Onlinebetrug Verifizierung von Adressen bei Kreditkarten unzureichend

Eine britische Sicherheitsfirma hat mehr oder weniger zufällig eine Sicherheitslücke in einem Verifikationssystem entdeckt, dass viele Onlineshops nutzen, um die Kreditkartenadresse mit der Bestelladresse abzugleichen. Wenn man mit fremder Kreditkarte nun eine andere Bestell- oder Lieferadresse angibt, die nach einem bestimmten Schema konstruiert ist, kann man das Verifikationssystem austricksen. Es sei in Realität aber bisher so gut wie noch nie passiert.

Etwas aufwendig ist es schon, daher sei der Betrug bisher kaum in Erscheinung getreten. Das sogenannte AVS (Address Verification System), das bei britischen Online-Verkaufshäusern im Einsatz ist, nutzt ein bestimmtes Verfahren, um den Besitzer der Kreditkarte automatisiert mit der Adresse des Bestellers abzugleichen. Bei der AVS-Überprüfung wird nicht die gesamte Adresse überprüft, sondern ein gewisser Code aus der Adresse gebildet, der dann zur Überprüfung bereitsteht. Wenn beispielsweise die Adresse, die zu überprüfen ist, lautet: 10 Downing St, SW1A 2AA, dann nimmt das AVS die Ziffern aus Hausnummer und Postleitzahl und bildet daraus den Verifikationscode. In diesem Fall wäre das die 1012.

Der nun angeblich bisher kaum in Erscheinung getretene Fall des Betrugs weist den Tatbestand auf, dass der Betrüger mit geraubter Kreditkarte eine Ware auf eine real existierende Adresse bestellt, dessen Verifikationscode identisch ist. Im oben genannten Beispiel wäre das eine Adresse mit der Hausnummer 10 und einer Postleitzahl, deren Ziffern auch die 1 und 2 in der Reihenfolge enthalten. Bei einem Netzwerk von Betrügern mit mannigfaltigen Adressen könnte das AVS systematisch ausgetrickst werden. Anbieter von Onlineshops könnten so hohen Schaden durch Betrug erleiden, so die Sicherheitsfirma The Third Man.

( via BBCNews )