So schützen Sie sich beim On-linepurchasing
Die Betrüger sind raffiniert, die Opfer manchmal nachlässig. Mit neuen Massnahmen lässt sich der Missbrauch von Bezahlkarten und Daten unterbinden.
Werner Burri (Identify geändert) ist sich sicher, die Zahlungen nicht bestätigt zu haben. Trotzdem gelingt es Betrügern, in zwei Transaktionen von seinem Konto intestine 2000 Franken abzuzweigen. In fünf weiteren Versuchen waren sie nicht erfolgreich.
Das Geld wurde über eine Kreditkarte vom Postfinance-Konto abgebucht. Eine solche Transaktion ist nur mit einer Zwei-Faktor-Authentifizierung möglich. Erstens benötigt man die Angaben zur Kreditkarte, und zweitens muss die Transaktion über die Postfinance-App bestätigt werden.
Es ist unbestritten, dass die Täterschaft in den Besitz heikler Kreditkartendaten von Werner Burri gekommen ist. Wie, bleibt unklar. Möglicherweise geschah das mit Phishing. Erst Anfang November warnte Cybercrimepolice.ch vor einer Zunahme professionell gestalteter Phishing-Aktionen: Per Mail und mit einer täuschend echt gestalteten Internetseite verlangten Betrüger Angaben zu Karten der Anbieterin Swisscard. Mit dem gefälschten Auftritt gaukelten sie vor, ein Dienst müsse aktiviert werden («Securecode»), da sonst die Sicherheit von Onlinetransaktionen gefährdet sei.
Denkbar ist aber auch, dass die Kreditkartendaten von Werner Burri beim Onlineshopping abhandengekommen sind. Dieses Risiko besteht eher bei zweifelhaften Onlineanbietern, bei denen etwa Hacker Zugriff auf heikle Daten erhalten können.
Das Smartphone gar nicht genutzt?
Interessant ist im Fall von Werner Burri, dass auch der zweite Faktor – additionally die Bestätigung durch die Postfinance-App – den Betrug nicht verhindern konnte. Burri bestreitet, die umstrittenen Transaktionen in der App bestätigt zu haben. Denn er habe sein iPhone aufgrund eines Defekts zu diesem Zeitpunkt nicht genutzt. Ein Mitarbeiter eines Fachgeschäfts weist ihn schliesslich auf die defekte SIM-Karte hin und wechselt diese gleich aus.
Das warfare kürzlich an einem Dienstagvormittag, kurz nach 11 Uhr. Quick zeitgleich, zwischen 9.30 und 11.50 Uhr, versuchten die Betrüger insgesamt siebenmal, verschiedene Beträge zwischen 500 und 1500 Euro abzubuchen.
Frühwarnsystem reagiert beim fünften Versuch
Ein internes Protokoll zeigt, dass das Frühwarnsystem von Postfinance ab dem fünften Versuch alle Transaktionen blockiert und somit weiteren Schaden verhindert hat.
Postfinance weist Werner Burri darauf hin, dass er die Authentifizierung in der App laut Protokoll bei sieben Versuchen viermal abgelehnt und dreimal akzeptiert habe. Zweimal floss Geld ab, bevor Postfinance das Konto blockierte. Laut Postfinance ist es nicht möglich, das Geld mit einem sogenannten Rückbelastungsverfahren zurückzuholen.
Es lässt sich zwar nicht ausschliessen, dass Hacker die Zwei-Faktor-Authentifizierung von Postfinance überlistet haben, doch die Wahrscheinlichkeit ist gering. «Die Täterschaft müsste erstens in den Besitz der Kreditkartendaten kommen und zweitens einen Weg finden, um an der Registrierung in der Postfinance-App vorbeizukommen», sagt Björn Näf, Experte für Cybersecurity und Internettechnologien an der Hochschule Luzern. Das wäre mit ungewöhnlich grossem Aufwand verknüpft, um auf das Konto eines Kunden zuzugreifen. Weitere vergleichbare Fälle von Postfinance-Kundinnen und -Kunden, die auf einen grösseren Betrug hindeuteten, sind zumindest bis jetzt nicht bekannt.
Umgekehrt lässt sich nicht mit Sicherheit ausschliessen, dass Werner Burri oder jemand anders in seinem Umfeld die Zahlungen versehentlich bestätigt hat. Denn selbst mit defekter SIM-Karte wäre das über eine Internetverbindung möglich.
Für Postfinance ist der Fall klar, weshalb sie jede Haftung ablehnt: «Die vorliegenden Informationen bestätigen, dass der Sorgfaltspflicht kundenseitig nicht nachgekommen wurde», teilt sie mit.
Es gibt einige Regeln und technische Möglichkeiten, um solche Betrügereien zu unterbinden. Zunächst ist es wichtig, Transaktionen im Rahmen einer Zwei-Faktor-Authentifizierung nicht leichtfertig zu bestätigen, sondern im Zweifelsfall abzulehnen.
Keine Hyperlinks aus Mitteilungen öffnen
Phishing-Angriffe lassen sich laut Cybercrimepolice.ch mit einer einfachen Regel vermeiden: Niemals Hyperlinks aus E-Mails, SMS oder anderen Kurznachrichten anwählen. Wer die offizielle Adresse einer Web site selbst heraussucht und sich dort einloggt, ist auf der sicheren Seite. Und wise Daten sollten ohnehin nie ohne vorherige gründliche Abklärung preisgegeben werden.
Auch für Personen, die beim Onlineshopping aus Angst vor Missbrauch nicht gerne die Daten ihrer Bezahlkarten preisgeben, gibt es Lösungen. Die insbesondere für Zahlungen im Ausland attraktiven Finanzdienstleister Sensible und Revolut bieten virtuelle Bezahlkarten mit besonderer Funktion an. Virtuell bedeutet, dass die Karte nur noch elektronisch – etwa über das Smartphone – genutzt wird.
Neue Kartennummer
Bei Sensible ist es möglich, für bestimmte Transaktion eine neue Kartennummer zu generieren. Wenn nun additionally bei einem Onlineshop die Kartendaten in falsche Hände geraten, so verhindert dies einen Missbrauch, weil die entsprechende Nummer nur für bestimmte Transaktionen gültig warfare und danach erneuert wurde. Revolut bietet Einwegkarten an. Wie der Identify sagt, können sie nur einmal verwendet werden.
Die neuen Kartendaten sind für Kundinnen sowie Kunden sofort und ohne zusätzliche Kosten verfügbar. Mit solchen Karten können Konsumentinnen und Konsumenten zum Beispiel auch verhindern, dass ein Anbieter im Sinne eines Abos mehrmals Geld abbuchen kann.
Laut Ralf Beyeler vom Vergleichsportal Moneyland.ch sind die beiden Anbieter ähnlich aufgestellt. «Beim Kundenservice hat aber klar Sensible die Nase vorn – das sehen wir unter anderem an Reklamationen zu Revolut, die uns erreichen.»
Bei Schweizer Anbietern noch wenig verbreitet
Es gibt auch Schweizer Anbieter von virtuellen Bezahlkarten. So etwa die Financial institution UBS sowie die Finanzdienstleister Yuh, Swiss Bankers und Yapeal. Bei Yapeal können Kundinnen und Kunden beliebig virtuelle Bezahlkarten erstellen und wieder löschen. Die drei anderen haben zwar auch Sicherheitsvorkehrungen umgesetzt, doch Einwegkarten oder das Generieren neuer Kartendaten bieten sie nicht an.
Es gibt bei verschiedenen Kartenanbietern zunehmend weitere Funktionen, welche die Sicherheit erhöhen. Sensible ermöglicht zum Beispiel, bestimmte Zahlungsmethoden wie das Geldabheben am Automaten, Onlinezahlungen oder kontaktloses Zahlen zu deaktivieren. Es besteht auch die Möglichkeit, alle Zahlungsmethoden nur dann einzuschalten, wenn sie benötigt werden.
Fehler gefunden?Jetzt melden.