Sicherheit
Manipulierte Kreditkarten ohne Limit
von
Thorsten
Eggeling - 12.02.2013
Laut Informationen des Sicherheitsexperten Brian Krebs haben organisierte Kriminelle sich Zugriff auf Kreditkartensysteme verschafft, Kreditkartenlimits manipuliert und so rund elf Millionen US-Dollar gestohlen.
Nach einem Blogbericht des Sicherheitsexperten Brian Krebs haben die Kriminellen bereits zwei Großangriffe gestartet. Einer fand Weihnachten 2012 statt und der Nächste zu Silvester. Der Kreditkartenhersteller Visa warnt nun vor möglichen weiteren Angriffsversuchen. Noch ist unklar, welche Kreditkarten-Unternehmen betroffen sind. Laut Visa (PDF-Datei) müssen die Kriminellen aber Zugriff auf die Systeme der Firma haben. Sonst wäre es nicht möglich gewesen, mit einer geringen Anzahl von Kreditkarten in noch dazu sehr kurzer Zeit, elf Millionen US-Dollar abzuräumen.
Die Karten, die die Kriminellen erbeuteten, waren alle tageslimitiert. Normalerweise sind sie nach Ablauf der Frist ungültig. Doch die Betrüger manipulierten die Limits und konnten auf diese Weise innerhalb weniger Stunden von weltweit etwa 1000 verschiedenen Geldautomaten bis zu 500.000 US-Dollar über eine einzige Karte abbuchen.
Die Hacker drangen wahrscheinlich mit folgenden Methoden in die Systeme ein:
- Webbasiert, etwa durch SQL-Injection
- Das Einschleusen von Code ins interne Netzwerk über eine Backdoor
- Durch Diebstahl von Passworten über ein Password-Knack-Programm
- Durch das dynamische Lernen und Visualisierung (Mapping) der internen Netzwerk-Infrastruktur
Laut Brian Krebs ist diese Art des Kreditkartenbetrugs nicht neu. Bereits 2011 wurde das Finanzunternehmen Fidelity National Information Services (FIS) von Kriminellen um rund 13 Millionen US-Dollar erleichtert, als ihnen der Zugriff auf WildCard Systems Inc. gelang, einem Anbieter für Prepaid-Kreditkarten. Die Kriminellen hatten einfach mehrere wiederaufladbare Prepaid-Kreditkarten des Anbieters geklont. Im Jahr 2008 geschah Ähnliches bei RBS Worldplay. Damals stahlen Kriminelle neun Millionen US-Dollar.
