Seit Dienstag Morgen kenne ich das Gefühl auch, denn vom Barclaycard Kundenservice habe ich (übrigens das erste Mal in meinem langen Kreditkarten-Leben) eine SMS erhalten:

Lieber Barclaycard Kunde,

wir möchten mit Ihnen einige Umsatzanfragen auf Ihrer Kreditkarte klären.
Bitte rufen Sie uns an:

04089099420.

Vielen Dank.

Als erstes war ich verwundert. Die Mitteilung klang nach einem Allerwelts-Text und war nicht wirklich vertrauenserweckend. Doch die Recherche im Netz erbrachte zumindest den Hinweis, dass es sich bei der Hamburger Rufnummer 040 890 99 420 um die Service-Nummer der Barclay-Bank und um keinen Fake-Anschluss handelt.

Der Anruf brachte dann weitere Gewissheit. Nach einer kurzen Wartezeit meldete sich ein Mitarbeiter der Sicherheits-Abteilung und nach erfolgreicher Legitimierung (“Wie alt werden Sie in diesem Jahr?”, “Bitte nennen Sie mir Ihre Adresse!” und “In welchem Land haben Sie ihre Kreditkarte zuletzt eingesetzt?”) konnten wir ins Gespräch einsteigen.

Ich habe erfahren, dass die Kontaktaufnahme via SMS eine übliche Prozedur bei Barclaycard ist und dass keine verdächtigen Umsätze auf meinem Kreditkartenkonto stattgefunden haben (Amazon.de, PayPal, Tanken – ihr kennt das!) und deshalb auch kein Missbrauch passiert ist.

Stattdessen handelt es sich um eine obligatorische Umtausch-Aktion meiner aktuellen Kreditkarte gegen ein neues Exemplar, um das Risiko eines gehackten Servers und dem damit verbundenen Kreditkartendaten-Diebstahl oder dem Kopieren von Kreditkartendaten vorzubeugen.

Der Haken an dem Umtausch der Kreditkarte

Einen Haken hat die Umtausch-Aktion aber doch für mich. Zwar wurde der aktuelle Datensatz gelöscht und ich habe selbstverständlich die nicht mehr brauchbare Kreditkarte zerschnitten. Allerdings habe ich einige Tage in der Luft gehangen, weil es “ein Gap von zwei bis drei Tagen” (so hat es der Barclaycard-Mitarbeiter genannt) gibt, die ich ohne gültige Kreditkarte überbrücken muss.

Das ist allerdings ein Luxusproblem. Viel wichtiger ist der Schutz meiner Daten – und meines Geldes 🙂

Und davon abgesehen: Barclaycard hat Wort gehalten. Schon am Donnerstag, also zwei Tage später, war meine neue Kreditkarte mit neuer Kreditkartennummer in der Post. Perfekt!

Die Masche der Betrüger

War der Betreff der E-Mail schon das Schmunzeln wert, wurde es beim Inhalt der E-Mail aber noch besser:

Selbst dem unkundigen Laien fallen als erstes die vier offensichtlichen Rechtschreibfehler ins Auge (“im Bezug”, “Anzumelden”, “Bitte”, “Hier Klicken” und “persöhnlichen”).

Darüber hinaus ist bemerkenswert, dass die beiden – neben American Express AMEX – größten Konkurrenten, die MasterCard Europe und die VISA Europe angeblich gemeinsam eine E-Mail an ihre Kunden verschicken. So wird der Spam direkt offensichtlich.

Leider ist der Spuk noch nicht zu Ende. Bei einem Klick auf den Hyperlink “Hier Klicken” gelang man auf die URL http://cc-verif.c4.to und kann auf dem Screen auswählen, ob man Kunde von VISA oder MasterCard ist.

Die Eingabe der persönlichen Daten

Nach Auswahl einer der beiden Optionen können anschließend die gesamten persönlichen Kreditkartendaten erfasst und an die Betrüger gesendet werden – natürlich ist auch dieses Formular mit Rechtschreibfehlern und falscher Interpunktion gespickt:

Das Phishing der Betrüger war erfolgreich

Sind dann alle Daten erfasst worden, wird die Übertragung bestätigt. Ich habe übrigens zu Testzwecken nur ein Feld in dem Formular gefüllt und auf “continue” geklickt – dennoch erschien dieser Screen, der mir die erfolgreiche Übertragung der Daten bestätigt:

Tipps gegen Phishing

Zum Abschluss noch die wichtigsten Tipps, um sich gegen Phishing (ein Kunstwort, das sich aus Password und fishing, also “Passwort angeln” zusammensetzt) zu schützen:

• Vertrauen Sie nie blind den Inhalten einer E-Mail, deren Absender Ihnen unbekannt ist.
• Klicken Sie niemals auf Links in E-Mails, die zu sicherheitskritischen Webseiten wie Banken oder Kreditkartenunternehmen führen.
• Benutzen Sie grundsätzlich keine Links auf Webseiten, die zu sicherheitskritischen Diensten führen. Besser: erfassen Sie die URL in Ihrem Browser manuell.
• Sensible Account- und Kundendaten werden niemals per Formular von Banken oder Kreditkartenunternehmen abgefragt.
• Nutzen Sie in Ihrem E-Mail-Client nicht die HTML-Ansicht, sondern die Ansichtsart »Reiner Text«
• Erlauben Sie bereits in Ihrem E-Mail-Client kein Javascript, da über die Skriptsprache bereits Angriffe auf Ihre Konten durchgeführt werden können.