TSCoreNinja schrieb:
Reducal schrieb:
..man geht wahrscheinlich davon aus, dass die Technologie durch den Websitenaufruf und die Bestätigung mittels Eintragung der Handynummer und dem Code dann wieder auf dem Web ausgelöst wurde.
Hypothetisches Szenario einer klassischen Man-in-the-Middle Attacke: Webmaster Dreistabzock bastelt eine Webseite mit Kopie der originalen Payment Maske, nur vergisst er die Preisinformationen. Von dieser falschen Payment-Webseite verschickt er die dort eingegebenen Infos an das Original-Payment Web-Interface. Das Opfer kriegt seinen SMS Code, und gibt ihn auf der Fake-Seite ein. Mr Dreistabzocker sendet wiederum die Infos an die Originalseite, und leitet sein Opfer auf die Content Seite. Ohne explizite Preis-Information in der SMS merkt das Opfer nichts von dem ganzen Zauber.
Wie will Wapme und Konsorten ein solches Szenario ausschliessen (oder macht man hier wieder den Fehler wie beim Dialer, und spricht von Anscheinsbeweis, dass alles korrekt gelaufen ist)? Dass solche Szenarien nicht unrealistisch sind, sieht man ja an den ganzen Phishing-Geschichten.
a) In der SMS steht drin, dass es sich um Abo zu x € handelt.
b) Die Kommunikation zwischen Firmen (hier Wapme und ein original Dienstanbieter) findet i.allg. mit VPN's und SSL-Verschlüsselung statt.
c) Was hat der Man-in-the-middle davon? Er kann nichts verdienen, weil Wapme seine Kontonummer nicht kennt und daher niemals irgendwelche Beträge überweisen wird. Der Man-in-the-middle muss schon Kunde bei Wapme sein.
Was ist ein Anscheinsbeweis?
- IP-Adresse / Zeitraum / benutzter Browser: Das sind Daten die vorhanden sind.
- Die versendeten SMS sind ebenfalls nachzuweisen. Alle Premium-SMS Anbieter müssen das machen und es gibt keinen Grund warum sie das nicht tun sollten. Ist schließlich hier auch schon bestätigt worden.
Aus der zwei-wege-Kommunikation folgt für mich ganz sicher, dass der Nutzer Zugang zu dem Mobilfunktelefon hat und er ebenfalls Warnhinweise bei gewissen Grenzen bekommt. Fraglich ist aus meiner Sicht nur, ob die Darstellung auf den Webseiten ausreichend ist und zweitens ob es evtl. sittenwidrig ist. Ist weder das eine noch das andere, handelt es sich aus meiner Sicht um einen gültigen Vertrag, genauso als ob ich im Internet eine Bestellung aufgebe. Über eine zweiwöchige Rückgabefrist kann man sicher noch diskutieren, allerdings ist der gelieferte Artikel (ich nenne es mal so) explizit für den Mobilfunknutzer hergestellt worden und damit gibt es keine zweiwöchige Rückgabefrist.
Ich denke Handypayment wird nicht vom Markt verschwinden, aber es muss klare Richtlinien geben. Es muss klar erkennbar sein, was es kostet (hat es zeitweise aufgrund von seltsamen Schrifttypen überhaupt nicht) und es muss ein sinnvoller Gegenwert existieren. Ob das auf irgendeiner der Seiten der Fall war, kann ich nicht sagen. Ich habe nur eine Nichte und ihre Freundin, die beide ihr Taschengeld nach Wapme / Debitel / Shortpay geschickt haben. Sie haben aber beide bestätigt, dass sie SMS bekommen haben und auf der Webseite einfach nichts gelesen haben, weil doch angeblich alles im Internet umsonst ist. Sowas ist dann teures Lernen, aber es bleibt garantiert in ihren Köpfen.
Just my 2 Cents.
