Verifiziert von Visa?

Originalartikel von Rik Ferguson, Director Security Research & Communication EMEA


Quelle: johnsnape’s Flickr

Visas 2001 eingeführtes Sicherheitsprotokoll 3DS  (3 Domain Secure) war ein Versuch, den Kreditbetrug beim Online-Einkauf einzudämmen. Das Protokoll ist besser bekannt unter den Bezeichnungen, die es bei den verschiedenen Kreditkartenherausgebern erhielt: „Verified by Visa“, „Mastercard Secure Code“,J/Secure” (JCB International) und “SafeKey” (American Express). Leider stellt 3DS keinerlei Hürde für Betrüger dar – zumindest nicht in der Art, wie die Kartenanbieter das Protokoll implementieren.

Visa schreibt in „Haben Sie noch Fragen“ auf der Website: „Verified by Visa schützt Ihre Karte vor unautorisierten Transaktionen und bietet Ihnen umfassende Sicherheit beim Online-Shopping.“ Und weiter an anderer Stelle: „Sie können Ihr Passwort zurücksetzen lassen.“ Hier aber liegt das Problem.

Es handelt sich um eine sehr grundlegende Design-Sicherheitslücke. Tätigt ein Verbraucher einen Einkauf bei einem Händler, der an diesem Programm teilnimmt, so wird er in der Bezahlphase an eine 3DS-Verifizierungsseite weitergeleitet. Hier muss er die Einzelheiten der Transaktion bestätigen, sein Kennwort angeben, und damit ist die Transaktion komplett. Der Händler bekommt das Kennwort nie zu sehen, und keine Transaktion kann ohne dieses Passwort durchgeführt werden. Soweit so gut , aber …

Was würde ein Krimineller tun, der zwar die Karteninformationen des Verbrauchers hat, aber nicht sein Kennwort? Hier kommt ihm der Link „Passwort vergessen“ gerade recht. Im ersten Schritt beim Zurücksetzen des Kennworts muss der Karteninhaber seine Kartennummer angeben, damit das Passwort des richtigen Kontos geändert wird. Danach werden weitere Daten abgefragt, die beweisen, dass es sich um den legitimen Inhaber handelt. Folgende Abbildung zeigt die Identifizierungsphase:

Der zweite Schritt beim Zurücksetzen des Kennwort

 

Nun, das sieht gar nicht gut aus! Drei von vier Informationen, die die Identität prüfen sollen, sind auf der Kreditkarte an sich enthalten, sei es gedruckt oder auf dem Magnetstreifen. Was, wenn der Kriminelle bereits Zugriff darauf hat? Übrig bleibt eine einzige, nicht auf der Karte vorhandene Information. Die jedoch ist nicht nur weit verbreitet in sozialen Netzwerken, Umfragen und an vielen anderen Orten, sie ist auch frei verfügbar in öffentlichen Datenbanken: Es ist das Geburtsdatum.

Nach Angabe der erforderlichen Informationen kann der Verbraucher jetzt ein neues Kennwort seiner Wahl angeben – und damit ist die Transaktion autorisiert. Schlimmer noch, der Karteninhaber erhält keine Mail-Benachrichtigung darüber, dass auf sein Konto zugegriffen und sein Kennwort geändert wurde. Erst ein Blick in die Kontoauszüge offenbart den Schaden.

Verbesserungsvorschläge? Es wären lediglich ein paar wirklich grundlegende Schritte in diesen Prozess einzubauen:

  • Bei der Anmeldung an dieses Sicherheistssystem sollte der Karteninhaber eine Reihe “geheimer Fragen” festzulegen haben, die später als Authentifizierungsdaten beim Ändern eines Kennworts dienen können.
  • Anstatt sich zum Reset-Menü durchzuklicken, könnte der Kartenhalter per Mail ein einmaliges Kennwort für das Zurücksetzen bekommen.
  • Sobald eine Änderung der Konteninformationen angefragt wird, sollte der Inhaber ein Benachrichtigung darüber erhalten.

Und noch etwas: Es wäre schön, wenn das Kennwort Sonderzeichen enthielte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*