Unser Leser Dominik Meier staunte nicht schlecht: Da wies ihn ein Unbekannter per Mail darauf hin, dass die Daten seiner Kreditkarte in einer einschlägigen Newsgroup veröffentlicht worden seien. Zusammen mit Herrn Meier (alle Namen von Betroffenen wurden geändert) machten wir uns auf die Suche. Das Ergebnis: Nach wenigen Minuten hatten wir die echten Daten von 83 Kreditkarten in Händen.
Dabei handelt es sich nicht um "errechnete" Kartennummern, die in Betrügerkreisen schon seit Jahrzehnten gehandelt werden. Früher konnten die Daten noch nicht online verifiziert werden, einzig die mögliche Echtheit einer Nummer ließ sich mit den passenden Algorithmen überprüfen. Mitte der Achtziger Jahre gelangten die Berechnungsvorschriften in falsche Hände, und Betrüger konnten sich nach Belieben Kreditkarten generieren, deren Nummern aber immer nur wenige Tage oder Stunden gültig waren.
Dieses umständliche Verfahren gehört jetzt der Vergangenheit an. In den Listen, die auch Herrn Meiers Daten enthielten, finden sich ausschließlich echte Personendaten mit Nummer der Karte und Gültigkeitsdatum. Daneben sind auch noch die Postadresse, die Telefonnummer und eine E-Mail-Adresse der Halter angegeben.
Allein der Name, die Kartennummer und das Verfallsdatum der Karte reichen schon, um per Internet Waren und Dienstleistungen zu beziehen. Den Typ der Karte, also ob Visa oder AmEx, liefert anhand der Nummer ein Programm, das ebenfalls in den Newsgroups angeboten wird.
Bei vielen Angeboten, insbesondere den zahllosen Sex-Seiten, erfolgt die Freischaltung von Neukunden sofort - wer die Kartendaten hat, kann also auch sofort Belastungen generieren.
Darauf hingewiesen, rief Dominik Meier nach unserem Telefonat die Notfallnummer von Eurocard an (0180 5 21 021). Anschließend folgte ein Anruf bei seiner Hausbank, welche die Karte ausgegeben hatte. Noch am Nachmittag übermittelte man ihm per Fax die bisherige Abrechnung. Darauf fanden sich Dutzende von Belastungen, die Meier nicht selbst vorgenommen hatte. Der Gesamtschaden für Herrn Meier beläuft sich auf über 3000 Mark.
Wer haftet für den Schaden?
Glücklicherweise muss Dominik Meier die illegalen Belastungen nicht selbst tragen. Die Beweislast liegt bei dem, der die Karte als Zahlungsmittel akzeptiert. Den rechtlichen Aspekten des Kreditkartenmissbrauchs per Internet haben wir einen eigenen Artikel von Rechtsanwalt Christian Czirnich gewidmet.
Der Kreditkarteninhaber hat durch eine Veröffentlichung seiner Daten aber auf jeden Fall eine Menge Ärger. Durch die Sperrung, die das einzige Mittel der Gegenwehr ist, fällt die Karte als Zahlungsmittel zunächst aus. Außerdem gilt es, alle Buchungen genau durchzugehen.
Was die Kartenpiraten mit den geklauten Daten anstellen, geht aus Meiers Abrechnungen detailliert hervor: Sex-Sites und Online-Kasinos zählen zu den Favoriten der Betrüger. Insbesondere bei den Online-Kasinos, bei denen sich per Kreditkarte mit echtem Geld spielen lässt, kann der Betrüger die Kartendaten auch leicht versilbern. Diese zweifelhaften Unternehmen rechnen Gewinne oder die Auflösung eines eingezahlten Depots nämlich per Scheck ab.
Mit einer geklauten Karte bucht der Betrüger zunächst einen Betrag auf sein Konto beim Online-Kasino. Um den Schein zu wahren wird dann ein wenig gespielt, und natürlich verloren - es ist ja nicht das eigene Geld. Danach wird das Konto beim Kasino aufgelöst, der Scheck soll bitte an eine Deckadresse geschickt werden.
Solche Adressen suchen die Kartenpiraten ganz dreist und offen in den gleichen Newsgroups, in denen sie auch die Kartendaten veröffentlichen. Die Namen dieser Diskussionsforen geben wir aus verständlichen Gründen hier nicht preis.
Dreiste Betrügereien
Mit unglaublicher Dreistigkeit und teilweise schierer Dummheit gehen die Betrüger mit den entwendeten Daten um. So registrierte sich einer der Piraten mit der Kreditkarte von Dominik Meier sogar eine eigene Domain über den Service Register.com. Pikant dabei: Für eine Domain muss man immer auch eine Postanschrift angeben. Auch wenn die frei erfunden ist, so haben die Behörden über den E-Mail-Verkehr mit dem Registrierungsunternehmen eine Chance, den Betrüger ausfindig zu machen. Von seiner Domain hat er nur kurze Zeit etwas, bis der Schwindel auffliegt.
Neben Dominik Meier haben wir auch zwei andere Deutsche kontaktiert, deren Daten auf den Listen standen. Die anderen um die Welt verteilten Opfer wurden per Mail gewarnt. Auf Kosten von Heiner Friedrichs wollte ein Betrüger Software bei Symantec bestellen - nicht zum Download, sondern zur Lieferung per UPS. So gehen die illegalen Besteller den Behörden sicher leicht ins Netz.
Etwas geschickter stellten sich die Betrüger an, die mit den Daten von Oskar Schmidt, unserem dritten deutschen Opfer, einkaufen wollten. Neben den unvermeidlichen Porno-Sites und Online-Kasinos, die sich auf den Abrechnungen aller Geschädigten fanden, wollten die Betrüger hier vor allem kommerzielle Software zum Download beziehen. Der Schaden, der mit Schmidts Karte angerichtet wurde, beläuft sich zur Zeit auf über 500 Mark.
Schmidt kam noch glimpflich davon. Seine Karte war am 5. April veröffentlicht worden, am 6. April ließ er sie sperren. Bei Dominik Meier fanden die ersten illegalen Belastungen am 23. März statt, seine Karte stand aber erst am 4. April im Netz. Bevor die Daten also der Allgemeinheit zum kriminellen Gebrauch vorgeworfen werden, treiben die Kartenpiraten erst selbst ein wenig Schindluder damit.
Woher kommen die Daten?
Die penibel geführten Listen mit sämtlichen Personendaten und die schiere Masse der Daten legen den Verdacht nahe, dass diese Informationen aus einem Abrechnungsserver entwendet wurden. Dafür spricht, dass die Kombination aus vollständigem Namen, Postanschrift, Telefonnummer und E-Mail-Adresse nicht bei jeder Transaktion im Internet angegeben werden muss. Ein einzelnes Kreditunternehmen scheidet dabei aus, denn von American Express über Diners, Eurocard, Mastercard und Visa fanden wir alles, was in der Kreditbranche Rang und Namen hat.
Ein Ausspähen der Daten bei der Übertragung im Internet ist nicht unmöglich, aber sehr unwahrscheinlich. Fast alle kommerziellen Sites setzen moderne Technik ein und verwenden eine verschlüsselte Übertragung zwischen dem Rechner des Kunden und dem eigenen Server.
Viel wahrscheinlicher ist, dass die Daten bei einem Abrechnungsunternehmen für Internet-Transaktionen entwendet wurden. Diese Firmen wie BillingServices oder iBill rechnen vor allem die Mitgliedschaften bei Sex-Seiten ab.
Den genauen Nachweis zu führen, wo die Daten entwendet wurden, ist schwierig. Zwei der drei geschädigten Deutschen gaben jedoch an, sich selbst schon mit den Rotlicht-Seiten des Internet beschäftigt zu haben. Die weiteren Ermittlungen sollen die Behörden führen. Einige Tage vor Erscheinen dieses Artikels hat tecChannel.de die bisherigen Ergebnisse dem Betrugsdezernat der Münchner Polizei übergeben.
Die Abrechnungsfirmen selbst scheinen relativ wenig Interesse an der Sicherheit ihrer Kunden zu haben. Von vier kontaktierten Unternehmen erfolgte innerhalb von drei Werktagen nur bei zweien die Rückmeldung, dass man keine Hackerangriffe bemerkt habe. Auf die Antwort von zwei anderen Unternehmen warten wir nach etlichen Telefonaten und E-Mails noch.
Wer sind die Poster?
Wer eine gültige Kreditkarte in eine Newsgroup stellt, muss damit rechnen, dass diese Karte aufgrund der zahlreichen Belastungen nach ein paar Tagen gesperrt ist. Entweder wird das Limit der Karte gesprengt oder der Inhaber bemerkt die Buchungen.
Der Poster verfügt also entweder über zahlreiche andere Kartennummern oder will sich mit der Masse seiner Daten brüsten. Im vorliegenden Fall stammen alle 83 Karten aus der selben Quelle. Diese Person versteckt sich zwar hinter der E-Mail-Adresse eines Anbieters für den Zugriff auf News-Server per Web, doch tarnt sich sonst nicht weiter.
Über die IP-Adresse, die in jedem News-Posting auftaucht, lässt sich der Poster bis zu einem spanischen Internet-Service-Provider zurückverfolgen. Andere Mail-Adressen, über die der Poster nach Deckadressen für "harmlose Dokumente" sucht (vermutlich Schecks von Online-Kasinos), führen zum selben Provider. Da der Poster, wie aus den Headern der Nachrichten ebenfalls hervorgeht, einen Browser für seine Postings verwendet, erscheint es unwahrscheinlich, dass er einen Anonymisierungsdienst verwendet. Solche Internet-Umleitungen, über die tecChannel bereits berichtet hat, verbergen solche Daten inklusive der IP.
Dieses reichlich sorglose Vorgehen führt zu dem Schluss, dass hier nicht gut organisierte Profis am Werk sind, sondern geltungssüchtige Amateure, die auf die schnelle Mark aus sind.
In Deutschland wäre der Poster mit den Spuren, die er hinterlassen hat, binnen weniger Stunden dingfest zu machen. Bei der Verbreitung von Kinderpornographie konnte die Polizei in Zusammenarbeit mit den Providern die Täter schon mehrfach schnell ermitteln.
Schwierige Ermittlungen, träge Banken
Doch, wie ein Kriminalbeamter angab "die internationale Zusammenarbeit im Betrugssektor ist lausig". Neben den allgemeinen Formalitäten bei internationalen Ermittlungen sei vor allem die Internet-Kompetenz in Europa verschieden stark ausgeprägt. Mit Spanien habe man bisher schon gute Erfahrungen gemacht, bei anderen Ländern, die der Ermittler nicht nennen wollte, könne man Anfragen nach der Identität eines Users "glatt vergessen".
Den Behörden gelang es nach dem Hinweis von tecChannel jedoch schnell, den Sachverhalt nachzuvollziehen. Andere Erfahrungen machten wir mit den Hausbanken der Geschädigten. Von der Allgemeinen deutschen Direktbank erhielt Heiner Friedrichs auch nach mehrfachem Nachfragen keine aktuelle Abrechnung seiner Kreditkarte per Fax. Solche Auszüge würden nur per Post zugestellt, hieß es. Drei Tage nach seinem Anruf wartete Friedrichs noch immer auf die Daten. Diese Abrechnungen sind im Fall einer Entwendung der Kreditkartendaten das einzige Mittel, um die Belastungen nachvollziehen und Einspruch erheben zu können.
Besseres gibt es von der Stadtsparkasse Augsburg zu berichten, wo Dominik Meier seine Kreditkarte abrechnet. Zwar war man dort mit dem Problem des Kartenmissbrauchs per Internet noch nicht konfrontiert worden, doch nach einer Stunde hatte Herr Meier seine Abrechnung. Die Mitarbeiter der Bank zeigten sich äußerst interessiert und konnten nach Angabe der Newsgroup binnen zwei Stunden die entwendeten Daten im Netz selbst finden und den Poster ebenso weit zurückverfolgen wie wir. Solche Beispiele wecken die Hoffnung, dass die Banken und Kreditunternehmen ihren Kunden auch glauben, wenn diese unberechtigte Belastungen geltend machen.
Wie kann man sich schützen?
Die traurige Antwort lautet: Gar nicht. Wer seine Kartendaten einer Webseite anvertraut, handelt auf eigenes Risiko. Zwar liegt das Zahlungsrisiko nach der gängigen Praxis der Kreditunternehmen immer bei dem, der die Karte akzeptiert (siehe dazu unseren Rechts-Report zum Thema), doch den Ärger mit seiner Bank hat immer der Karteninhaber. Und einen wirklichen Schutz gegen gehackte Server eines Abrechnungsunternehmens, wie er hier vorzuliegen scheint, gibt es nicht.
Dennoch lassen sich nach den Erfahrungen einige praktische Ratschläge aufstellen, mit denen sich die Gefahr minimieren lässt:
Kaufen Sie im Netz mit einer eigenen Kreditkarte ein, die sie nur dafür benutzen. Dadurch lassen sich die Buchungen leichter überwachen, und im Schadensfall haben Sie noch eine gültige Karte, die Sie nicht sperren lassen müssen.
Machen Sie sich Screenshots von Bestellungen und Mitgliedschaften. Dadurch haben Sie im Streitfall zumindest einen Beleg der von Ihnen selbst angegebenen Daten in der Hand.
Vereinbaren Sie mit Bank- oder Kreditkarten-Unternehmen eine Online-Einsicht in die Buchungen oder eine Übermittlung der Abrechnungen per Fax. Überwachen Sie diese Konten mindestens einmal in der Woche.
Überlegen Sie, wem Sie Ihre Daten anvertrauen. Die kleine Sex-Seite mit zehn Porno-Bildern ist bestimmt schlechter gesichert als ein großer Online-Buchhändler oder eine renommierte Software-Firma.
Wann immer möglich: Zahlen Sie nicht mit Kreditkarte! Viele deutsche Web-Angebote akzeptieren auch eine Zahlung per Scheck oder Lastschrift-Verfahren. Dadurch müssen Sie Ihre Kartendaten erst gar nicht aus der Hand geben.
Gegen die Verbreitung von Kreditkartendaten nutzt das freilich alles nichts. Was die Newsgroups betrifft, könnte hier aber ein einfacher Selbstreinigungsmechanismus des Netzes einmal mehr greifen. Als 1995 gegen CompuServe wegen der Verbreitung illegaler Pornographie ermittelt wurde, schlossen nach CompuServe auch die meisten anderen Provider die relevanten Newsgroups. Eine solche "soziale Ächtung" der Gruppen mit geklauten Kreditkarten müsste auch dieses Mal erfolgen.
Fazit
Die Veröffentlichung von echten Kartendaten im Internet und die Schädigungen der von uns geschilderten Opfer sind ein herber Rückschlag für den E-Commerce. Verschlüsselte Übertragungen hin und Haftung der Dienstanbieter her - von "Sicherheit" beim Online-Einkauf kann keine Rede sein.
Die Unternehmen, die mit der bloßen Eingabe einer Kreditkartennummer die Nutzung Ihrer Angebote besonders einfach machen wollen, laden zum Betrug geradezu ein. Solange digitale Signaturen oder eine andere Form der Identifizierung sich nicht international durchsetzen, ist das Bezahlen per Kreditkarte eine riskante Angelegenheit.
Dass es dabei nur diejenigen erwischt, die mit Ihren Daten grob fahrlässig umgehen, ist ein Märchen: Dominik Meier, unser erstes Opfer, betreibt selbst einen Online-Shop. Die dafür nötigen Waren und Tools kauft er ausnahmslos per Kreditkarte ein. Zumindest konnte er das noch, bis ein anonymer Betrüger seine Daten ausgespäht und veröffentlicht hat. (nie)