Millionenbetrug bei der Deutschen Post
Die Internetmarke der Deutschen Post AG ist eigentlich ganz praktisch. Geld wird der Post überwiesen und die Post schickt den Menschen dann die Briefmarken als PDF-Datei online zu. Die Briefmarken können dann auf Klebefolie ausgedruckt werden, direkt auf Briefumschläge oder auch auf ganz normalen DIN-A4-Papier. In diesem Fall kann die Briefmarke dann einfach ausgeschnitten und mit einen Klebestift auf den Briefumschlag geklebt werden.
Bezahlt werden können die Briefmarken mit einen Konto des Luxemburger Krieditinstituts PayPal. Und genau das ist der Haken. Den grossen Firmen in Deutschland ist bekannt wie leicht es ist an ein solches Onlinekonto heranzukommen und damit betrügerisch umzugehen. In der Cracking-Szene wird ein solches verifiziertes Paypal-Konto mit 10 Euro gehandelt. Verifiziert heisst, dass das PayPal-Konto im Lastschriftverfahren auf eine Kreditkarte oder ein Girokonto zugreift. Es kann also per Vorkasse bezahlt werden und PayPal holt sich dann das Geld von einen anderen Konto wieder. Die Post lässt es aber sogar direkt zu, dass die ausdruckbaren Briefmarken per Lastschriftverfahren bezahlt werden. Dazu werden nur echte Bank- und Adressdaten gebraucht, die überall im Internet gefunden werden können.
Es ist so möglich pro Bestellung ohne zu bezahlen 2197,80 Euro in Briefmarken zu erhalten. Diese Briefmarken sind übertragbar und können nicht der Bestellung zugeordnet werden. Nur gegen das doppelte verwenden der ausdruckbaren Briefmarken gibt es angeblich einen Sicherheitsmechanismus.
In Zeiten der Bankenkrise und erhöhten Preisen ist dieses leichtsinnige Angebot der Post grob fahrlässig. Dabei ist es ziemlich einfach diese Sicherheitslücke zu schliessen. Dafür müsste die Post einfach die erste Bestellung nur per Banküberweisung zulassen und den Druck der Briefmarken bei der ersten Bestellung etwas verzögern. Aber das scheint der Post nicht möglich zu sein. Noch schlimmer, aus Sicht der Post, dürfte es sein, dass es in der Cracking-Szene ein nicht-öffentliches Tutorial gibt mit dem anonyme Girokonten beispielsweise bei der Deutschen Bank, Dresdner Bank oder Commerzbank über Postdienstleistungen eröffnet werden können.
Aber nicht nur die Deutsche Post, sondern auch die Deutsche Bahn und die Berliner S-Bahn GmbH gehen mit ihren Dienstleistungen grob fahrlässig um. Und das, wie schon erwähnt, bei steigenden Preisen. Letztendlich werden diese Verluste auf die Preise aufgeschlagen. Es ist zudem extrem lächerlich, dass die Banken und ihre Minister von Sicherheit sprechen, Gesetze initiieren die andere Menschen einschränken und dabei selbt ihr Scheunentor ganz weit auflassen.
Negativ zu kritisieren, dass sich Menschen Briefmarken oder Fahrkarten erschwindeln kann aber nicht der Zweck dieses Artikels sein. Denn das Recht auf Bewegungsfreiheit und das Recht auf freie Kommunikation sind elementare Bestandteile einer emanzipatorischen Gesellschaft. Briefe zu versenden muss für alle Menschen kostenfrei werden! Mit der Bahn zu reisen muss für alle Menschen kostenfrei werden!
http://www.deutschepost.de/porto-direkt/
http://de.wikipedia.org/wiki/PayPal
http://de.wikipedia.org/wiki/Cracker_(Computersicherheit)
Bezahlt werden können die Briefmarken mit einen Konto des Luxemburger Krieditinstituts PayPal. Und genau das ist der Haken. Den grossen Firmen in Deutschland ist bekannt wie leicht es ist an ein solches Onlinekonto heranzukommen und damit betrügerisch umzugehen. In der Cracking-Szene wird ein solches verifiziertes Paypal-Konto mit 10 Euro gehandelt. Verifiziert heisst, dass das PayPal-Konto im Lastschriftverfahren auf eine Kreditkarte oder ein Girokonto zugreift. Es kann also per Vorkasse bezahlt werden und PayPal holt sich dann das Geld von einen anderen Konto wieder. Die Post lässt es aber sogar direkt zu, dass die ausdruckbaren Briefmarken per Lastschriftverfahren bezahlt werden. Dazu werden nur echte Bank- und Adressdaten gebraucht, die überall im Internet gefunden werden können.
Es ist so möglich pro Bestellung ohne zu bezahlen 2197,80 Euro in Briefmarken zu erhalten. Diese Briefmarken sind übertragbar und können nicht der Bestellung zugeordnet werden. Nur gegen das doppelte verwenden der ausdruckbaren Briefmarken gibt es angeblich einen Sicherheitsmechanismus.
In Zeiten der Bankenkrise und erhöhten Preisen ist dieses leichtsinnige Angebot der Post grob fahrlässig. Dabei ist es ziemlich einfach diese Sicherheitslücke zu schliessen. Dafür müsste die Post einfach die erste Bestellung nur per Banküberweisung zulassen und den Druck der Briefmarken bei der ersten Bestellung etwas verzögern. Aber das scheint der Post nicht möglich zu sein. Noch schlimmer, aus Sicht der Post, dürfte es sein, dass es in der Cracking-Szene ein nicht-öffentliches Tutorial gibt mit dem anonyme Girokonten beispielsweise bei der Deutschen Bank, Dresdner Bank oder Commerzbank über Postdienstleistungen eröffnet werden können.
Aber nicht nur die Deutsche Post, sondern auch die Deutsche Bahn und die Berliner S-Bahn GmbH gehen mit ihren Dienstleistungen grob fahrlässig um. Und das, wie schon erwähnt, bei steigenden Preisen. Letztendlich werden diese Verluste auf die Preise aufgeschlagen. Es ist zudem extrem lächerlich, dass die Banken und ihre Minister von Sicherheit sprechen, Gesetze initiieren die andere Menschen einschränken und dabei selbt ihr Scheunentor ganz weit auflassen.
Negativ zu kritisieren, dass sich Menschen Briefmarken oder Fahrkarten erschwindeln kann aber nicht der Zweck dieses Artikels sein. Denn das Recht auf Bewegungsfreiheit und das Recht auf freie Kommunikation sind elementare Bestandteile einer emanzipatorischen Gesellschaft. Briefe zu versenden muss für alle Menschen kostenfrei werden! Mit der Bahn zu reisen muss für alle Menschen kostenfrei werden!
http://www.deutschepost.de/porto-direkt/ http://de.wikipedia.org/wiki/PayPal http://de.wikipedia.org/wiki/Cracker_(Computersicherheit)
Indymedia ist eine Veröffentlichungsplattform, auf der jede und jeder selbstverfasste Berichte publizieren kann. Eine Überprüfung der Inhalte und eine redaktionelle Bearbeitung der Beiträge finden nicht statt. Bei Anregungen und Fragen zu diesem Artikel wenden sie sich bitte direkt an die Verfasserin oder den Verfasser.
(Moderationskriterien von Indymedia Deutschland)
(Moderationskriterien von Indymedia Deutschland)
Ergänzungen
nullmeldung - sind wir hier bei der BILD?
1. nix ist 100% sicher.
2. cracker sind keine phisher.
3. cracken dauert zu lange. passwoerter sind immer vom benutzer zu setzen. gute passwoerter (wie $)#!!"#$$="=!!"«"») machen das cracken eines accounts sinnlos.
4. man kann sich alles erschwindeln, aber: der briefmarkendeal ist eine sackgasse. denn: versuch die briefmarken doch erst einmal wieder zurueck in geld zu tauschen. 3000€ in porto, schoen und gut, und dann? wen willst du in briefmarken bezahlen?
5. die moeglichkeit der rueckbuchung existiert.
6. wenn man nicht blind durchs leben laeuft, und einen halbwegs aktuellen browser hat, kann man phishing problemlos umgehen.
7. dieses angebot ist nicht fahrlaessig. paypal ist sicher genug.
8. du hast nicht verstanden wie paypal funktioniert: ein paypal account per konto ist das einzige was moeglich ist. kontos, die mit einem paypal account asoziiert werden, muessen erst eine testbuchung durchlaufen, damit paypal sehen kann, ob das konto denn auch wirklich existiert. (sind einige cents)
9. anonyme konten sind nach deutschem recht nicht moeglich.
10. einen "millionenverlust" oder "-betrug" gibt es ueberhaupt nicht. ansonsten wuerden wir davon hoeren, und die post waere pleite.
11. zu kurz gedacht: wenn die deutsche post wind davon bekommt, das du briefmarken erschlichen hast, werden sie die briefmarken als ungueltig werten, wenn es bereits bestehende sicherheitsmechanismen fuer die verwendung der briefmarken gibt. und wenn du briefe mit eben diesen briefmarken versendest, wirst du erwischt werden.
Ergänzung
inhalt? 23.10.2008 - 08:33
und was will uns der artikel sagen?
Zu 2.: Wenn Du den Begriff "Cracker" so definierst wie zur Zeit in Wikipedia, dann haben aber auch SQL-Injections, Exploits und Social Engineering mit Cracking zu tun.
Zu 4.: Die Nutzung der Briefmarken ist kinderleicht.
Zu 5.: Ja, die Rückbuchung funktioniert, aber die Briefmarken sind dann schon weg.
Zu 7. und 8.: Ich kann da anonym ein Konto eröffnen 50 Euro einzahlen lassen und 50 Euro wieder abheben. Dafür muss ich mich nicht verifizieren. Beim verifizierten Konto hast Du recht! Aber nicht bei der Sicherheit!
Zu 9.: Anonyme bankkonten sind nach deutschen Recht nicht möglich, trotzdem gibt es sie.
Zu 10.: Diesen Schaden gibt es, nur die Post wird damit sicher nicht hausieren gehen. Dafür sind die Medien zuständig.
Zu 11.: Als erstes will ich klarstellen, dass ich sowas nicht mache! Las sich so. Und dann gibt es keine Möglichkeit diese Briefmarken zu sperren. Sie sind zwar registriert, aber lassen sich keiner Bestellung zuordnen.
nullchecker
Und ganz nebenbei, es ist für die Post einfach wesentlich günstiger, ab und zu mal einen kleinen Verlust zu haben als ein 100% sicheres (und damit für ungeübte Nutzer kompliziertes und damit wenig genutztes) Verfahren zu implementieren. Die bei der Post sind halt nicht doof, die wollen Profit machen...
Und warum der Beitrag stehen bleibt, weiss ich auch nicht. vielleicht weil rib mitlerweile der einzige ist, der noch wirkliche indy artikel schreibt. Der Rest wird doch nur zweitverwertungstechnisch hier untergebracht, um die eigene Demo/ Website/ Blog zu promoten.
Beiträge die keine inhaltliche Ergänzung darstellen
ueber den autor — NAPALM DEATH
Titel — name
hmmm — tagmata