München – Online, Karte, Mobiltelefon: Im 21. Jahrhundert haben Konsumenten mit digitalen Bezahlsystemen mehr als nur Münzen und Scheine in der Hand. Doch die modernen Zahlungsmittel haben ihre Tücken. Und sind allesamt nicht gegen unbefugte Zugriffe gefeit. CHIP hat bekannte Bezahlverfahren unter die Lupe genommen und deckt auf, wo die Schwachstellen im jeweiligen System liegen.
1. PayPal: Phishing-Problem
Der Online-Bezahldienst ist am häufigsten von Phishing-Attacken betroffen, also von dem Versuch, persönliche Informationen illegal abzugreifen. Fast jede dritte E-Mail zielt auf die Kennwörter von PayPal-Kunden. Bei einem Transaktionsvolumen von rund 99 Milliarden US-Dollar allein im ersten Quartal 2017 ein aussichtsreiches Unterfangen. Obwohl die eigentlichen Zahlungen bei diesem Dienst gut abgesichert sind, weist der Account selbst Schwachstellen auf. Nur über einen versteckten Eintrag im Konfigurationsmenü können User einen zweiten Passwortfaktor wie eine SMS-Pin einrichten. Die meisten verwenden daher immer noch eine unsichere Kombination aus Benutzername und Passwort. Tipp der CHIP-Redaktion: Achten Sie auf die PayPal-URL im Browser und das dazugehörige Zertifikat. Verweist eines von beiden nicht auf PayPal, ist Vorsicht geboten.
2. paydirekt: Guter Datenschutz
Wie bei PayPal werden die eigentlichen Kontaktinformationen auch beim Bezahlverfahren der deutschen Banken und Sparkassen nicht an den Webshop übermittelt. Die Übermittlung geschieht zu jeder Zeit verschlüsselt. Eine Gefahr bilden auch hier unseriöse Shops. Doch paydirekt hat einen entscheidenden Sicherheitsvorteil: Kunden müssen Transaktionen über eine mTan freigeben. In der TAN-Nachricht stehen Betrag und Empfänger des Geldes. Verdächtige Transaktionen können Kunden unmittelbar in der paydirekt-App melden.
3. Kreditkarten: Datenschutzkrankheiten
Sie gilt als einer der unsichersten Bezahlmethoden: Wird die Kreditkarte gestohlen, kommen alle notwendigen Informationen für einen Einkauf in fremde Hände – darunter Kreditkartennummer, Ablaufdatum, Inhaber sowie der zur Verifizierung erforderliche Sicherheitscode CVC. Daten können zudem direkt bei einem Einkauf ausgelesen werden, etwa durch eine Malware auf dem Bezahlterminal im Supermarkt. Mehr Sicherheit verspricht 3D-Secure. Das Verfahren stellt beim Bezahlvorgang im Web eine Verbindung zur herausgebenden Bank her, der Kunde erhält per App einen Code auf das eigene Smartphone. Diesen muss er bei der Bestellung eingeben. Allerdings unterstützen aktuell nur wenige Händler und Banken die Lösung. Mastercard testet derzeit Versionen mit biometrischen Kontrollen wie einem Fingerabdruckscanner zur Autorisierung.
4. Smartphone
Apple Pay ist bereits in 14 Ländern verfügbar, Android Pay immerhin in zehn. Beide Systeme bieten ausgeklügelte Sicherheitsmechanismen. Komfortabler ist allerdings die Technologie aus Cupertino. Sie kann auch ohne Internetverbindung genutzt werden, weil auf dem Gerät fünf Einmal-Kreditkarten-Nummern (sogenannte „DAN-Nummern“) für fünf Bezahlvorgänge vorgehalten werden. Durch den Einsatz des Fingerabdrucklesers ist das System außerdem praktischer: Die Bezahlung wird damit sekundenschnell authentifiziert – ohne die Eingabe einer zusätzlichen PIN.
Quelle: CHIP