Thema: Sparkassen-Kunden im Visier der Phisher

[SiLæncer]

Zur Abwechslung sind seit dem heutigen Montagmorgen Kunden der Sparkasse Ziel von Phishern. Wie mittlerweile bei Phishing-Mails üblich, versucht der Text den Leser mit Sicherheitshinweisen und vermeintlich gut gemeinten Ratschlägen einzulullen. In der Mail findet sich dann ein Link, der auf eine nachgemachte Sparkassenseite unter der Domain sparkasse-hilfe.de führt. Dort soll der Kunde dann seine PIN und zwei TANs zur Verifizierung hinterlassen, die allerdings nicht bei der Bank, sondern bei Betrügern landen.

Laut DeNIC-Datenbank ist die Domain auf eine Person in Manchester registriert. Allerdings dürfte es sich dabei wohl kaum um den echten Antragsteller handeln. Die Seite lässt sich auch nicht zuverlässig aufrufen. Zum Seitenaufbau greift die Phishing-Seite auf Inhalte der echten Seite sparkasse-online.de zurück, was aber offenbar nicht immer funktioniert.

Nutzer von Online-Banking oder anderen Finanzdienstleistungen im Web sollten sich grundsätzlich nur direkt auf der Homepage des gewünschten Dienstes einloggen, nachdem sie die URL per Hand im Browser eingegeben haben oder wenn sie einen zuvor abgespeicherten Favoriten oder ein Bookmark benutzen. In seltenen Fällen kann jedoch die Host-Datei des PC, etwa durch einen Pharming-Angriff, manipuliert worden sein. Dann führt auch diese Vorgehensweise auf den falschen Server.

[Update]

Ob die Betrüger mit den Angaben des Admin-C in der DeNIC-Datenbank besonders witzig sein wollten, die Person in Verruf oder trügerische Sicherheit vorgaukeln wollten ist unklar. Jedenfalls handelt es sich bei Marcus Ross um den seit 2002 eingesetzten Geschäftsführer von Verisign Deutschland. Auch die eingetragene Adresse stimmt mit der offiziellen Anschrift überein.

Quelle : http://www.heise.de/newsticker/meldung/60540

[Schranzbert]

Gerade habe ich die folgende Mail bekommen. Billiger geht es nicht mehr. Diesmal sollen Sparkassenkunden abgezockt werden. Wer darauf noch reinfällt ist selber schuld...

Sehr geehrter Sparkassen Kunde,

wie sie vielleicht in den letzten Wochen und Monaten mitbekommen haben werden Deutsche Online Banken immer häufiger Opfer von sogenannten "Hoax-Attacken", dies bedeutet das fremde Personen versuchen die notwendigen Bankdaten(Kontnummer,pin usw.) über Viren,Keylogger oder Trojaner zu erhalten.

Leider müssen wir Ihnen mitteilen das seit 2 Tagen auch die bundesweiten Sparkassen Opfer dieser Attacken wurden und bereits mehrere Benutzer einen Verlust einer großen Geldmenge hinnehmen mußten,wir bedauern dies aufrichtig.

Wir sind verpflichtet alles was in unsere Macht steht zu tun um Ihre Sicherheit zu gewährleisten.

Mit dieser Email möchten wir nun Ihre Kontoinformation überprüfen und damit bestätigen das Sie und nicht eine dritte Person Zugang zu ihrem Konto haben. Wir bitten um Ihr Verständnis das dies eine reine Vorsichtsmaßnahme ist und nur zu Ihrer Sicherheit beitragen wird.

Bitte besuchen Sie unsere neu eingerichtete Sicherheitsseite zur Prävention(Vorbeugung) von Online Betrug .


Außerdem werden wir von Ihnen 2 Tan nummer anfordern.Diese beiden Tan nummern dienen als Schutz vor unbefugten Überweisungen dritter Personen.Sollte eine Ihrer nächsten beiden Überweisungen nicht mit den angegebenen Tan nummern durchgeführt werden,wird Ihr Konto blockiert und es werden keine Zahlungen mehr angenommen bzw. überwiesen da sich hiermit für uns der Verdacht bestätigen würde das eine dritte unbefugte Person Online Zugang zu Ihrem Konto hat.

Wir bitten Sie deshalb die beiden von Ihnen angegebenen Tan nummern bei Ihren nächsten beiden Online Überweisungen aus dem oben genannten Grund zu verwenden.

Nochmals vielmals um Entschuldigung für diese Unregelmäßigkeit und bedanken uns im Voraus für Ihre Kooperation.

Alle Daten werden verschlüsselt gesendet und vertraulich behandelt.

Nachdem Sie die erforderlichen Informationen an unseren Server übermittelt haben, wird ein Mitarbeiter die Daten überprüfen und sich mit Ihnen im Falle von Unregelmäßigkeiten oder Unklarheiten in den nächsten 24-48 Stunden telefonisch oder per E-mail in Verbindung setzen.

Notieren Sie sich bitte folgende Nummer: 0847264817640

Dies ist ihre persönlichen Sicherheitsidentifikations Nummer ,die Sie in Zukunft nutzen sollten um schnellstmöglichen Service per Email oder Telefon zu erhalten.

Wichtig:

Sollte ein Mitarbeiter Ihrer örtlichen Sparkasse Sie bereits telefonisch kontaktiert haben, können Sie diese E-mail ignorieren.

Vielen Dank


Ihr Sparkassen Team

[Jürgen]

Heiliger Bimbam...

fragt doch in der Fliale 'mal den Polyester-Blazer am Schalter, ob er eure E-Mail hat (oder wie man das überhaupt schreibt)  

Bald gibt's dann auch Milchmann-Phishing
Oder Seelen-Pishing angeblich vom Paster...

Wie dumm muss man eigentlich sein, um aus sowas reinzufallen?

Bitte werfen Sie all' Ihr Geld jetzt aus dem Fenster, dann kann es nicht mehr unter der Matratze verschimmeln, was echt voll furchtbar gefährlich ist...  
Au Backe
 

[Warpi]

Hinweis:
Unsere Mitarbeiter werden Sie zu keiner Zeit, weder persönlich, telefonisch noch per E-Mail, dazu auffordern, Ihre Zugangsdaten bzw. PIN und/oder TAN preiszugeben.

Quelle : www.stadtsparkasse-dortmund.de

Ist doch nicht schwer zu verstehen  

[SiLæncer]

Zwei Dinge sind unendlich: Das Universum und die menschliche Dummheit. Aber bei dem Universum bin ich mir noch nicht ganz sicher.

Albert Einstein (1879 - 1955), deutsch-US-amerikanischer Physiker, 1921 Nobelpreis für Physik

[SiLæncer]

An diesem Wochenende sind Homebanking-Kunden der Sparkassen das Ziel einer Phishing-Kampagne. Viele Anwender haben eine E-Mail von der angeblichen Adresse sparkasseaccess@homebanking-spk.kontoupdate.com erhalten, mit der sie auf eine Abfrage ihrer PINs und TANs gelockt werden sollen. Der holprige Text wirkt zwar nicht allzu überzeugend, ist aber immerhin in formal korrektem Deutsch verfasst:

Sehr geehrte Kundin, Sehr geehrter Kunde,

Im Zusammenhang mit der komplizierten Situation, die in unserem Land mit online - Banking zustande gekommen ist, haben wir die Verordnung bekommen, alle online - Konten von unserer Bank zu überprüfen. Diese Maßnahme wurde wegen der "Tageskonten" getroffen, die von den Missetätern für Geldwäsche der gestohlenen Mittel benutzt werden. Wir bitten unsere Kunden inständig, die Form der Kontobestätigung auf unserer offiziellen Seite auszufüllen. Die Konten, die bis zum 27.08.05 in dieser Form nicht angegeben werden, werden bis zur Feststellung der Umstände ihrer Eröffnung und Verwendung gebunden. Diese Kontrolle ist sowohl für die Privatkunden, als auch für die Firmenkunden aktuell.

Wir entschuldigen uns für die Unannehmlichkeiten, die wir Ihnen mit der Durchführung der Maßnahme bereitet haben, wir hoffen auf Ihre Mithilfe und Verständnis.

Mit freundlichen Grüßen, Sicherheitsabteilung, Sparkasse.de

Quelle : www.heise.de

[Jürgen]

Mir erscheint das "Deutsch" kaum korrekter als bisher.
"die Form"
Das Ganze klingt wie immer nach einem schlecht übersetzten englischsprachigen Entwurf.
Weitere Seltsamkeiten möchte ich hier nicht aufführen, um niemandem Tips zu geben.

A propos, die URL kontoupdate.com ist sicher auch nicht astrein, egal, ob die Mail von da kam:domain: kontoupdate.com
owner: William Kielkopf
organization: BMD
email: ambrwash@yahoo.com
address: 4922 Fostoria Dr.
city: Waterloo
state: IA
postal-code: 50701
country: US
phone: +1 917 3821295
admin-c: ambrwash@yahoo.com#0
tech-c: ambrwash@yahoo.com#0
billing-c: ambrwash@yahoo.com#0
nserver: nsa7.sx2xp.com
nserver: nsa6.sx2xp.com
status: lock
created: 2005-08-13 09:00:31 UTC
modified: 2005-08-13 09:10:14 UTC
expires: 2006-08-13 05:00:31 UTC
source: joker.com live whois service
query-time: 0.016909
db-updated: 2005-08-14 19:13:21 ...besser Finger weg, wie immer!

Ich denke, das Registrierungsdatum spricht Bände...

p.s. die aufgeführten Daten sind für JEDERMANN öffentlich einsehbar.
Quelle steht drin.

Jürgen


 

[SiLæncer]

Die rund 36 Millionen Kunden der Sparkassen können demnächst für 20 Euro pro Jahr eine qualifizierte elektronische Signatur nach deutschem Signaturgesetz erwerben. Neben der sicheren Kommunikation per Mail sollen sich damit rechtsverbindlich Dokumente unterzeichnen, Aufträge über das Internet erteilen oder Behördengänge im Rahmen der e-Government-Angebote von Kommunen, Ländern und des Bundes erledigen lassen.

Dazu führt die Sparkasse eine neue Kartengeneration ein, mit der sich nicht nur wie gewohnt bezahlen lässt, sondern die auch noch die Signatur aufnimmt. Zu den ersten Sparkassen, die ihren Kunden die neuen Signaturkarten in Zusammenarbeit mit dem Deutschen Sparkassenverlag anbieten, gehören die Kreissparkasse Ludwigsburg, die Stadtsparkasse München, die Sparkasse Nienburg, die Sparkasse Osnabrück, die Kreissparkasse Quedlinburg und die Sparkasse Schaumburg.

Ab Ende Oktober sollen alle Sparkassen bundesweit eine für die Signatur vorbereitete SparkassenCard oder eine kontounabhängige GeldKarte anbieten. Auf Wunsch können diese Karten mit den notwendigen Zertifikaten aufgerüstet werden. Möglich wird das Angebot durch die Aufstockung des seit längerem betriebenen Trustcenters des Sparkassenverlages S-Trust um Signaturgesetz-konforme Komponenten durch den Dienstleister für IT-Sicherheit Secunet.

Quelle und Links : http://www.heise.de/newsticker/meldung/64010

[SiLæncer]

Mit der Betreffzeile "Sparkasse.de: wei?t du schon das Neueste?" und in holprigem Deutsch verfasst sollen derzeit zahlreiche E-Mails Sparkassenkunden dazu verleiten, Unbekannten ihre PINs und TANs preiszugeben.

Diese E-Mail belästigt derzeit zahlreiche Anwender.

"Vom 30. Januar bis 30. Februar konnen Sie das Geschenk in Geldaquivalent gewinnen" lautet die zentrale Aussage der Phishing-Mails. Wer den mit dem Text "www.sparkasse2006.de" unterlegten Link anklickt, landet auf einem von mehreren Webservern, die offenbar alle in Fernost stehen.

Egal, was das Phishing-Opfer hier eintippt: Es kann nur verlieren.

Wer etwas in das Formular eingibt oder es einfach leer lässt, erhält nach dem Betätigen des "Anmelden"-Knopfes die bedauernde Auskunft: "Leider haben Sie kein Geschenk gewonnen. Hoffentlich haben Sie Gluck nachstes Mal."

Nicht nur Glück, sondern offensichtlich auch Verstand haben auf jeden Fall die User, die trotz des Gewinnversprechens nicht auf solche Mails hereinfallen. Nach wie vor gilt die Standardwarnung: Nutzer von Online-Banking oder anderen Finanzdienstleistungen im Web sollten sich grundsätzlich nur direkt auf der Homepage ihres Bank-Instituts einloggen, nachdem sie die URL per Hand im Browser eingegeben haben oder wenn sie einen zuvor abgespeicherten Favoriten oder ein Bookmark benutzen. In seltenen Fällen kann jedoch die Host-Datei des PC, etwa durch einen Pharming-Angriff, manipuliert worden sein. Dann führt auch diese Vorgehensweise auf den falschen Server.

Quelle und Links : http://www.heise.de/security/news/meldung/69009

[SiLæncer]

Am heutigen Donnerstagmorgen wurden die Postfächer von Internetnutzern wieder von Phishing-Mails verstopft. Die Anzahl nicht existierender E-Mail-Adressen, an die Phishing-Mails gingen, lag dabei laut Schätzungen von antispameurope bei weniger als 10 Prozent; somit trafen mehr als 90 von 100 E-Mails wie vom Phisher gewünscht beim Empfänger ein.

Bei den kürzlich versendeten Spam-Mails, die lediglich eine Zahl im Betreff und im Mailtext enthielten, scheint es sich somit tatsächlich um eine Ausmistaktion der Internetbetrüger gehandelt zu haben. Diese Aktion läuft wohl weiter, denn die Links auf die Phishing-Seiten in den Mails enthalten auch die Adresse des Empfängers.

Weitere Auffälligkeiten der aktuellen Phishing-Welle betreffen die Sprache: Die bisherigen Phishing-Mails waren in so radebrechendem Deutsch verfasst, dass viele potenzielle Opfern erkannten, dass die Mails nicht vom vorgegebenen Absender stammen konnten. Die jüngsten Betrügermails enthalten sogar einige korrekte Sonderzeichen, einige Formulierungen holpern aber nach wie vor ein wenig.

Als eine Beleidigung der Intelligenz der Empfänger kann man allerdings die Aufforderung der Phisher sehen, Nutzer des iTAN-Verfahrens mögen doch 20 iTANs zur Überprüfung des Kontos eingeben. Empfänger dieser Phishing-Mails sollten die Links in diesen nicht verfolgen, sondern die Mails einfach löschen.

Der Standardhinweis zum Umgang mit Online-Banking behält weiterhin seine Gültigkeit: Nutzer sollten sich grundsätzlich nur direkt auf der Homepage ihres Bank-Instituts einloggen, nachdem sie die URL per Hand im Browser eingegeben haben, oder wenn sie einen zuvor abgespeicherten Favoriten oder Bookmark benutzen.

Quelle : www.heise.de

[SiLæncer]

Die Web-Seiten für das Online-Banking vieler Sparkassen enthalten mehrere heftige technische Fehler, über die sich nahezu perfekte Phishing-Seiten erstellen lassen. Die dazu erforderlichen Angriffstechniken namens Cross Site Scripting (XSS) und Frame Spoofing sind bereits seit Jahren bekannt und sorgten in der Vergangenheit immer wieder für Schlagzeilen. Dass ausgerechnet die Login-Seiten eines ganzen Online-Banking-Portals dagegen anfällig sind, lässt eigentlich nur die Schlussfolgerung zu, dass sich die Verantwortlichen in den vergangenen Jahren nicht ausreichend um deren Sicherheit gekümmert haben.

Der erste Fehler wurde von Ulrich Keil entdeckt und auf einer Sicherheits-Mailingliste veröffentlicht. Ein Angriff darüber erfordert es, dass der Anwender auf eine speziell präparierte URL klickt, die allerdings direkt auf die Sparkassenseiten verweist. Einzige Auffälligkeit ist ein seltsamer Parameter mit einer weiteren URL. Die Web-Applikation der Sparkassen überprüft nämlich den Parameter KONTO nicht, sodass es möglich ist, in diesen speziellen HTML-Code einzubetten. Eine von Keil veröffentlichte Liste führt allein sechs anfällige Sparkassen-Filialen auf; nach Stichproben von heise Security ist sie jedoch längst nicht vollständig.

Keil demonstriert dieses Problem mit einem täuschend echten IFrame, der die ursprüngliche Anmeldemaske überdeckt. Alle Eingaben auf der Seite, die man über die Demo-URL erreicht, würden damit auf seinem Server landen. Allerdings verwendet er dabei keine SSL-gesicherte Seite, was in den meisten Browsern zu Warnungen führt. Diese Demo-URL zeigt, dass sich dies ebenfalls leicht umgehen ließe, wenn der Angreifer beispielsweise einen Server mit einem gültigen SSL-Zertifikat unter seine Kontrolle bringt. Cross Site Scripting ist ein auf vielen Seiten anzutreffendes Problem. Die Erkenntnis, dass man es insbesondere auf sicherheitsrelevanten Seiten wie denen zum Online Banking nicht auf die leichte Schulter nehmen sollte, setzt sich jedoch durch – bei den Sparkassen ist sie offenbar noch nicht angekommen.

Beim Verifizieren von Keils Behauptungen entdeckte heise Security ein weiteres, grundsätzliches Sicherheitsproblem auf den Sparkassenseiten: Sie sind aus einzelnen Frames aufgebaut. Da es der Internet Explorer bis zu Version 6 in seiner Standardeinstellung beliebigen Web-Seiten gestattet, einzelne dieser Frames auszutauschen, können Angreifer damit ebenfalls nahezu perfekte Phishing-Seiten erstellen. Der c't-Browsercheck demonstriert dies manuell, das Verfahren ließe sich jedoch auch leicht automatisieren.

Die Frame-Spoofing-Problematik ist seit fast neun Jahren bekannt, der c't-Browsercheck demonstriert es als Phishing mit Frames seit fast drei Jahren. Unter anderem deshalb haben die meisten Banken Frames aus ihren Web-Auftritten verbannt. Andere überprüfen provisorisch mit Skripten die Integrität des Framesets, um Manipulationen zu erkennen und die Kunden auf eine Fehlerseite umzuleiten. An den Sparkassen beziehungsweise deren Dienstleistern ist diese jahrelange Diskussion jedoch anscheinend spurlos vorbeigegangen.

Die Fehler sind derart trivial, dass sie eigentlich bei jeder Sicherheitsüberprüfung der Seiten aufgefallen sein müssten. Dass erst andere die Sparkassen darauf aufmerksam machen müssen, lässt schlimmes ahnen. Keil hat nach eigenen Angaben die Sparkassen-Finanzgruppe parallel zu seiner Veröffentlichung am Donnerstagmorgen benachrichtigt. Antworten auf Anfragen von heise Security stehen noch aus.

Quelle : www.heise.de

[SiLæncer]

Bankenseiten weisen nach wie vor Schwachstellen auf: Der Internetauftritt Sparkasse.de zeigte sich für Frame-Spoofing verwundbar, mit dem es möglich war, den im Internet Explorer dargestellten Inhalt zu manipulieren. Phisher hätten dies für ihre Zwecke missbrauchen können, um Bankkunden glauben zu lassen, eine angezeigte eine Abfrage von PIN und TAN stamme von der Bank.

An Stelle der Warnung hätte ein Phisher dort nach PIN und TAN gefragt.

Nach der Benachrichtigung durch heise Security wurde das Problem behoben, allerdings nutzten immer noch weitere Seiten Frames auf sparkasse.de, mit denen sich im Internet Explorer 6 Inhalte austauschen ließen. Dazu gehört unter anderem finanzen.sparkasse.de. Dort ist das Frame-Problem zwar mittlerweile auch behoben, indem der Frame nun keinen Namen mehr hat. Ganz sicher war man sich wohl aber nicht und hat folgenden Code in die Seite eingefügt:

if(window.opener && (navigator.appName == "Microsoft Internet Explorer" &&
 (navigator.appVersion.search("MSIE 6.0") != -1 ||
    navigator.appVersion.search("MSIE 5.") != -1)))
  {
  window.close();
  }

Sofern die betroffene Seite im Internet Explorer 5 oder 6 über einen externen Link aufgerufen wird, schließt das Skript sie sofort wieder.

In einer Stellungnahme gegenüber c't-TV betonte der Deutsche Sparkassen- und Giroverband (DSGV), dass die Sicherheit erhöht wurde. Zudem sei man vom TÜV Rheinland zertifiziert, der regelmäßig die Sicherheit der Webseiten prüfe. Warum dieser allerdings einen seit Jahren bekannten systematischen Fehler in den sparkassen.de-Seiten übersah, blieb unbeantwortet. Vielmehr rät der DSGV seinen Kunden, doch auf die Sicherheitsmerkmale im Browser zu achten. Damit ließe sich Phishing verhindern.

Bei der Sparkasse Hannover lässt sich immerhin noch der Seiten-Frame austauschen.

 Auch die Sparkasse Hannover weist derzeit auf ihren Seiten noch eine Frame-Spoofing-Lücke auf. Nicht zuletzt fand sich noch bis zum vergangenen Wochenende eine Cross-Site-Scripting-Lücke in den Seiten der Stadtsparkasse Düsseldorf (www.sskduesseldort.de), mit der sich ebenfalls gefälschte Inhalte im Browser des Anwenders darstellen ließen.

Siehe dazu auch:

    * Viele Banken-Seiten weiter unzureichend gegen Missbrauch gesichert, Meldung auf heise Security -> http://www.heise.de/security/news/meldung/91702

Quelle : www.heise.de

[SiLæncer]

Eine neue Welle von Phishing-Mails geht durchs Land. Ziel sind vor allem Kunden der Sparkassen. Die Mails sind schon deshalb verdächtig, weil im Text teilweise Volksbank und Sparkasse durcheinander gehen.

Trotz rückläufiger Zahlen im ersten Halbjahr 2007 ist Deutschland immer noch eine Hochburg des Phishings. In letzter Zeit steigt die Zahlen der Spam- und Phishing-Mails wieder an, wie Analysen der G Data Security Labs ergeben haben. So warnt G Data vor aktuell verbreiteten Phishing-Mails, die meist auf Sparkassen-Kunden zielen. Dabei wissen die Versender natürlich nicht, ob die Angeschriebenen überhaupt ein Konto bei einer Sparkasse haben.

Die Mails kommen mit einem Betreff nach dem Schema "Sparkasse: <variabler Text> (nachrichtenzahl: <ZufälligeZeichenfolge>)", wobei der variable Text einer von diesen ist: "eilige Information", "Amtlicher Bescheid", "Sehr wichtig", "obligatorisch zu lesen", "Information", "die eilige Nachricht", "Online-Banking", "Anleitung" oder auch "eiliger Bescheid". Die zufällige Zeichenfolge am Ende besteht aus einer von Buchstaben eingerahmten Zahl, zum Beispiel "CM526734472NK".

Viele dieser Mails sind schon deshalb verdächtig, weil in ihrem Text Volksbanken und Sparkassen vermengt werden. So heißt es etwa "Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, [...]", während der offensichtliche Link-Text auf "sparkasse.de" zu verweisen scheint. Tatsächlich jedoch liegen die verlinkten Seiten auf Zombie-PCs eines Botnets, die weltweit verteilt sind.

Auf den Seiten, die denen der Sparkassen nachempfunden sind, sollen potenzielle Opfer ihre Zugangsdaten für das Online-Banking "bestätigen". Dabei fällt der fehlerhafte Umgang mit der deutschen Sprache auf, der bis dahin noch arglose Besucher der Seiten stutzig machen sollte. Wer seine Daten trotzdem eingibt, dessen Konto dürfte recht bald leer geräumt werden.

Quelle : www.pcwelt.de

[SiLæncer]

Unter dem Vorwand einer Software-Aktualisierung versuchen Kriminelle derzeit, Kontodaten von Sparkassenkunden zu erschleichen. Diese werden per massenhaft versandter Mail dazu aufgefordert, einen Link anzuklicken und ihre "Kundendaten" anzugeben.

 "Dabei handelt es sich in jedem Fall um Betrugsversuche", sagte Michaela Roth vom Deutschen Sparkassen- und Giroverband in Berlin. "Sie können sicher sein, dass solche Mails nicht von der Sparkasse kommen."

Weder diese noch eine andere Bank fordere ihre Kunden per Mail zur Herausgabe von persönlichen Daten auf - und schon gar nicht wie im aktuellen Fall für eine Software-Aktualisierung. "Geheime Kontodaten werden immer nur im Zusammenhang mit einer Überweisung oder einem anderen Zahlungsvorgang abgefragt", sagte Michaela Roth. Wer eine entsprechende Mail in seinem Postfach findet, sollte sie daher einfach löschen.

Quelle : www.pcwelt.de

[SiLæncer]

Kunden der deutschen Sparkassen sollen in Zukunft im Internet mit ihren Kreditkarten sicherer einkaufen können. Dazu will der Deutsche Sparkassen- und Giroverband alle von seinen Instituten ausgegebenen 8,1 Millionen Kreditkarten für den 3D-Secure-Code fit machen. Dieses Verfahren, das bei Mastercard "Secure Code" und bei Visa "Verified by Visa" heißt, ist mit einem weiteren Passwort verbunden.

Dieses sowie eine "persönliche Begrüßung" legt der Kunde beim Anmelden zu dem Verfahren fest. Beim Bezahlen mit der Kreditkarte erscheint nach Eingabe der Kartennummer und des auf der Rückseite aufgedruckten dreistelligen CCV-Codes ein Browser-Popup mit der persönlichen Begrüßung zur Passwort-Eingabe. Erscheint die Begrüßung nicht, soll der Kunde die Transaktion abbrechen. Dieses Verfahren halten die Kreditkartenfirmen für weniger erklärungsbedürftig als SSL-Zertifikate.

Klare Aussagen zur Haftung bei Missbrauch gibt es kaum. Der Kieler Zahlungsdienstleister Payone weist darauf hin, dass das Missbrauchsrisiko beim 3D-Secure-Code vom Händler auf das Institut übergehe (PDF-Datei), das die Karte ausgegeben hat. Ähnlich äußerte sich auf Nachfrage auch Visa Europe. Laut Pago-Report lag die "Chargeback-Quote", also der Anteil von Kunden zurückgeforderter Kreditkartenzahlungen, 2008 in Deutschland bei 0,34 Prozent

Das Programm "Verified by Visa" wurde in der Vergangenheit von Phishern missbraucht, seine Umsetzung in den USA löste heftige Kritik bei Sicherheitsexperten aus. Umgekehrt führte der Einsatz externer 3D-Secure-Provider zu Missverständnissen.

Quelle : www.heise.de