @ifun : D
„Die Abbuchungen erfolgen meist außerhalb Europas, wobei teils auch …“ ; )
Ich hatte gestern eine Aufforderung eine Zahlung für meine Amazon Karte zu bestätigen.
Reddit, 10 USD.
Habe ich abgelehnt. Fertig.
Sicherheit ist bei den Banken klein geschrieben. Zum Beispiel bei der ING ist das Passwort zwischen 5 und 10 Stellen lang
Aber ist da nicht ein zweiter Faktor Pflicht?
Und wenn du dein Passwort zu oft falsch eingibst, ist dein nächster Versuch erst in X Stunden möglich.
Oder liege ich da falsch?
Ja, über die App.
1+
Mmh, ich habe für die ING ein Passwort mit 24 Stellen. Wie kommst du darauf, dass das Passwort max. 10 Stellen lang sein darf? Oder meinst du die PIN für die mobile App?
Ich kann hier einfach keinen Zusammenhang mit Apple Pay erkennen, außer das vielleicht die Kreditkarte des Konto’s auch bei Apple Pay hinterlegt war. Aber wer sich mit Apple Pay’s Funktionsweise auseinandersetzt erkennt schnell das hier was anderes abgelaufen sein muss. Der Autor scheint Apple Pay’s Funktionsweise nicht zu kennen…
Bei mir wurde 31 € abgebucht. Stimmt nicht mit 30 €
Schon witzig, wie man hier versucht einen Bezug zu Apple Pay herzuleiten, denn die Fake Zahlung wurde eindeutig mit PayPal und nicht mit Apple Pay ausgeführt. Offensichtlich wurde hier nur das PayPal Konto gehackt. Der Betroffene unterstellt den Bezug mit Apple Pay, weil die Gläubiger ID gleich ist, das ist aber die von der Commerzbank – die ist immer die gleiche, egal ob er Apple Pay, PayPal oder die Debitkarte nutzt.
Die „News“, der Text ist erschreckend schlecht.
+1
Ich gib mal meinen Senf dazu
Ich erhalte in letzter Zeit öfter Anrufe, zum Beispiel aus Polen oder Österreich. Das sind Ping Anrufe und wenn man rangeht, meldet sich eine ausländisch klingende Frau. Hier ist PayPal weiter kommen die bei mir nicht dann wird aufgelegt und die Nummer wird gesperrt. Vielleicht hat es damit etwas zu tun, dass man irgendwas tut am Telefon wozu die den Teilnehmer auffordern.
Und das hat jetzt genau was mit dem Thema zu tun?
Also dieser Artikel ist ein Griff so tief ins Klo, dass man nur hoffen kann, dass er an der Schulter ein Ende fand!
iFun, jetzt mal ganz ehrlich. Dieser Artikel muss weg oder es muss deutlich erkenntlich gemacht werden das dieser Artikel einfach komplett falsch ist, der Zusammenhang mit Apple Pay ist absolut frei erfunden und bei den vorliegenden Daten auch einfach komplett falsch. Auf E-Mails reagiert ihr ja leider nicht.
Ist es nicht so, dass bei kleineren Beträgen nicht geprüft wird. Ich meine, von einer Grenze unter 50,00, vielleicht 30,00 €, gehört zu haben. Es würde mich aber nicht wundern, wenn ein Mitarbeiter der Commerzbank dahintersteckt. Damit meine ich nichts gegen die Bank, sondern das gilt gegenüber den Mitarbeitern von Banken. Ich denke, es dürfte zu einfach sein, kleine Betrügereien durchzuführen. Da war doch mal was mit der dritten Stelle hinter dem Komma, dass das dann richtig viel Geld geworden ist. Das ist nur ein Gedanke aus dem Bauch heraus.
Das hat alles rein gar nichts mit Apple Pay zu tun.
1,5 Tage später und ich weiß immer noch nicht, wie man auf die Idee kommt, dass das ganze mit Apple (Pay) zu tun haben könnte.
Es wird dann wohl die Apple Pay Infrastruktur genutzt.
Apple Pay ist mehr als einfach nur die Kreditkarte im iPhone speichern.
Hier sind es 24,24€
PayPal im Betreff.
Bei Paypal ist die letzten 24 Monate mit der nix gelaufen. Ist eine Virtual Debit Card. Rein erstellt worden für Apple Pay.
Transaktion taucht in der Wallet nicht auf.
Ist zwar als Lastschrift markiert. Aber ist nicht als Lastschrift rückbuchbar (was auch nur auf der Webseite, nicht in der App geht) ist. Nervig.
Same here. 13,54 abgebucht. Die virtuelle Kreditkarte der Commerzbank wird ausschließlich für Apple Pay genutzt. Deswegen kenne ich selbst die komplette Zahl der Kartennummer nicht. Um all die Vermutungen von weiter oben zusammenzufassen: vermutlich ist es irgendjemandem gelungen, den Algorithmus zu finden, wie diese Kartennummern generiert werden da sie offensichtlich keine Security Merkmale und Verfahren hinterlegt haben, weil ja eigentlich nur für Apple Pay gedacht und da geht die Nummer eh nicht raus… Kann man sie möglicherweise Wenn man Zugriff auf einen Zahlungssystem hat auch als Zahlungsmittel angeben und die Abbuchung wird einfach durchgeführt, weil eben die Sicherheitsmerkmale nicht vorhanden sind oder alle auf irgendeinem default Wert stehen.
Ende vom Lied: ich konnte die Rückbelastung und Beanstandung des Betrages leider nicht über die Homepage der Commerzbank erledigen, der zu beanstanden Betrag war der Karte – warum auch immer nicht zugeordnet und konnte deswegen auch nicht von mir im Self Service beanstandet werden. Ich musste also mehrfach anrufen und nur weil ich jemanden in der Filiale der Commerzbank kenne, wurde es letztendlich als Reklamation bearbeitet. Geld ist noch nicht zurück, aber ich habe zumindest mal alle virtuellen Kreditkarten storniert beziehungsweise gekündigt bis klar ist, dass man die wieder sicher nutzen kann. Als Alternative habe ich jetzt die Bankverbindung in PayPal hinterlegt und zahle eben mit PayPal und lasse direkt vom Konto abbuchen. Ist jetzt auch nicht arg viel schlechter als eine Debitkarte. Damit ist aber Apple Pay in Verbindung mit der Commerzbank für mich erst mal gestorben.
In Deutschland ist 2FA Pflicht.
Wenn Comerzbank oder Aple einfach ungeprüft Geld an Krimminelle seden,
dann muss die Staatsanwaltschaft und BaFin ermitteln.
Niemand darf einfach Geld abbuchen,und keine Bank darf einfach Geld Raushauen,wegen einer Behauptug,selbiges gilt bei Bankeinzug.