Online-Kriminalität: Wie Kreditkartenbetrüger im Netz fischen (Spiegel Online, 22.12.2010)

Online-Kriminalität

Wie Kreditkartenbetrüger im Netz fischen

Name, Privatadresse, Geburtsdatum und Kreditkartennummern: Solche Datensätze werden in öffentlich zugänglichen Web-Foren verbreitet. Recherchen ergeben, dass die Daten echt sind – und vermutlich als Werbegeschenk von Kriminellen gedacht.

Spiegel Online, 22.12.2010

{jumi [*3]}

Viele Menschen würden sich über die Daten freuen, die auf Milan Bergers Plattform verbreitet werden.

Berger ärgert sich.

{jumi [*4]}

In seinem Internetforum veröffentlichen Unbekannte seit gut einem Jahr immer wieder komplette Datensätze von Kreditkarten. Vor sechs Jahren hat der Programmierer eine Web-Anwendung mitentwickelt, mit der man ohne Anmeldung mit wenigen Klicks beliebige Texte auf einer Web-Seite mit fester Adresse veröffentlichen kann. Solche Pastebins nutzen vor allem Programmierer, um bei Chats längere Code-Passagen einzubinden, ohne den Dialog zu unterbrechen. Berger moderiert die neuen Einträge im Codeschnipsel-Forum nicht vorab, stattdessen entfernt eine Löschroutine automatisch Einträge mit bestimmten Schlagwörtern, die zum Beispiel auf Links zu Raubkopie-Seiten hindeuten. Vor einigen Monaten aber entdeckte Berger unter den meistabgerufenen Einträgen seines Pastebins Veröffentlichungen, die mit Quelltext gar nichts zu tun haben: Listen mit mehreren Dutzend Kreditkartendatensätzen und Kontaktinformationen zu sogenannten Cardern – Menschen, die solche Daten vertreiben.

Zumindest ein Teil der veröffentlichten Datensätze ist echt. SPIEGEL ONLINE hat in einer Stichprobe die Kartenbesitzer kontaktiert. Alle haben die Informationen bestätigt. Es handelte sich um Professoren, Geschäftsführer mittelständischer Unternehmen, Mitarbeiter von Kreditkartenunternehmen, Ärzte. Ihre E-Mail-Adressen und Telefonnummern waren auf Basis der veröffentlichten Daten leicht zu recherchieren. Denn die Cyber-Kriminellen haben vollständige Namen, Kreditkartennummern, Sicherheitscodes, Privatadressen, den Ablaufmonat der Karte und in einigen Fällen auch das Geburtsdatum veröffentlicht.

Berger hatte schon zuvor – ohne diese Gewissheit – die Polizei und die Kreditkartenfirmen informiert. Er berichtet vom Rückruf eines Beamten vom Betrugsdezernat, dem zufolge die Polizei kaum handeln könne. Denn die Täter hätten die Informationen über einen Proxy veröffentlicht, einen zwischengeschalteten Rechner, der die Identität des Absenders verschleiert. Und die veröffentlichten Daten gehörten mit Sicherheit zu ohnehin gesperrten Karten.

Werbegeschenke, Angeber-Postings und Überwachungssoftware – so arbeiten Kreditkartenbetrüger im Web:

Warum bleiben solche Daten im Netz?

Die Daten standen im Netz, bis Berger sie von sich aus löschte. So ähnlich dürfte es auf den laut Mastercard geschätzt 400.000 Web-Seiten sein, die ebenfalls Hacker-Daten enthalten und auf denen Kreditkarteninformationen auftauchen können. Kreditkartenfirmen beobachten diese Foren nicht. Mastercard-Sprecher Thorsten Klein sagt, das Unternehmen prüfe Kreditkartendetails in solchen öffentlichen Foren nur nach konkreten Hinweisen.

Ein Sprecher von Visa Europe äußert sich ähnlich. Das Unternehmen hat die veröffentlichten Kreditkartendaten nach dem Hinweis überprüft und, sofern die Karten noch nicht gesperrt waren, den ausgebenden Banken zur Sperrung oder weiteren Beobachtung weitergeleitet. Und die Adressdaten? Der Visa-Sprecher erklärt: „Das Löschen von Internetseiten ist rechtlich nicht ganz einfach, da wir kein Mandat dafür haben. Wir geben die Informationen aber auch an die Strafverfolgungsbehörden weiter.“

Eine der Strafverfolgungsbehörden, das Bundeskriminalamt ( BKA), teilt auf Anfrage mit, man leite Hinweise auf „kompromittierte Nutzerdaten“ zur weiteren Schadensverhinderung umgehend an die zuständigen „Zahlungsdienstleister, Provider beziehungsweise Banken“ weiter.

Kurz gesagt: Wenn irgendwo im Netz Kreditkartendatensätze auftauchen, müssen die Inhaber sich in der Regel selbst ums Löschen ihrer persönlichen Daten kümmern. Wenn die Forenbetreiber das nicht von sich aus tun – wie Berger.

Weshalb veröffentlichen Kriminelle diese Informationen?

Immerhin: Die meisten im Netz veröffentlichten Kreditkartennummern können Kriminelle nicht für Kreditkartenbetrug missbrauchen.

Ein BKA-Mitarbeiter sagt, dass die Daten in der Regel nur veröffentlicht werden, weil der „unrechtmäßige Besitzer der Daten diese Karten schon geprüft hat und diese seiner Einschätzung nach nicht ‚cashable‘ sind oder aber die Karten in naher Zukunft verfallen werden“. Sprich: Veröffentlicht wird nur, was nicht mehr verkauft werden kann.

Ganz selten tauchen in öffentlichen Foren auch Datensätze noch benutzbarer Karten auf. Das BKA erklärt sich diese Veröffentlichungen damit, dass Täter ihr Standing in der Szene verbessern wollen.

Kreditkartendaten in öffentlich zugänglichen Foren sind oft auch Werbung für kostenpflichtige Informationen. Solche Deals wickeln die Täter dann über andere, geschützte Kanäle ab.

Woher stammen die Daten?

Bei der Stichprobe der befragten Kartenbesitzer haben Kriminelle die Daten manchmal im Ausland abgegriffen. Ein Besitzer hatte seine Karte in Südafrika in einem Restaurant zum Bezahlen aus der Hand gegeben, ein anderer in einem Hotel in Litauen. Andere Karteninhaber können sich nicht an einen solchen Einsatz erinnern.

Ein Teil der Datensätze könnte bei einem Online-Händler abgegriffen worden sein, denn manchmal kennen die Täter auch das Geburtsdatum der Karteninhaber. Diese Information kann man beim Abfotografieren oder Kopieren einer Karte nicht auslesen.

Wie kommunizieren Profis?

Südafrika, Litauen, möglicherweise gehackte Online-Shops – die Herkunft der veröffentlichten Kreditkartendaten zeigt, wie vernetzt und ausdifferenziert die Szene sein muss.

In Pastebins finden sich auch viele Chatprotokolle zwischen Händlern und Kunden über kriminelle Dienstleistungen wie Kartenfälschungen oder das Zubehör dafür. Da ist die Rede von Kartendruckern (dafür sollen 1400 Euro fällig sein), Blankos, Software zum Beschreiben, Visa-Hologrammstickern (berechnet in Quadratzentimetern) und Tracks mit den verschlüsselten Informationen zur Geheimzahl.

Ein BKA-Mitarbeiter hält einige der veröffentlichten Chats für durchaus szenetypisch. Aber warum veröffentlicht jemand solche ursprünglich über einen geschützten Kanal geführten Chats?

Vielleicht will sich der Verkäufer über den etwas unbedarften Käufer („wie gut in prozent ist deine karte dann im vergleich zu einer orginal?“) lustig machen. Denn so hilfsbereit sich einige Autoren in den Protokollen und den veröffentlichten Anleitungen zur Kartenfälschung geben: Das alles ist Teil eines sehr komplexen Geschäfts. Da verdienen auch einige Täter Geld damit, Möchtegern-Kriminelle auszunehmen, die kein Unrechtsbewusstsein, hohen Geltungsdrang, aber wenig Ahnung haben.

Mastercard-Sprecher Klein sagt: „Die Ratgeber – allesamt Anleitungen zu Straftaten – sind von zweifelhafter Qualität. Es gibt ja sogar vermeintliche Kreditkartennummergeneratoren. So etwas funktioniert nicht.“

Wie bemerken Kreditkartenfirmen Betrugsversuche?

Alle befragten Besitzer der gestohlenen Datensätze haben bestätigt, dass ihre Karten von den Banken gesperrt wurden, bevor sie selbst einen Missbrauch bemerkt hatten. Die Kreditkartenunternehmen bemerken missbräuchliche Buchungen, indem sie Zahlungsströme in Echtzeit analysieren und mit den bisherigen Zahlungsprofilen der Karten abgleichen.

Die Analysesoftware hat eine Vorstellung davon, was normales Zahlungsverhalten ist. Weicht eine Karte davon ab, gibt es einen Hinweis auf anormale Buchungen. Gegebenenfalls empfiehlt die Kreditkartenfirma der Bank, die Karte zu sperren.

Kreditkarten sind also vielleicht nicht absolut fälschungs- und diebstahlsicher. Aber einen Großteil der Versuche, mit diesen Daten Geld zu verdienen, können die Kreditkartenfirmen im Moment identifizieren.

Außerdem entwickeln die Kreditkartenunternehmen neue Verfahren, um Kartenbesitzern mehr Kontrolle zu geben. Diese sollen sich in Zukunft zum Beispiel bei Auslandsbuchungen oder ab einem bestimmten Betrag eine SMS an eine vorab festgelegte Handynummer senden lassen können – so dass sie gegebenenfalls gleich widersprechen können.

Bei bestimmten Banken können Kunden Auslandstransaktionen auch komplett sperren und nur bestimmte Länder für bestimmte Zeiträume freischalten. Der Visa-Sprecher fasst das schlicht zusammen: „Das ist ein technischer Wettlauf.“

{jumi [*5]}