Neulich bekam ich ein Schreiben von meinem Kreditkartenunternehmen. Meine Karte sei blockiert worden und ich solle doch bitte die Hotline anrufen. Mir schoss die Frage durch den Kopf, ob das einer dieser neuen Fälle sein könnte, bei denen Phishing per Briefpost betrieben wird. Doch nein: Der Brief wirkte echt und die Kreditkarten-App bestätigte die Blockierung.
So rief ich seufzend bei der Nummer an. Zum Glück blieb mir die Warteschleife erspart und sogleich war ein netter Mann am Draht. Es habe zwei dubiose Belastungsversuche gegeben; einmal in Singapur-Dollar und zum zweiten Mal in Riyal (oder so ähnlich). Beide wurden nicht ausgeführt, aber meine Karte überlebte diesen Vorfall nicht. Heisst: Ich durfte von A wie Apple bis Z wie AmaZon ein neues Zahlungsmittel erfassen.
Natürlich ist das Jammern auf hohem Niveau. Wir halten fest, dass die Präventionsmassnahmen einwandfrei griffen. Allerdings wäre sogar ich in der Lage gewesen, einen Algorithmus zu entwickeln, der bei diesen Alarmzeichen angeschlagen hätte.
Der Kontoauszug ist grösstenteils unverdächtig
Jedenfalls eine treffliche Gelegenheit, etwas über die Vorgehensweisen der Kreditkartenbetrüger zu erfahren. Woher hatten sie meine Kreditkartennummer?
Ich hatte sie in den letzten Monaten nur für die üblichen Verdächtigen wie Apple, Spotify und Netflix verwendet. Eine Transaktion vom Juli schien mir verdächtig: 70 Franken waren an «PPPP FS Language» gegangen. Was zum Teufel? Aufwändige Nachforschungen (ich musste in Thunderbird meinen Ordner mit den Belegen durchsuchen) zeigten, dass hinter dieser Zahlung mein Pro-Abo für Languagetool steckt. Wäre es übertrieben zu verlangen, dass solche Belastungen so angeschrieben werden, dass man auf einen Blick sieht, von wem sie stammen?
Dem Schuldigen kam ich leider nicht auf die Spur. Der Mann von der Kreditkarten-Hotline sah es nicht als seine Aufgabe an, mir bei der Recherche zu helfen. Er liess sich nur zu den beiden allgemeinen Aussagen hinreissen, ein Leak käme infrage. Oder ich hätte auf ein Phishing-Mail geklickt. Bei meiner Ehre: Das habe ich nicht!
Falls jemand von der Presseabteilung von Viseca mitliest: Ich bin weiterhin an sachdienlichen Hinweisen interessiert. Es ist meine Überzeugung, dass eine offene Informationspolitik im Interesse der Allgemeinheit wäre. Es wäre ein tatkräftiger Beitrag zur Förderung der digitalen Mündigkeit. Auch wenn ich verstehen kann, dass man den Cyberkriminellen nicht zu sehr dabei helfen möchte, zu verstehen, wie man sie erwischt.
Demgegenüber ist selbstverständlich klar, dass Viseca kein Suqad-Team auf meinen Fall ansetzen wird. Erstens, weil, soweit ich das beurteilen kann, kein Schaden entstanden ist. (Wenn man davon absieht, dass ich Freizeit opfern musste, um das neue Zahlungsmittel an diversen Stellen zu hinterlegen.)
Zweitens, weil unzählige Szenarien denkbar sind, wie die Zahlungsdaten in die falschen Hände geraten sind: Meine Vermutung besagt, dass der Datenbestand eines vor längerer Zeit benutzten Online-Shops abgezogen wurde. Daran kann ein Sicherheitsleck¹ oder ein korrupter Mitarbeiter schuld sein. Oder der Chef, der eine alternative Einnahmequelle sucht, weil es gerade nicht gut läuft. Für weniger wahrscheinlich halte ich, dass die Daten in der realen Welt abhanden gekommen sind. Ich neige nicht dazu, in ausländischen Restaurants die Zeche mit Karte zu bezahlen, wenn damit zu rechnen ist, dass der Kellner mit dem Zahlungsmittel für einige Minuten im Hinterzimmer verschwindet.
Wie der «Tatort»-Kommissar den Täter ermitteln würde
Die wahrscheinlichste Methode, um so einem Fall auf die Schliche zu kommen, ist Big Data: Wenn in kurzer Zeit eine gewisse Zahl von Kreditkartenhaltern von ähnlichen betrügerischen Transaktionen betroffen ist, lässt das im Idealfall Rückschlüsse darauf zu, woher die Daten kamen. Im Sonntagabendkrimi würde der Tatort (in der «small data»-Variante) die Kontoauszüge aller Betroffener nebeneinanderlegen, eine Übereinstimmung feststellen, woraufhin die Handschellen klicken.
Fazit: Der erhoffte Erkenntnisgewinn bleibt aus. Damit dieser Blogpost nicht antiklimaktisch endet, einige praktische Tipps:
- Es ist in diesem Fall unwahrscheinlich, dass mein Smartphone oder mein Computer die Quelle des Datenlecks war. Aber ausschliessen sollte man das nicht. Darum hier die Tipps gegen Datenklau und zum Datenschutz in der Cloud.
- Anstatt die Karte direkt zu verwenden, nutze ich Apple Pay. Das ist zwar ein Glied mehr in der Kette, aber es sorgt für Sicherheit: Bei dieser Zahlungsmethode wird nicht die Kreditkartennummer, sondern eine einmalige Ersatznummer weitergegeben. Selbst wenn die geklaut wird, lässt sie sich nicht wiederverwenden. Das bietet Schutz vor kompromittierten Zahlterminals – Stichwort: Skimming.
- Und eben: Das gute, alte Phishing ist dank KI in letzter Zeit ausgeklügelter geworden. Es ist nicht verkehrt, das im Hinterkopf zu behalten und Schutzmassnahmen wie die Zwei-Faktor-Authentifizierung und die anderen gängigen Sicherheitsmethoden anzuwenden.
Fussnoten
1) Infrage kämen:
- Web skimming: Ein seriöser Shop hat eine Lücke in seiner Websoftware, durch die ein Script eingeschleust wird, das die Daten stiehlt.
- Der Zahlungsdienstleister eines Händlers wurde gehackt.
- Ein Backup, Logfile, Crash-Report oder Debug-Protokoll enthielt dummerweise diese heiklen Informationen und wurde grosszügig in Umlauf gebracht.
- Es hat ein echter Hack stattgefunden, bei dem das Kundenkonto übernommen werden kann.
- Wie Wikipedia erklärt, können Betrüger unter gewissen Umständen Kreditkartennummern auch erraten. ↩