Menü
Security

Bericht: Maestro-Zahlungsdienst offen für Betrüger [Update]

vorlesen Drucken Kommentare lesen 56 Beiträge

Der Österreichische Rundfunk ORF berichtet von einem Sicherheitsproblem beim österreichischen Zahlungsdienstleister PayLife. Dem Bericht zufolge soll sich die Bankomatfunktion für Zahlungen im Internet mit Maestro-Karten relativ leicht von Unbefugten freischalten lassen. Mit dem dabei erlangten SecureCode soll es etwa Kriminellen möglich sein, Zahlungen an Online-Shops direkt über Maestro abwickeln zu können.

Dem ORF will es in eigenen Tests gelungen sein, mit dem Geburtsdatum des Inhabers und der Kontonummer einer Maestro-Karte sowie einer zu erratenden ID mehrfach innerhalb weniger Minuten ein Konto für den SecureCode-Dienst freizuschalten – ganz ohne Wissen des Kontoinhabers. An das Geburtsdatum kommt man durch Social-Engineering-Angriffe und an die Kontonummer etwa durch einen weggeworfenen Kontoauszug.

Nach der Freischaltung war der Einkauf laut ORF bei einem der 15.000 angeschlossenen Webshops und Dienstleister möglich. Ob ein geschädigter Kontoinhaber sein Geld wieder zurückfordern kann, ist laut ORF derzeit unklar. Es sei nicht sicher, ob der SecureCode mit Kreditkartennummern gleichgestellt sei. Eine Stellungnahme von PayLife zu dem Problem liegt bisher noch nicht vor: Nachfagen blieben bislang unbeantwortet.

[Update]Paylife hat zu dem Problem Stellung genommen: "Auf ausdrücklichen Wunsch von Kunden und einigen Banken wurde die Onlineabwicklung im Sommer 2008 als Alternative eingeführt, weil der Extraweg in die Bank zur Abholung des Registrierungscodes kundenseitig unerwünscht war.

Zu diesem Zeitpunkt war bereits klar, dass der Zugang über BLZ und Kontonummer nur vorübergehend in Betrieb sein kann. Dies nur solange, bis jene Institute, die noch Karten ohne SecureCode-Nummer im Umlauf haben, andere organisatorische Vorkehrungen getroffen haben."

Ein Softwareupdate zur endgültigen Umstellung soll laut PayLife für Anfang 2009 geplant gewesen sein. Aufgrund der aktuellen Berichterstattung habe man dieses Update nun vorgezogen und kurzfristig installiert.

Im Falle eines missbräuchlich registrierten SecureCodes würde keinesfalls der Karteninhaber für daraus resultierende Schäden haften. Laut PayLife habe es bisher keinen Fall einer SecureCode-Registrierung mit missbräuchlicher Verwendung gegeben. [/Update]

Siehe dazu auch:

(dab)