Wenn man in der Kontenübersicht beim Online-Banking einen Hinweis "Please Call Skype" mit einer senegalesischen Flagge verziert entdeckt, dürfte man ob der zahlreichen bekannten Phishing-Versuche leicht in Wallung geraten. So erging es kürzlich einem Sparkassen-Kunden, der sich, einen Betrugsfall vermutend, besorgt an die Sicherheitsgruppe der Sparkasse wandte. Dort war das Problem bereits bekannt, ein Fall von Phishing läge nicht vor, teilte das Support-Center der Sparkasse Hannover in einer prompten Antwort mit. Der Kunde solle doch bitte Skype abschalten, dann würden keine dubiosen Rufnummern mehr zu sehen sein.

In der Tat versucht die Skype Web-Toolbar unter Firefox und Internet Explorer in Webseiten enthaltene Zahlenketten als Skype-Rufnummern zu interpretieren (Number Recognition/ Number Highlighting) und bietet diese Nummern zum Direktaufruf mit Skype an. Zusätzlich blendet Skype noch die zur Nummer gehörige Landesflagge ein, im vorliegenden Fall vermutete Skype wohl einen Teilnehmer in Senegal. Offenbar ist Skype beim Erkennen der Nummern nicht sonderlich wählerisch und wandelt dabei unter Umständen auch Kundennummern, Rechnungsnummern oder Bestellnummern in Kontoauszügen in Skype-Nummer um, sodass diese in der Online-Übersicht des Kontos erscheinen.

Laut der Sparkasse Hannover traten solche Fälle recht selten auf, bislang hätten sich nur drei Kunden mit diesem Problem gemeldet. Eine Anfrage der heise-Security-Redaktion an den Hersteller Skype zu diesem Problem blieb bislang unbeantwortet. Um sich vor den möglichweise verwirrenden Einblendungen von Skype zu schützen, hilft es, beispielsweise die Skype-Extension für Firefox (Web-Toolbar) zu deinstallieren oder die Funktion "Number Highlighting" zu deaktivieren.

© http://www.heise.de/newsticker/meldung/86216