Die Berliner Zeitung berichtete kürzlich von der Problematik der Gutscheine der Deutschen Bahn. Für den illegalen Handel mit den Gutscheinen benutzte man die Daten aus mehreren Datenbank-Hacks. Doch das Problem geht viel tiefer, wie uns ein Sprecher der Deutschen Bahn bereits bestätigt hat. Die Cyberkriminellen brauchten nämlich gar keine Kundendaten mehr, um sich bei der DB reichhaltig zu bedienen. Dies wurde durch Einführung der neuen DB-Tarifstruktur im August des Jahres ermöglicht. Zwischenzeitlich machte es den Anschein, als wenn die DB-Gutscheine im Untergrund zu einer Art Ersatzwährung geworden waren.
Vor etwa 14 Tagen kontaktierte uns ein Hacker, der dem Treiben der Cyberkriminellen ein Ende bereiten wollte. Er teilte uns mit, dass man für den illegalen Handel mit den Gutscheinen der Deutschen Bahn weder viel Ahnung, noch eine sonderlich aufwändige Ausrüstung benötigt hat. Die Kosten für die illegalen Gutschein-Verkäufer lagen anfangs bei zirka 20 Euro für eine Random Kreditkarte, die ohne weitere Absicherung überall im digitalen Graubereich erhältlich ist. Dazu kam die Anschaffung der anonymisierten Hardware im Wert von ca. 70 EUR. Folglich war mit einem Einsatz von anfangs 90 EUR jeder Wannabe-Hacker dabei.
Wenige Tage nach unserer ersten Presseanfrage Ende Oktober wurde die Software für die Abwicklung des Kaufvorganges überarbeitet. Danach konnten für den Kauf der Einzel- und Gruppentickets nur noch die etwas hochwertigeren, weil aufwändigeren, Kreditkarten verwendet werden. Akzeptiert werden derzeit nur noch Kreditkarten mit dem 3D Secure Verfahren von VISA, beziehungsweise solche, die mit dem SecureCode von Mastercard versehen sind. Ob es einen zeitlichen Zusammenhang zwischen der Presseanfrage und Umstellung des DB-Backends gibt, wissen wir nicht. Tatsache ist aber, es ist kein Hexenwerk, sich die etwas teureren geklauten Kreditkarten inklusive Code zu beschaffen. Diese Umstellung würde, alleine gesehen, ins Leere laufen…
Wie wurde die Deutsche Bahn beklaut?
Ganz einfach. Die Deutsche Bahn bietet seinen Kunden seit dem 01.08.2018 eine neue Tarifstruktur an. Teil des überarbeiteten Angebots ist der sogenannte Sparpreis. Wenn ich mein Ticket mit einem Sparpreis kaufe und dann storniere, kostet mich das 10 EUR, der Rest wird mir als Gutschein gutgeschrieben. Vorteil für die Deutsche Bahn: keine Rückzahlung des Guthabens an die Kunden. Das Vermögen bleibt, wo es war, auf dem Konto der Bahn. Nachteil: Irgendwann kamen die ersten Cyberkriminellen auf die Idee, dass man teure Einzel- und Gruppenkarten kaufen und diese dann abzüglich der 10 EUR Stornogebühr in einen Gutschein umwandeln könnte. Die Gutscheine waren dann nicht mehr illegal. Sie wurden auf dem digitalen Schwarzmarkt regelrecht verramscht. Ein Gutschein für 2.000 EUR war für 10% des eigentlichen Werts erhältlich (siehe Screenshot ganz unten). Gutscheine mit weniger Wert sind zwar etwas teurer im Verhältnis, dennoch weiterhin unschlagbar billig, weil illegal erworben.
Möglich wurde die Vorgehensweise durch Lücken im Anti-Fraud-System des Konzerns. Details können wir leider nicht preisgeben, ohne den Trick an sich zu verraten. Bahn-Insider gehen allerdings davon aus, dass durch die neue Betrugsmasche seit August Gutscheine im Millionenbereich über den virtuellen Ladentisch gewandert sein sollen, das zumindest berichtete die Berliner Zeitung. Doch wie gesagt, die BZ berichtet von Hackern, die aufgrund von Datenbank-Leaks an ihre Gutscheine gelangt sind. Das war aber bis zu einer neuen Umstellung vor wenigen Tagen gar nicht nötig. Bis vor kurzem konnte man die DB hinter das Licht führen, ohne dafür gehackte Kundendaten einzusetzen.
Wo haben die Hacker die Gutscheine verkauft?
Die Gutscheine wurden häufig in bar verkauft. Die Anbieter stellten sich in einem belebten Bahnhof neben einen Automaten und sprachen dann einfach jeden Kaufwilligen an, ob er statt des hochpreisigen Tickets nicht lieber einen Gutschein von ihm erwerben wolle. Wenn man sich die Erfahrungsberichte in den einschlägigen Foren anschaut, so hat das Ganze lange Zeit “reibungslos” funktioniert. Wir wollten vom Pressesprecher Digitalisierung der Deutschen Bahn AG wissen, warum es dort kein Bug-Bounty-Programm gibt? Würde man Whitehats für die Aufdeckung von Schwachstellen bezahlen, wäre es ungleich schwieriger, Schindluder mit dem Buchungs-System etc. zu treiben. Bug-Bounty-Programme sind bei einigen US-Firmen gängige Praxis, bei deutschen Unternehmen ist diese Vorgehensweise bis auf wenige Ausnahmen, noch nicht angekommen.
Wir wollten auch wissen, was es die Deutsche Bahn denn nun kostet, bei der Online-Bestellung ausschließlich die Kreditkarten mit dem 3D Secure-Verfahren bzw. dem SecureCode zu verwenden` Naturgemäß wollte der Bahn-Sprecher dazu ebenfalls keine Stellungnahme abgeben, siehe Screenshot oben.
Schluss mit dem illegalen Gutschein-Handel?
Vorerst konnte die Deutsche Bahn etwas gegen den Handel tun. Für die Kriminellen lohnt es sich wohl nur noch in den Großstädten abseits der Provinz, die illegalen Gutscheine einzusetzen. Andere Käufer beklagen, dass die DB ihre Gutscheine im Original-Wert von 500 EUR und mehr ohne Angabe von Gründen gesperrt hat. Die Masche der Kriminellen war auch zu schön, um wahr zu sein. Nur gut, dass einige Leute im Graubereich ihre Klappe nicht halten können. Immer wieder werden in Clearnet-Foren die neuesten Methoden öffentlich erläutert. Scheinbar haben es manche Personen nötig, mit ihrem Wissen anzugeben. Wenn dann kurze Zeit später auch der letzte Depp die Lücke im Sicherheitssystem ausgenutzt hat, muss der Konzern irgendwann mal reagieren. Offenbar ist genau das nun geschehen.
Mit der digitalen Ersatzwährung im Untergrund ist nun wohl erstmal Schluss. Aber die Frage lautet: für wie lange? Und warum hat es so lange gedauert, bis man den Skript-Kids ihr Treiben beendet hat!?
Oder anders gefragt: Wieso muss es eigentlich häufig erst so richtig knallen oder eine größere Zeitung darüber berichten, bis viele Firmen bereit sind, etwas Geld für die Sicherheit ihrer Kunden zu investieren?
Quelle: Tarnkappe
Du musst angemeldet sein, um Bilder zu sehen.
Vor etwa 14 Tagen kontaktierte uns ein Hacker, der dem Treiben der Cyberkriminellen ein Ende bereiten wollte. Er teilte uns mit, dass man für den illegalen Handel mit den Gutscheinen der Deutschen Bahn weder viel Ahnung, noch eine sonderlich aufwändige Ausrüstung benötigt hat. Die Kosten für die illegalen Gutschein-Verkäufer lagen anfangs bei zirka 20 Euro für eine Random Kreditkarte, die ohne weitere Absicherung überall im digitalen Graubereich erhältlich ist. Dazu kam die Anschaffung der anonymisierten Hardware im Wert von ca. 70 EUR. Folglich war mit einem Einsatz von anfangs 90 EUR jeder Wannabe-Hacker dabei.
Wenige Tage nach unserer ersten Presseanfrage Ende Oktober wurde die Software für die Abwicklung des Kaufvorganges überarbeitet. Danach konnten für den Kauf der Einzel- und Gruppentickets nur noch die etwas hochwertigeren, weil aufwändigeren, Kreditkarten verwendet werden. Akzeptiert werden derzeit nur noch Kreditkarten mit dem 3D Secure Verfahren von VISA, beziehungsweise solche, die mit dem SecureCode von Mastercard versehen sind. Ob es einen zeitlichen Zusammenhang zwischen der Presseanfrage und Umstellung des DB-Backends gibt, wissen wir nicht. Tatsache ist aber, es ist kein Hexenwerk, sich die etwas teureren geklauten Kreditkarten inklusive Code zu beschaffen. Diese Umstellung würde, alleine gesehen, ins Leere laufen…
Wie wurde die Deutsche Bahn beklaut?
Ganz einfach. Die Deutsche Bahn bietet seinen Kunden seit dem 01.08.2018 eine neue Tarifstruktur an. Teil des überarbeiteten Angebots ist der sogenannte Sparpreis. Wenn ich mein Ticket mit einem Sparpreis kaufe und dann storniere, kostet mich das 10 EUR, der Rest wird mir als Gutschein gutgeschrieben. Vorteil für die Deutsche Bahn: keine Rückzahlung des Guthabens an die Kunden. Das Vermögen bleibt, wo es war, auf dem Konto der Bahn. Nachteil: Irgendwann kamen die ersten Cyberkriminellen auf die Idee, dass man teure Einzel- und Gruppenkarten kaufen und diese dann abzüglich der 10 EUR Stornogebühr in einen Gutschein umwandeln könnte. Die Gutscheine waren dann nicht mehr illegal. Sie wurden auf dem digitalen Schwarzmarkt regelrecht verramscht. Ein Gutschein für 2.000 EUR war für 10% des eigentlichen Werts erhältlich (siehe Screenshot ganz unten). Gutscheine mit weniger Wert sind zwar etwas teurer im Verhältnis, dennoch weiterhin unschlagbar billig, weil illegal erworben.
Möglich wurde die Vorgehensweise durch Lücken im Anti-Fraud-System des Konzerns. Details können wir leider nicht preisgeben, ohne den Trick an sich zu verraten. Bahn-Insider gehen allerdings davon aus, dass durch die neue Betrugsmasche seit August Gutscheine im Millionenbereich über den virtuellen Ladentisch gewandert sein sollen, das zumindest berichtete die Berliner Zeitung. Doch wie gesagt, die BZ berichtet von Hackern, die aufgrund von Datenbank-Leaks an ihre Gutscheine gelangt sind. Das war aber bis zu einer neuen Umstellung vor wenigen Tagen gar nicht nötig. Bis vor kurzem konnte man die DB hinter das Licht führen, ohne dafür gehackte Kundendaten einzusetzen.
Wo haben die Hacker die Gutscheine verkauft?
Die Gutscheine wurden häufig in bar verkauft. Die Anbieter stellten sich in einem belebten Bahnhof neben einen Automaten und sprachen dann einfach jeden Kaufwilligen an, ob er statt des hochpreisigen Tickets nicht lieber einen Gutschein von ihm erwerben wolle. Wenn man sich die Erfahrungsberichte in den einschlägigen Foren anschaut, so hat das Ganze lange Zeit “reibungslos” funktioniert. Wir wollten vom Pressesprecher Digitalisierung der Deutschen Bahn AG wissen, warum es dort kein Bug-Bounty-Programm gibt? Würde man Whitehats für die Aufdeckung von Schwachstellen bezahlen, wäre es ungleich schwieriger, Schindluder mit dem Buchungs-System etc. zu treiben. Bug-Bounty-Programme sind bei einigen US-Firmen gängige Praxis, bei deutschen Unternehmen ist diese Vorgehensweise bis auf wenige Ausnahmen, noch nicht angekommen.
Wir wollten auch wissen, was es die Deutsche Bahn denn nun kostet, bei der Online-Bestellung ausschließlich die Kreditkarten mit dem 3D Secure-Verfahren bzw. dem SecureCode zu verwenden` Naturgemäß wollte der Bahn-Sprecher dazu ebenfalls keine Stellungnahme abgeben, siehe Screenshot oben.
Schluss mit dem illegalen Gutschein-Handel?
Vorerst konnte die Deutsche Bahn etwas gegen den Handel tun. Für die Kriminellen lohnt es sich wohl nur noch in den Großstädten abseits der Provinz, die illegalen Gutscheine einzusetzen. Andere Käufer beklagen, dass die DB ihre Gutscheine im Original-Wert von 500 EUR und mehr ohne Angabe von Gründen gesperrt hat. Die Masche der Kriminellen war auch zu schön, um wahr zu sein. Nur gut, dass einige Leute im Graubereich ihre Klappe nicht halten können. Immer wieder werden in Clearnet-Foren die neuesten Methoden öffentlich erläutert. Scheinbar haben es manche Personen nötig, mit ihrem Wissen anzugeben. Wenn dann kurze Zeit später auch der letzte Depp die Lücke im Sicherheitssystem ausgenutzt hat, muss der Konzern irgendwann mal reagieren. Offenbar ist genau das nun geschehen.
Mit der digitalen Ersatzwährung im Untergrund ist nun wohl erstmal Schluss. Aber die Frage lautet: für wie lange? Und warum hat es so lange gedauert, bis man den Skript-Kids ihr Treiben beendet hat!?
Oder anders gefragt: Wieso muss es eigentlich häufig erst so richtig knallen oder eine größere Zeitung darüber berichten, bis viele Firmen bereit sind, etwas Geld für die Sicherheit ihrer Kunden zu investieren?
Quelle: Tarnkappe