Das System
Beim Einkaufen im Internet ist die Zahlung per Kreditkarte sehr beliebt. Das liegt vor allem an der unkomplizierten Abwicklung: Der Käufer muss lediglich die Kreditkartengesellschaft, die Kreditkartennummer und die Sicherheitsnummer angeben. Der Verkäufer kann dann sofort das Geld von der Kreditkartengesellschaft einziehen und die Ware verschicken. Außerdem hat der Käufer die Möglichkeit, bei schadhafter oder nicht versendeter Ware eine Rückbuchung bei seiner Kreditkartengesellschaft zu erwirken.
Die Gefahren
„Phisher“ fälschen E-Mails, die denen von bekannten Standard-Webshops sehr ähnlich sehen. Mit mehr oder weniger geschickt formulierten Begründungen versuchen diese den Mail-Empfänger zur Angabe der eigenen Kreditkartendaten zu bewegen, um dann selber mit den Kartendaten auf Einkaufstour zu gehen.Über Schadsoftware wie Trojaner, die direkt auf dem PC des Anwenders platziert werden, können Hacker Daten stehlen. Eine weitere Möglichkeit bieten sogenannte „Man in the middle Attacken“, bei denen zwischen Shop und Kunde der Hacker die Software so manipuliert hat, dass die Kundendaten nicht nur an den Shop-Betreiber, sondern auch zu den Hackern gelangen. Eine weitere Möglichkeit Kreditkarten-Daten zu stehlen, ist ein direkter Angriff auf die Shop-Datenbank, in der alle Kundendaten gespeichert sind. Erhalten Hacker Zugang zur Datenbank, können sie auch von hier aus die Konten, auf die das Geld transferiert wird, verändern oder aber die Kreditkartendaten ausspähen und stehlen.
Die Folgen
Die Kreditkartengesellschaft muss bei strittigen Abbuchungen nachweisen, dass der Kunde die Umsätze wirklich getätigt hat. Sollte die Kreditkarte missbräuchlich genutzt worden sein, bekommt der Kreditkarteninhaber sein Geld von den Kreditkartengesellschaften erstattet. Auf der anderen Seite sind Kartendaten samt Name und Kontaktdaten in Hackerforen und Hackercommunitys für wenige Euros zu erhalten. Das Herstellen von Kartendubletten ist somit nicht sonderlich schwer.
Gegenmaßnahmen
Neben der Installation von Virenschutzprogrammen ist beim Einkaufen im Internet grundsätzlich darauf achten, dass alle Daten über eine sichere SSL-Verbindung verschlüsselt übertragen werden – sowohl die persönlichen Angaben als auch alle Informationen zu Bankverbindungen oder Kreditkarteninformationen. Dies ist daran zu erkennen, dass in der URL-Zeile des Browsers statt http nun https am Anfang der Webadresse angezeigt wird. Einzelne Kreditkartengesellschaften bieten die Möglichkeit, PrePaid-Kreditkarten zu erwerben. Der Vorteil: Mit diesen können ausschließlich Waren und Dienstleistungen bis zu dem Betrag erworben werden, der auf das Kreditkartenkonto eingezahlt wurde. Einige Banken wie Sparkassen geben ihren Kunden die Möglichkeit der passwortgeschützten Kreditkartenzahlung. Bei jedem zukünftigen Bezahlvorgang mit der Kreditkarte bei einem teilnehmenden Händler wird er nach diesem Passwort gefragt. Wurden die Daten korrekt eingegeben, wird von der Sparkasse bestätigt, dass der Kunde der rechtmäßige Karteninhaber ist. Danach erfolgt die Zahlung an den Händler.