Sicherheit
Angriff auf Mastercard-Daten
von
Thorsten
Eggeling - 19.11.2011
Es sind vermehrt E-Mails in Umlauf, die es auf die Daten von Mastercard-Kunden abgesehen haben. In den Nachrichten wird die Verifizierung der Kreditkarte verlangt und auf eine Seite verlinkt, die Daten des Kontos abfragt.
Phishing E-Mails scheinen immer noch ein lohnendes Geschäft zu sein. Damit sollen die Empfänger verleitet werden, persönliche Informationen an die Kriminellen zu übermitteln. Seitdem die meisten Banken auf die sichereren mTANs umgestellt haben, verlagern die Betrüger ihre Aktivitäten offenbar mehr auf Kreditkarten. Denn hier genügt es den Namen des Kontoinhabers, die Kreditkarten-Nummer, das Ablaufdatum und die dreistellige Prüfnummer zu kennen, um Zahlungen vorzunehmen.
Aktuell landen Phishing-E-Mails in den Postfächern, die auf eine vermeintliche Sperrung der Kreditkarte hinweisen. Der Empfänger soll die Kreditkarte verifizieren, damit sie wieder freigeschaltet wird. Dazu soll er auf einen Link klicken, der auf eine Webseite führt. Hier ist eine Meldung mit einem weiteren Link zu sehen, der zur angeblichen Kartenverifizierung führt. Auf der Seite werden dann die Informationen zu Person und Kreditkarte abgefragt. Im nächsten Schritt möchten die Betrüger auch noch den SecureCode der Karte wissen. Mit dem SecureCode lassen sich finanzielle Transaktionen zusätzlich absichern, wenn der Kunde diesen beantragt hat.
Die Phishing-E-Mails sind nicht auf den ersten Blick als Betrug zu erkennen. Sie sind in fehlerfreiem Deutsch abgefasst und der Link führt auf eine Seite, die wie mastercard.com/de aussieht. Allerdings fehlt das Mastercard-Icon in der Adressleiste. Wen man den Quellcode der Seite analysiert, sieht man, dass die Kriminellen die Seiten von mastercard.com einfach als Frame eingebunden haben. Der Besucher sieht also eigentlich die richtigen Mastercard-Seiten und keinen Nachbau. Allerdings wird unter dem Menüpunkt „Karteninhaber-Service“ der zusätzliche Menüpunkt „Kartenverifikation“ injiziert. Und dieser liefert das Formular zur Dateneingabe vom Server der Täter aus.
So können Sie sich schützen
Banken und Anbieter von Kreditkarten fordern niemals per E-Mail zur Eingabe von Konto- oder Kreditkarten-Nummern auf. Vor allem wird aber nicht auf einer Bank-Webseite nach der Prüfnummer und dem SecureCode gefragt. Derartige Daten sollten Sie, beispielsweise bei einem Online-Shop, ausschließlich über eine SSL-gesicherte Verbindung übertragen. Eine sichere Verbindung erkennen Sie an dem https:// vor der Internet-Adresse und an weiteren Hinweisen, die Ihr Browser anzeigt, etwa einem Schloss in der Adressleiste. Die von den Betrügern verwendete Formular-Seite wird nicht verschlüsselt übertragen. Das sollte aufmerksame Benutzer auf jeden Fall von der Datenübermittlung abhalten.
Banken und Anbieter von Kreditkarten fordern niemals per E-Mail zur Eingabe von Konto- oder Kreditkarten-Nummern auf. Vor allem wird aber nicht auf einer Bank-Webseite nach der Prüfnummer und dem SecureCode gefragt. Derartige Daten sollten Sie, beispielsweise bei einem Online-Shop, ausschließlich über eine SSL-gesicherte Verbindung übertragen. Eine sichere Verbindung erkennen Sie an dem https:// vor der Internet-Adresse und an weiteren Hinweisen, die Ihr Browser anzeigt, etwa einem Schloss in der Adressleiste. Die von den Betrügern verwendete Formular-Seite wird nicht verschlüsselt übertragen. Das sollte aufmerksame Benutzer auf jeden Fall von der Datenübermittlung abhalten.
