Aus Phishing wird Vorkasse ...
Was ist im klassischen Sinn “Vorkasse”?
Vorkasse ist eine Zahlungsart, bei der ich
- eine Bestellung aufgebe,
- dann aufgefordert werde eine Zahlung zu leisten
- den angeforderten Betrag auf ein Konto einzahle
- diese Einzahlung – und nur diese – den Auftrag bestätigt und die Lieferung auslöst
Ich war vor einiger Zeit verantwortlich für die Webseite eines kleine christlichen Verlages und der hatte seine 7 Bücher nur auf Vorkasse angeboten. Das ganze war ein etwa tausend zeiliges PHP-Script, dass auf Grund der Bestellungen einfach ein paar E-Mails generierte. Die Bestelldaten aus einer Mail wurden lokal in eine Access-DB gelesen, dann wurden die Kontoauszüge eingelesen und je nach Zahlungseingang eben die eine oder andere Bestellung freigegeben. Das war simpel, gradlinig, einfach. An diesem war nichts auszusetzen.
Was ist im heutigen Sinne “Vorkasse”?
Wie wir im Beispiel oben gesehen haben, hat die klassische Form der Vorkasse zwei Nachteile. Zum einen ist beim Verkäufer ein weiterer Handgriff nötig, der muss die Kontoauszüge regelmäßig herunterladen und mit einer DB abgleichen. Und erst wenn die Überweisung gebucht ist, dann kann ist die Vorkasseleistung erfolgt. Zum anderen entsteht durch diese Zwischenzeit auch wieder eine Wartezeit, in der man den Kunden vertrösten muss. Er muss nicht nur warten, bis das Paket da ist, er muss warten bis die Überweisung da ist und dann erst läuft die Versandzeit des Paketes.
Diese zusätzliche Wartezeit ist in den meisten Fällen einer Internetbestellung kein Problem. Wirklich wichtige und dringende Artikel wie zum Beispiel Toilettenpapier wäre noch woanders zu bekommen (wenigstens eine Rolle) und Geburtstagsgeschenke wählt man ja nicht auf dem Weg zum Geburtstag erst aus.
Aber gut, man will die Zeit verkürzen.
Um hier weiter zu helfen, gibt es so Seiten wie giropay.de oder sofortueberweisung.de. Was machen die? Die übernehmen vom Shop automatisch alle Bezahldaten, generieren aus dem eine Überweisung und Sie müssen nun “nur” noch Ihre Bankdaten – also Pin und Tan – eingeben. Dann loggen die sich bei Ihrer Bank ein und buchen ab.
Wie hieß das früher – Phishing?
Korrekt, die moderne Art der Vorkasse besteht darin, dass man einen Phishing-Angriff legitimiert und auf seinem Konto ausführen lässt. Man gibt also die PIN und eine TAN ab und läßt den Rechner den Rest tun.
Der Unterschied ist nur der, dass man beim Phishing ein 1:1-Abbild seiner Bank-Homepage vorgesetzt bekommt, man soll ja als Kunde nichts merken, und nun eben klar erkennbar vor Giropay und Sofortüberweisung sitzt.
Also: Bei den Bösen sollte man sich davor hüten und bei den Guten soll man es nutzen. Nur: Ich sehe überhaupt keine Möglichkeit jemandem, der keinerlei Internetaffinität hat, hier klar zu machen, wo die Linien sind. Der Name der Seite?
Sorry aber die Kunden der Postbank saßen vor einer Postbankseite und wurden ausgeraubt. Und nun erklärt man diesen, dass man zwar der Postbankseite mißtrauen soll, dass die Giropay dann aber gut ist?
Wieso macht der TÜV sowas mit?
Sie erinnern sich sicher noch an meinen Beitrag Inzwischen sind noch nicht mal die Hosen in Deutschland was für den A …. Abgebildet ist hier eine Hose, die DIN EN ISO 12947-1 einwandfrei ist. Diese Mitteilung vom Hersteller liegt mir in schriftlicher Form vor.
Mit anderen Worten: Ob etwas technisch einwandfrei ist oder nicht, das entscheiden inzwischen Normen. Und wenn man Mist verkaufen will, dann muss man eine Norm kreieren, die diesen Mist für gut befindet.
Und so ist es mit der Sicherheit auch. Ob etwas sicher ist oder nicht, dass entscheidet irgend eine Norm.
Und noch eines: Etwas, dass für einen Shop-Besitzer sicher sein kann, das muss für Sie als Kunde nicht sicher sein. Mit anderen Worten: Der Shopbesitzer ist an seiner eigenen Sicherheit interessiert. Wenn Sie also als Verbraucher “Sicherheit” wollten, dann müssten Sie selbst ein Gutachten in Auftrag geben und bezahlen. Nur dann würden Ihre Ansprüche auch berücksichtigt.
Und im konkreten Einzelfall: Wenn Sie mit Giropay oder Sofortüberweisung wirklich mal bezahlen mag übrigens auch von der Technologie her eine gewisse Sicherheit vorliegen.
Nur: Als Bankkunde verstoßen Sie zunächst einmal gegen die AGB Ihrer Bank, wenn Sie PIN und TAN woanders eingeben als auf der Webseite der Bank. Und genauso wie eine Bankseite ein Opfer werden kann und die Verbindung Bank-Kunde durch eine Middle of Man-Atacke verloren gehen kann, genauso kann auch eine Verbindung Giropay-Kunde verloren gehen.
Und mit der Bank haben Sie eine klare juristisch definierte Verbindung. Mit Giropay und Sofortüberweisung haben Sie die nicht. Hier hat Ihr Händler den Vertrag gemacht.
Im Zweifel ist der Händler zwar auf der sicheren Seite, aber nicht Sie. Denken Sie dran.
Also: Klassische Vorkasse liegt vor, wenn ich
- eine Bestellung aufgebe,
- dann aufgefordert werde eine Zahlung zu leisten
- den angeforderten Betrag auf ein Konto einzahle (ganz normal auf meine Bankseite!)
- diese Einzahlung – und nur diese – den Auftrag bestätigt und die Lieferung auslöst
- es dauert alles ein wenig länger aber der Verkäufer schläft ruiger …
Alles andere ist modifiziertes Phishing …
_
— Wolfgang Uhr · Montag Oktober 19, 2009
Kommentare
Neueste Artikel
Gedanken zur Dienstleistungs-Informationspflichten-Verordnung - DL-InfoV
Der Schnellkochtopf Silit Sicomatic t-plus und der WMF-Perfekt-Plus im Vergleich
Die Deutschen, die Streitkultur und die Presse
Zur Effizienz von flattr August-2008
iPhone bastelt weiter an der Weltwirtschaftskrise
Realitätsfremde Bewerbungsstrategien
Sind UMTS-Richtfunkstrecken ein potenzieller Gesetzesverstoß?
Facharbeitermangellüge - Die nächste Runde
Brigitte Gabriel - zur Definition des terroristischen Moslems
Ein herzliches Willkommen
Mein Name ist Wolfgang Uhr, ich bin Physiker und entwickle Software im Bereich der Erfassung von Messdaten und deren Verarbeitung. Dies ist meine persönliche Hobbyseite.
Kategorie-Tags
Allgemeines · Friedhofsverwaltung · Ideen-Gedanken · Spielerei · Anleitungen · Bloghandel · Buchbeschreibungen · Christentum · Energiesparlampen · Erfahrungsberichte · Finanzen · Funk-uhren · Geld verdienen · Gesundheit · Handy · Handyortung · Heimwerken · Internet · E-Mail-Spam · Sicherheit-Web · Suchmaschinen · Web-Spam · Webdesign · Physik · Elektrosmog · Elektrotechnik · Stevia-Pflanze · Tageslichtlampen · Umwelt · Veranstaltungsberichte
Andere Seiten
— Peterchen · Okt 20, 09:04 · #
Es gibt einen substanziellen Unterschied zwischen giropay und anderen Verfahren: Sie werden dort auf das Banking-Portal Ihrer Bank geleitet, und geben PIN und TAN dort ein. Jede Bank, die mit giropay funktioniert, hat zudem ihre Teilnahme am Verfahren explizit erklärt.
— wolfgang · Okt 20, 12:35 · #
Diesen Unterschied kann ich aber zum Beispiel meinem Vater nicht erklären. Wie soll der die Verbindungsqualität beurteilen können, oder die Frage beantworten, ob das eine “echte Giropay”-Verbindung ist oder eine vorgetäuschte.
Sorry aber ich “vereinfache mein Leben”. Wer Vorkasse machen will, so es so tun, wie ich oben erklärt habe. Alles andere bezeichne ich als unseriös.
— Nils · Okt 21, 03:21 · #
Der ganze Artikel macht auch mich einen sehr oberflächlichen Eindruck. Hier wurde eine scheinbare Verwandschaft zum Phishing als Grundidee verwendet, um ohne fundierte Hintergründe eine Behauptung aufzustellen. Hört sich gut an, aber wo sind die Fakten, wo die juristischen Hintergrundinfos. Woher wollen Sie wissen, dass die Banken keine vertraglichen Bindungen mit z.B. giropay haben? Sie unterstellen hier einfach unbewiesenen Behauptungen und Vorurteile. Und schlussendlich: Technisch unsicher ist alles und alles kann irgendwann irgendwie von irgendwem mißbraucht werden. Ich werte den Artikel mal als Meinungsäußerung und bin froh, dass er nicht das Maß der Dinge darstellt, dass er augenscheinlich behauptet zu sein. Ich denke, da Ihr Blog eindeutig moderiert ist, dass meine Meinung (mehr ist sie nicht) nicht von Ihnen veröffentlicht wird.
— wolfgang · Okt 21, 07:30 · #
Natürlich – das ist alles oberflächlich – aber wenn die Spammer einem eine Mail zusenden und man sein Viagra über eine gefakte Giropay-Seite bezahlen soll, dann reden wir weiter.
Wie will ich in der Zukunft recherchieren. Ich weiß nur, dass ich demjenigen, der sich im Internet nicht auskennt nun beibringen soll, seine PINs und TANs überall einzugeben.
Sorry das ist praktiziertes Geiz- ist Geil im Abrechnungsverfahren. Man unterläuft elementare Sicherheitsvorschriften für die Anfänger.
Einfacher Vergleich. Jedem Erwachsenen ist es ohne weiteres möglich eine Kreuzung so zu übersehen, dass er diese bei Rot überqueren kann. Nur: Wenn man das den Kindern so beibringt, dann ist das für die Kinder gefährlich. Nur: Hier sagt man: Wir brauchen keine Fußgängerampeln mehr, die Leute können die Straße überqueren. – Sorry das können sie nicht.