Halten Sie Ihre IBAN geheim, sie könnte leicht missbraucht werden

Ihre IBAN kann von jedem für Online-Einkäufe verwendet werden – wir haben erfolgreich
kostenlos bei Amazon eingekauft!

Eine kritische Schwachstelle im Bezahlverfahren einiger großen Online-Shops

Unsere Sicherheitsexperten haben kürzlich eine einfache, aber kritische Schwachstelle im Bezahlverfahren einiger großen Online-Shops entdeckt. Neben Kreditkarten und anderen sicheren Zahlungsmethoden erlauben sie ihren Kunden die Möglichkeit, durch die einfache Angabe einer IBAN-Kontonummer zu bezahlen. Kein Passwort, kein Digipass oder eine andere andere Authentifizierungsmethoden sind nicht erforderlich. Das Geld wird automatisch von der angegebenen IBAN-Kontonummer abgebucht von der angegebenen IBAN-Kontonummer abgebucht und die gekauften Artikel werden geliefert. Wir haben dies erfolgreich bei Amazon.de ausprobiert, aber das gleiche Verfahren könnte auch bei
auch auf andere große Online-Shops (z.B. thomascook.com, zalando.de, eventbrite.de).

– Zunächst haben wir ein Dummy-Konto mit einem gefälschten Namen und einer zufällig erstellten E-Mail-Adresse erstellt.
Adresse. Dann haben wir ein paar Artikel für einen relativ hohen Betrag, bis zu 200 Euro, eingekauft.
– An der Kasse gaben wir die IBAN-Nummer eines zufälligen Kollegen an und nannten Amazon einen
gefälschten Namen angegeben, als Amazon nach dem Namen des Kontoinhabers fragte.
– Die Zahlung wurde sofort akzeptiert, und die Artikel wurden ein paar Tage später versandt und geliefert.
Tage später geliefert.

Obwohl wir die Artikel an unsere offizielle Firmenadresse geliefert haben, um den Kauf vollständig zu anonymisieren,
hätten wir eine Alternative nutzen können, nämlich „Amazon Locker“. Amazon Lockers sind Selbstbedienungsboxen
an öffentlichen Orten (z. B. Bahnhöfen), in denen Amazon Ihre Pakete zustellen kann.

Einfache Handhabung von IBAN-Nummern

Sobald erhält der Kunde einen Code, mit dem er das Schließfach aufschließen kann. Die Nutzung dieser Lieferoption
Option ist der Kauf völlig anonym. Sie müssen unter keinen Umständen Ihre Identität preisgeben.
Identität preisgeben, so dass das Verbrechen für Räuber völlig legal ist.

Diese einfache Handhabung von IBAN-Nummern ist äußerst problematisch. IBAN-Nummern werden nicht als
Wir geben sie oft an andere Personen weiter, und die Banken zeigen sie oft an wenn wir eine Überweisung tätigen. Schlimmstenfalls ist die Veröffentlichung der IBAN manchmal sogar gesetzlich vorgeschrieben (z. B. bei der grenzüberschreitenden Rechnungsstellung in Europa müssen die Unternehmen ihre IBAN-Nummern bekannt geben).