Phishing als Geschäftsmodell
| Datum: | 07.11.2009, 19:53 Uhr |
| Kategorie: | HTML, CSS und Web  |
| Kommentare: | 2, Neuen Kommentar schreiben |
Heute, beim Kaffee mit zwei meiner Informatiker-Kollegen habe ich zum ersten Mal von einer durchaus populären Dienstleistung im Web erfahren: der Sofortüberweisung. Als die zwei mir davon erzählten dache ich zunächst, dass sie mich aufs Korn nehmen wollen: Da gibt es so einen Bezahldienst, der, wenn man ihn benutzt, um in Online-Shops zu zahlen den Shop-Betreiber veranlasst, die Ware sofort loszuschicken. Dabei wird der zu zahlende Betrag aber nicht wie bei Paypal vom Konto eingezogen, sondern direkt an den Händler überwiesen. Und jetzt der Hammer: Vom eigenen Konto. Wie aber kann das funktionieren, wenn nicht ich selbst den Betrag von meinem Konto überweise? Ganz einfach: Ich gewähre einem Webdienst direkt Zugriff auf mein Onlinebanking und soll dazu wahrhaftig meine Zugangskennung, PIN und eine Transaktionsnummer (TAN) angeben! Im Normalfall heißt sowas Phishing!
Der Anbieter loggt sich also automatisch mit den Zugangsdaten beim Onlinebanking ein, Überweist das Geld auf das Konto des Empfängers und bestätigt dem Anbieter, dass die Überweisung angewiesen wurde. Da aber die Bank in diesem Fall keine Haftung übernimmt, springt Sofortüberweisung mit irgendeiner Versicherung ein. Ich muss gestehen, bereits da habe ich aufgehört zu lesen und vor Empörung angefangen diesen Beitrag hier zu verfassen. Die interessante Frage ist doch: Wieso zum Geier haftet die Bank nicht mehr? Ganz einfach: Weil sie sich von Ihnen aus gutem Grund hat unterschreiben lassen, dass sie von der Haftung entbunden wird, wenn Sie Ihre Zugangsdaten weitergeben!
Selbst wenn Sie "Sofortüberweisung" vertrauen und ich frage Sie, wieso sollten Sie das tun? Vielleicht wegen der TÜV Zertifizierung, dass Ihre Daten nicht gespeichert werden und ganz sicher sicher sind? Wie auch immer: Selbst wenn Sie "Sofortüberweisung" vertrauen, bereits in der Praxis wurde eine SSL Verschlüsselung wegen unsicherer Zertifikate ausgehebelt, vertrauen Sie dem Zertifikat? Fällt Ihnen sicher auf, falls die Seite überhaupt nicht SSL verschlüsselt ist und Sie vielleicht bereits bei "Sofortüberweisung" auf einer Phishing-Seite landen, die Originalgetreu nachgebildet wurde? Wenn Sie nicht den geringsten Zweifel hegen, dann schicken Sie mir bitte einfach Ihre EC-Karte und Ihre Geheimnummer an die Adresse im Impressum, ich werde mich künftig um Ihre Finanzen kümmern, doch sein Sie versichert: Sie können mir vertrauen...
Zu guter Letzt bleibt also festzuhalten, dass es nicht genügt, dass die Banken auf Ihren Onlinebanking-Portalen darauf hinweisen, dass man niemandem seine Daten geben sollte. Statt dessen sollten endlich alle Institute das TAN, iTAN, mTAN oder Irgendein-Buchstabe-davor-und-trotzdem-unsicher-TAN Verfahren durch bekannte, sichere Verfahren, wie HBCI über Chipkarte ablösen, damit weniger technikversierte Menschen gar nicht erst in die Versuchung kommen, solche Dienste zu nutzen...
Bisherige Kommentare:
| Name: | Susanne Ledermüller |
| Datum: | 25.02.2010, 20:59 Uhr |
| URL: | http://www.now2see.com |
| Kommentar: | Naja, aber Sofortüberweisung gibt es doch schon seit Jahren. Und als Händler ziehe ich es Paypal jederzeit vor, das ich mittlerweile aus meinen Shops verbannt habe. Man merkt das es ebay gehört - zu teuer, kein Service. Ich finde Sofortüberweisung toll und nutze es seit 3 Jahren. |
| Name: | Manuel |
| Datum: | 27.02.2010, 18:31 Uhr |
| URL: | http://www.josupeit.com |
| Kommentar: | Hi Susanne, ich kann mir durchaus vorstellen, dass es für Shopbetreiber attraktiver ist, trotzdem ist es recht leichtsinnig seine Zugangsdaten "einfach so" herauszugeben. -- Vielleicht hinkt der Vergleich, doch im Restaurant gebe ich dem Kellner auch nicht meine Geheimnummer zur EC-Karte, damit ich zum bezahlen ohne Unterschrift nicht mit zum Kartenterminal laufen muss... |
Bisherige Trackbacks:
Keine