26 Millionen Kreditkarten-Daten "zurückgestohlen"

16. Oktober 2019, 13:35
  • security
  • technologien
image

Ein Hehler-Webshop für Kreditkarten-Daten wurde selbst gehackt.

Ein Hehler-Webshop für Kreditkarten-Daten wurde selbst gehackt.
Der bekannte Security-Blogger Brian Krebs berichtet von einem ziemlich ungewöhnlichen Beispiel eines Diebstahls von Kreditkartendaten: Das "Opfer" war nämlich eine Webseite namens BriansClub, über die von Hackern gestohlene Kreditkartendaten an andere Kriminelle verkauft werden. Die Käufer versuchen dann, die Daten für konkrete Betrügereien zu verwenden. Die Webseite von BriansClub wurde gehackt und sämtliche der dort angebotenen Kreditkartendaten kopiert.
Es handelt sich laut Krebs um Daten von rund 26 Millionen Kreditkarten. Sie stammten wahrscheinlich sowohl aus gehackten Online-Shops als auch von Retailern deren Kassensysteme infiltriert wurden. Die meisten davon seien in der Form von "Dumps" angeboten worden. Dies sind Daten, die auf die Magnetstreifen von gefälschten Kredit- oder Debitkarten gespeichert werden können.
Krebs erhielt diese Daten im letzten Monat von einer nicht genannten Quelle. Er unterbreitete sie anderen Experten, um ihre Plausibilität zu prüfen und sicher zu stellen, dass sie tatsächlich von BriansClub stammten. Dann gab er sie an Kontakte weiter, die mit Finanzinstituten zusammenarbeiten, um kompromittierte Kreditkarten zu identifizieren und aus dem Verkehr zu ziehen. Im Endeffekt heisst dies: Alle im Webshop von BriansClub bisher angebotenen Daten sind nun für Kreditkartenbetrüger wertlos. Sie wurden, wie Krebs es ausdrückt, "zurückgestohlen."
Aufruhr in der Hehlerszene?
Laut Gemini Advisory, einem Unternehmen, das Untergrund-Marktplätze für gestohlene Kartendaten überwacht, haben diese gegenwärtig die Daten von rund 87 Millionen Kredit- und Debitkarten im Angebot. Der plötzliche Wegfall von 26 Millionen sollte also einigen Aufruhr in der Szene der Hehler auslösen.
Laut dem Security-Research-Unternehmen Flashpoint hätten die auf BriansClub angebotenen Daten einen Wert von rund 414 Millionen Dollar gehabt, basierend auf den auf der Site genannten Preisen. Da die Käufer die Transaktionen in Bitcoin bezahlten, kann mit einiger Genauigkeit festgestellt werden, wie viele Kartendaten verkauft wurden. Laut der Flashpoint-Expertin Allison Nixon dürften es rund 9,1 Millionen gewesen sein, die der Site rund 126 Millionen Dollar einbrachten.
Krebs rechnet vor: US-Gerichte schätzen den durchschnittlichen Schaden, der mit den gestohlenen Daten einer Kreditkarte angerichtet wird, auf 500 Dollar. Der potentielle Schaden durch die 9,1 Millionen verkauften Datensätze würde darauf basierend bei über vier Milliarden Dollar liegen.
Wie viele der via BriansClub angebotenen Kreditkartendaten noch gültig waren, konnte Krebs nicht eruieren. Aber 14 der 26 Millionen waren noch nicht abgelaufen und also zumindest potentiell noch gültig.
Brian versus Brian
Nun könnte es scheinen, dass in dieser Geschichte seltsam viele Brians vorkommen. Das ist kein Zufall: Aus einem unbekannten Grund verwendeten die Betreiber von BriansClub den Namen und ein Bild von Brian Krebs in ihrem Logo.
Brian Krebs versuchte, ohne viel Hoffnung auf eine Antwort, die Betreiber der Site via deren Support-Seite zu kontaktieren und informierte sie so über die Tatsache, dass ihre Daten nun wertlos sind.
Zu seiner Überraschung erhielt er innert weniger Stunden eine sehr höfliche, wenn auch eher arrogant tönende Antwort: "Nein. Ich hier bin der wirkliche Brian Krebs … Werde mit Ihnen über Jabber in Kontakt treten. Vielleicht sollte ich erwähnen, dass alle die Daten, die vom Datenleck betroffen waren, bereits aus unserem Shop entfernt wurden?"
Laut Allison Nixon dürfte der Sitebetreiber aber geflunkert haben: Alles deute darauf hin, dass er die wertlosen Daten weiterhin zum Kauf anbiete. (hjm)

Loading

Mehr zum Thema

image

Cyber-Angriffe: Einer ernst zu nehmende Gefahr erfolgreich begegnen und ihre Auswirkungen begrenzen

«Sie wurden gehackt und wir sind im Besitz sensibler Daten Ihres Unternehmens. Bei ausbleibender Lösegeldzahlung werden wir die Daten im Darknet zum Verkauf anbieten!»

image

Konsortium fordert digitalen Impfausweis

Mehrere Gesundheitsorganisationen haben zusammen ein Konzept vorgestellt, wie ein sicheres elektronisches Impfdossier entwickelt und ans EPD angeschlossen werden könnte.

publiziert am 24.5.2022
image

Cambridge Analytica: US-Ermittler klagen Zuckerberg an

Der Konzernchef sei "direkt an Entscheidungen beteiligt gewesen", die zum Skandal geführt hatten, argumentiert der Generalstaatsanwalt.

publiziert am 24.5.2022
image

Bund löst Suse mit Red Hat ab

Die aktuelle Lösung wird eingestellt und laut BIT fehlt ein geeignetes Nachfolgeprodukt von Suse. Der Zuschlag von bis zu 16 Millionen Franken geht freihändig an IBM.

publiziert am 24.5.2022