Security a la carte – Kreditkartendaten im Internet

Vor nicht allzu langer Zeit war Papiergeld das Standardzahlungsmittel rund um die Welt – dann begann der Siegeszug der Kreditkarte. Doch zum Bezahlen im Internet braucht man kein aufgedrucktes Foto des Besitzers oder Unterschriften, sondern nur die aufgedruckten Daten. Und ob diese Daten auf der Plastikkarte des Besitzers oder einer illegalen Webseite stehen, ist einem Onlineshop ziemlich egal.

Das weckt natürlich Begehrlichkeiten im kriminellen Milieu: So geriet letztes Jahr die Firma Card Systems unfreiwillig in die Schlagzeilen, nachdem unter Ausnutzung einer Sicherheitslücke über 40 Millionen Kreditkartendaten aus dem Netzwerk des Abrechnungsdienstleisters gestohlen worden waren. Doch auch im Urlaub kann es passieren, dass ein umgebautes Kartenlesegerät die Kreditkarte nicht nur zur Abwicklung einer Transaktion verwendet, sondern nebenbei auch gleich alle relevanten Daten für späteren Missbrauch vom Magnetstreifen kopiert – das böse Erwachen, nämlich Abbuchungen, für die der Kontobesitzer nicht verantwortlich ist, erfolgt dann zu Hause. Auch außerhalb klassischer Urlaubsländer kann ein einfacher Restaurantbesuch fatale Folgen haben, wie vor zwei Jahren die Festnahme einer achtköpfigen Betrügerbande in München zeigte, die in Restaurants vorzugsweise Karten von Touristen kopierten. Daneben werden natürlich auch Techniken wie Spyware, Phishing und Social Engeneering zum Datenklau verwendet.

Die Möglichkeiten, an Kreditkartendaten zu kommen, sind also vielfältig, wenn auch unterschiedlich aufwendig.

Die erbeuteten Daten werden selten für den Eigenbedarf verwendet, sondern meist in größeren Paketen zu rund einem Dollar je Karte verkauft – das klingt nach wenig, dafür trägt der Verkäufer auch ein deutlich geringeres Risiko als sein Kunde. Dieser wird je nach Taktik entweder kleine Beträge über viele Kreditkarten abbuchen, um möglichst nicht entdeckt zu werden, oder aber mit Bestellungen im großen Maßstab die Karte bis ans Limit treiben. In manchen Fällen zeigen sich die Kreditkarteninstitute gegenüber den Opfern kulant – Garantien gibt es freilich keine.

Der jüngste Fall

Im Rahmen der Recherchen zu diesem Thema stieß Kaspersky Lab am 4. August 2006 auf eine russische Website, auf der – unter anderem – gestohlene Kreditkartendaten zu finden sind. Mit etwas über 300 Datensätzen (einige davon waren schon veraltet, dafür kamen am Tag der Entdeckung schon wieder 60 „frische“ Datensätze hinzu) nicht vergleichbar mit dem 40-Millionen-Coup letzten Jahres, dafür wurden die Daten aber auch kostenfrei angeboten, und für die Opfer ist es unerheblich, ob sie nun einer von 300 oder von 40 Millionen sind.

Um sicherzugehen, dass diese Daten auch authentisch sind, haben wir eines der deutschen Opfer angerufen: Am 15. Mai war dem Mann zum ersten Mal eine vermeintliche Fehlbuchung in Höhe von rund 10 EUR aufgefallen. Am 26. Mai wurden seine Daten im Forum veröffentlicht, worauf
weitere Abbuchungen folgten. Er ließ daraufhin seine Karte sperren, und Mastercard zeigte sich ihm gegenüber kulant und ersetzte den Fehlbetrag, so dass er noch mal mit dem Schrecken davongekommen ist.

Da er seine Kreditkarte für Internetzahlungen normalerweise nicht verwendet, im Mai aber während eines Urlaubs in der Tschechischen Republik mit der Karte in Restaurants und Tankstellen bezahlt hatte, war bald klar, wo die Ursache des Datendiebstahl zu suchen ist.

Andere Datensätze auf der Webseite hingegen stammten offensichtlich direkt aus Datenbanken, da sie die dafür typischen Formatierungen enthielten. Dabei sind nicht nur Mastercard-Kunden betroffen, sondern auch Visa, American Express und Discovery sind im Angebot – teilweise handelt es sich dabei um Karten mit Platin-Status.

Bemerkenswert ist auch, dass einige Einträge durchnummeriert waren – mit sechsstelligen Nummern. Dies legt die Vermutung nahe, dass es sich hier nur um einen Ausschnitt einer weitaus größeren Sammlung mit mehr als 100.000 Datensätzen handelt – viele dieser Karten waren noch bis 2008 gültig, es handelte sich also offenbar um aktuelle Daten.

Der aktuelle Stand

Mittlerweile wurden die Behörden in Deutschland, den USA und Russland eingeschaltet, Mastercard und Visa wurden noch am gleichen Tag durch die US- Niederlassung von Kaspersky Lab informiert – auch, wenn wie kürzlich im Blog beschrieben, die Kommunikation mit den Ämtern nicht ganz so reibungslos verlief, wie Kaspersky Lab sich dies gewünscht – und eigentlich auch vorgestellt – hatte.

Zur Zeit sind noch viele Fragen offen: Wo kamen die Daten her? Haben die Mitglieder des Forums sie selbst erbeutet? Haben sie tatsächlich Zugriff auf größere Sammlungen? In diesem Fall wären noch wesentlich mehr Kreditkarten-Kunden gefährdet, ohne es zu wissen.

Ursprünglich hatten wir geplant, wenige Tage nach Erscheinen unseres Blogs an dieser Stelle weitere Details zur gefundenen Website zu veröffentlichen – doch die Ermittlungen der Behörden dauern noch an, und wir möchten nicht die Ergebnisse durch voreilige Preisgabe von Einzelheiten gefährden. Aus diesem Grund muss dieser Artikel leider auch ohne Screenshots auskommen.

Wie kann man sich schützen?

So interessant die Hintergründe um die dubiose Webseite auch sein mögen – für Besitzer von Kreditkarten stellt sich vor allem die Frage, wie sie sich davor schützen können, ihren Namen und Nummern ebenfalls auf solchen Seiten zu finden.

So vielfältig die Missbrauchsmöglichkeiten sind, müssen auch die Schutzmaßnahmen sein:

  • Sichern Sie Ihren Computer mit Firewall und Virenscanner
  • Öffnen Sie keine Mailanhänge aus unbekannter Quelle – auch bei vermeintlichen Rechnungen von eBay, Ihrer Telefongesellschaft, Banken und so weiter ist Vorsicht geboten.
  • Halten Sie Ihren Computer mit regelmäßigen Updates auf dem neuesten Stand, um Sicherheitslücken zu stopfen.
  • Geben Sie Ihre Kreditkartendaten nur in Onlineshops ein, die eine über SSL verschlüsselte Verbindung anbieten, und die groß genug sind, um sich keine Negativpresse erlauben zu können (wobei auch das leider keine hundertprozentige Garantie für Sicherheit ist).
  • Bewahren Sie Ihre Karte immer sicher auf – sind erst einmal die aufgedruckten Daten abgeschrieben, werden Sie den Schaden erst bei der nächsten Abrechnung bemerken.
  • Vorsicht im Urlaub: Ob an der Tankstelle, im Restaurant oder beim Einkaufen – in manchen Ländern wird die Kreditkarte kopiert, ohne dass man es merkt. Hier ist die Kombination Traveler Checks / Bargeld unter Umständen sicherer.
  • Gerade nach Auslandsaufenthalten oder Internetkäufen sollten Sie die Abrechnungen genau kontrollieren – viele Kreditkartenbetrüger buchen nur kleine Beträge ab, um nicht aufzufallen.
  • Bei Verlust der Kreditkarte oder dem Verdacht eines Betrugsfalls lassen Sie Ihre Karte sofort sperren.

Fazit

Kreditkarten und Internet – das ist leider auch nach vielen Jahren eCommerce noch immer keine Liebesehe. Ob Daten über das Internet gestohlen oder für andere veröffentlicht werden, ist dabei zweitrangig. Dies war nicht der erste Problemfall, und es wird auf absehbare Zeit auch nicht der letzte bleiben. Nach Veröffentlichung unseres Blogs erhielten wir zahlreiche E-Mails von weiteren Opfern, deren Kreditkartendaten offensichtlich ein Eigenleben entwickelt hatten – dies muss nicht zwangsläufig mit der von uns entdeckten Seite in Verbindung stehen, verdeutlicht aber die bestehende Problematik, zumal oft nicht geklärt wird, wie die Daten überhaupt gestohlen werden konnten. Solange Kreditkartenunternehmen Kulanz zeigen, und ihre Kunden nicht auf den Abbuchungen sitzen bleiben, wird zumindest der direkte Schaden begrenzt, wobei die entstandenen Schäden dann zwangsläufig auf die Grundkosten, spricht die breite Kundenbasis, aufgeschlagen werden müssen. Aber selbst, wenn die Nummern gesperrt werden – der Gedanke, seine Privatadresse auf einem von Kriminellen besuchten Server stehen zu haben, ist wenig beruhigend. Auf Dauer kann das keine Lösung sein, weder für die Kunden noch für die Kreditkarteninstitute.

Wie bereits erwähnt, hat Kaspersky Lab alle vorliegenden Informationen an die Behörden weitergeleitet – alle weiteren Schritte liegen nun in den Händen der Ermittlungskräfte. Es dürfte aber noch Tage, wenn nicht Wochen dauern, bis wir das Thema endgültig abschließen können – natürlich halten wir Sie auf dem Laufenden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.