Bankomatcoup in Rififi-Manier
Mit einer durchdachten Kombination aus analogen und digitalen Methoden zockt eine internationale Gang Bargeld aus Bankomaten ab. Binnen einer Stunde wurden in 49 Städten in den USA und Osteuropa mit geklonten Karten samt gültigen PIN-Codes neun Millionen Dollar in bar behoben.
Meldungen, wie sie routinemäßig seit Jahren direkt nach jedem bekanntgewordenen Datenleck von den betroffenen Firmen verbreitet werden - "Bisher keine Geschädigten im Datenskandal" -, dürften bald nicht mehr so vollmundig vorab verbreitet werden.
Wie der Fall der RBS WorldPay exemplarisch zeigt, kann es Monate dauern, bis zwischen dem Verlust eines Laptops oder einem Angriff auf eine Online-Applikation Verbindungen zu einem aktuellen Betrugsfall hergestellt werden. Besonders gilt das dann, wenn das betroffene Unternehmen eine eigenwillige Informationspolitik zutage legt.
1,5 Millionen Datensätze
Im Laufe der vergangenen Woche wurden Zug um Zug die Einzelheiten eines Falls bekannt, der als bisher bestorganisierter bekanntgewordener Angriff auf ein Online-Datenbanksystem einer Bank samt erfolgreicher analoger Verwertung der erbeuteten Informationen in die Geschichte der "Cyber-Crimes" eingehen wird.
Das Geld war binnen einer Stunde abgezogen, im "Ameisenverkehr".
Die US-Tochterfirma der Royal Bank of Scotland, RBS WorldPay, die Bankomatkarten ausgibt und andere Zahlungsservices anbietet, hatte Mitte Dezember bekanntmachen müssen, dass 1,5 Millionen Datensätze ihrer Kunden möglicherweise in falsche Hände geraten seien.
Wissen und Schaden
Sodann wurde seitens der Bank gewarnt, die Kunden wurden aufgefordert, die PIN-Codes ihrer Karten ändern zu lassen, und die Verantwortung für Schäden wurde übernommen.
Auffälligerweise hatte diesmal der Verweis darauf gefehlt, dass ohnehin noch keine Geschädigten bekanntgeworden seien, denn seitens der Bank wusste man da bereits genau, dass es sehr wohl finanziellen Schaden geben würde.
Der jüngste Fall
Heartland Payment Systems, einer der größten Dienstleister für Kreditkartenzahlungen in den USA, hatte erst am 20. Jänner bekanntgeben müssen, dass eine unbekannte Zahl von Datensätzen abgegriffen worden war. PINs seien allerdings nicht dabei gewesen. Heartland Payment Systems wickelt pro Monat rund 100 Millionen Zahlungen von rund 175.000 Geschäften und Restaurants in den Vereinigten Staaten ab.
Im Oktober 2008 war bekanntgeworden, dass die Deutsche Telekom bereits 2006 über eine Dienstleistungsfirma 17 Millionen Kundendaten verloren hatte.
- Deutsche Telekom zieht aus dem Diebstahl Konsequenzen
49 Städte
Der war bereits am 8. November 2008 passiert, als Unbekannte binnen einer Stunde in insgesamt 49 Städten weltweit neun Millionen Dollar von Bankomaten behoben hatten. Erstaunlicherweise verfügten sie neben geklonten Karten auch über die passenden PIN-Codes, das übliche Abhebelimit griff nicht.
Die Gang brauchte gerade einmal 100 Karten, um diese gewaltige Summe in bar zu kassieren, insgesamt waren nach Angaben der Bank aber 1,5 Millionen Karten kompromittiert gewesen.
Das Timing
Wenn man nun rechnet, dass es erstens eine gewisse Zeit dauert, 100 Karten zu klonen und sie dann quer durch die USA, aber auch bis nach Moskau an die Abheber zu verteilen, dann muss der Einbruch ins System von RBS WorldPay bereits Tage vor dem 8. November vonstatten gegangen sein.
Dass es ein schweres Sicherheitsproblem gibt, war der Bank aber erst am 10. November erstmals aufgefallen.
Das war ein Montag. Zu diesem Zeitpunkt dürfte der erste Kunde bemerkt haben, dass der Kreditrahmen seines Kontos x-fach überzogen war, der Coup selbst hatte in der Nacht auf Samstag stattgefunden, kurz nach Mitternacht, Ortszeit Ostküste USA.
Damit war man sowohl in Moskau wie an der US-Westküste beim Abheben auf der sicheren Seite, denn in beiden Fällen hatte bereits das Wochende eingesetzt.
Die Vorgehensweise
2007 hatten bereits zwei strukturell sehr ähnliche Coups CitiBank-Konten betreffend stattgefunden, die erbeuteten Summen waren jedoch wesentlich geringer gewesen.
Die Vorgehensweise aber war ähnlich: Jemand dringt in das System der betreffenden Bank oder eines Dienstleisters derselben ein, erbeutet nicht nur Kontodaten bis hin zu Sozialversicherungsnummern der Inhaber, sondern auch die zugehörigen PIN-Codes.
Dann wird ein Bruchteil dieser Daten verwendet, um "Debit Cards" (in der Funktion etwa vergleichbar mit den Bankomatkarten) zu klonen und diese samt PINs an die Abhebertruppe zu verteilen.
Die Organisation
Das setzt schon einmal professionelle Datendiebe voraus, die in Systeme von Zahlungsdienstleistern eindringen können, dazu kommt etwas Know-how über das Klonen von Karten.
Das ist allerdings gegenüber der Organisation einer so großen Truppe von Strohmännern, die das Geld einsammeln, nachgerade trivial.
Hier liegt eine der Schwachstellen dieses Betrugssystems, die einerseits die "Rendite" vermindert. Der Schwachpunkt sind logischerweise die "Kassiere", die entweder selbst mit der Beute durchgehen oder gefasst werden können.
Die Schlussfolgerungen
Das Geldautomatensystem der RBS WorldPay war zum Zeitpunkt des Abhebens nicht gegen eine derartige Aktion gesichert, entweder weil die Maschinen in 49 Städten unzureichend vernetzt waren oder kein zentraler Mechanismus überprüfte, wie viel Geld da pro Konto in einer Stunde abgehoben wurde.
Angesichts der seit Jahren gewohnten und in Kontinentaleuropa wenig erfolgreichen, primitiven Phishing-Angriffe, die auf "Recruiting" mittels Spam setzen, repräsentiert die vorliegende Kombination eine absolut fortgeschrittene Kategorie von "Cyber-Crime".
"Normalerweise" wären die Daten nämlich sauber nach Beruf der Inhaber und/oder regional sortiert von Spammern angeboten worden.
Die Kosten
Was die Kosten angeht, so musste das betroffene Unternehmen die PIN-Codes von 1,5 Millionen Karten deaktivieren bzw. neue Karten ausgeben.
Das wird den Schaden in Cash von neun Millionen Dollar weit übersteigen. Dazu läuft eine Sammelklage gegen RBS WorldPay.
(futurezone/Erich Moechel))/)