26 Millionen Kreditkarten-Daten "zurückgestohlen"

16. Oktober 2019, 13:35
  • security
  • technologien
image

Ein Hehler-Webshop für Kreditkarten-Daten wurde selbst gehackt.

Ein Hehler-Webshop für Kreditkarten-Daten wurde selbst gehackt.
Der bekannte Security-Blogger Brian Krebs berichtet von einem ziemlich ungewöhnlichen Beispiel eines Diebstahls von Kreditkartendaten: Das "Opfer" war nämlich eine Webseite namens BriansClub, über die von Hackern gestohlene Kreditkartendaten an andere Kriminelle verkauft werden. Die Käufer versuchen dann, die Daten für konkrete Betrügereien zu verwenden. Die Webseite von BriansClub wurde gehackt und sämtliche der dort angebotenen Kreditkartendaten kopiert.
Es handelt sich laut Krebs um Daten von rund 26 Millionen Kreditkarten. Sie stammten wahrscheinlich sowohl aus gehackten Online-Shops als auch von Retailern deren Kassensysteme infiltriert wurden. Die meisten davon seien in der Form von "Dumps" angeboten worden. Dies sind Daten, die auf die Magnetstreifen von gefälschten Kredit- oder Debitkarten gespeichert werden können.
Krebs erhielt diese Daten im letzten Monat von einer nicht genannten Quelle. Er unterbreitete sie anderen Experten, um ihre Plausibilität zu prüfen und sicher zu stellen, dass sie tatsächlich von BriansClub stammten. Dann gab er sie an Kontakte weiter, die mit Finanzinstituten zusammenarbeiten, um kompromittierte Kreditkarten zu identifizieren und aus dem Verkehr zu ziehen. Im Endeffekt heisst dies: Alle im Webshop von BriansClub bisher angebotenen Daten sind nun für Kreditkartenbetrüger wertlos. Sie wurden, wie Krebs es ausdrückt, "zurückgestohlen."
Aufruhr in der Hehlerszene?
Laut Gemini Advisory, einem Unternehmen, das Untergrund-Marktplätze für gestohlene Kartendaten überwacht, haben diese gegenwärtig die Daten von rund 87 Millionen Kredit- und Debitkarten im Angebot. Der plötzliche Wegfall von 26 Millionen sollte also einigen Aufruhr in der Szene der Hehler auslösen.
Laut dem Security-Research-Unternehmen Flashpoint hätten die auf BriansClub angebotenen Daten einen Wert von rund 414 Millionen Dollar gehabt, basierend auf den auf der Site genannten Preisen. Da die Käufer die Transaktionen in Bitcoin bezahlten, kann mit einiger Genauigkeit festgestellt werden, wie viele Kartendaten verkauft wurden. Laut der Flashpoint-Expertin Allison Nixon dürften es rund 9,1 Millionen gewesen sein, die der Site rund 126 Millionen Dollar einbrachten.
Krebs rechnet vor: US-Gerichte schätzen den durchschnittlichen Schaden, der mit den gestohlenen Daten einer Kreditkarte angerichtet wird, auf 500 Dollar. Der potentielle Schaden durch die 9,1 Millionen verkauften Datensätze würde darauf basierend bei über vier Milliarden Dollar liegen.
Wie viele der via BriansClub angebotenen Kreditkartendaten noch gültig waren, konnte Krebs nicht eruieren. Aber 14 der 26 Millionen waren noch nicht abgelaufen und also zumindest potentiell noch gültig.
Brian versus Brian
Nun könnte es scheinen, dass in dieser Geschichte seltsam viele Brians vorkommen. Das ist kein Zufall: Aus einem unbekannten Grund verwendeten die Betreiber von BriansClub den Namen und ein Bild von Brian Krebs in ihrem Logo.
Brian Krebs versuchte, ohne viel Hoffnung auf eine Antwort, die Betreiber der Site via deren Support-Seite zu kontaktieren und informierte sie so über die Tatsache, dass ihre Daten nun wertlos sind.
Zu seiner Überraschung erhielt er innert weniger Stunden eine sehr höfliche, wenn auch eher arrogant tönende Antwort: "Nein. Ich hier bin der wirkliche Brian Krebs … Werde mit Ihnen über Jabber in Kontakt treten. Vielleicht sollte ich erwähnen, dass alle die Daten, die vom Datenleck betroffen waren, bereits aus unserem Shop entfernt wurden?"
Laut Allison Nixon dürfte der Sitebetreiber aber geflunkert haben: Alles deute darauf hin, dass er die wertlosen Daten weiterhin zum Kauf anbiete. (hjm)

Loading

Mehr zum Thema

image

Autonomer Päckli-Roboter kommt 2023 in die Schweiz

Der Loxo Alpha soll künftig Pakete auf Abruf liefern. Ein Testversuch in der Schweiz soll im Frühling 2023 starten. In welcher Region ist allerdings noch unklar.

publiziert am 7.12.2022
image

San Francisco: Vorerst doch keine Roboter zum Töten

In einer zweiten Abstimmung hat sich das kommunale Gremium doch noch gegen die Richtlinie entschieden.

publiziert am 7.12.2022
image

Microsoft will eine "Super-App" schaffen

Der Konzern will die chinesische App Wechat kopieren. Für den Vertrieb der Anwendung wird man allerdings weiterhin auf die Konkurrenz angewiesen sein.

publiziert am 7.12.2022
image

Deutschland testet Warnsystem Cell Broadcast

Die Schweiz spricht seit einem Jahr davon – passiert ist allerdings noch nichts. Andere EU-Staaten haben das System schon produktiv im Einsatz.

publiziert am 7.12.2022