SSNDOB: Umfassender Identitätsklau - 100 Dinge, die ich von dir weiß

Ein krimineller Dienstleister zapft die Datenbanken von US-Unternehmen an, die höchst sensible Daten von Konsumenten und Unternehmen speichern. Sie dienen unter anderem Authentifizierungszwecken, um Geschäfte abzuwickeln.

In Pocket speichern vorlesen Druckansicht 43 Kommentare lesen
Lesezeit: 6 Min.

Der Sicherheitsblogger Brian Krebs ist einem über vermutlich mehrere Jahre professionell ausgeführten Identitätsklau bei namhaften amerikanischen Firmen auf die Schliche gekommen. Der Datenklau bei LexisNexis, Dun & Bradstreet und Kroll Background America Inc. soll überaus lukrativ gewesen sein, da einige der Firmen zu Authentifizierungszwecken pro Kunde rund 100 persönliche Daten zur Kreditvergabe und Geschäftszwecken vorhalten. Kopiert wurden die Daten mittels eines kleinen aber feinen Botnetzes, das von einem Identitätsklau-Dienst für Kriminelle betrieben wird.

Der mysteriöse Service ist unter der Internetadresse SSNDOB.com zu finden. Krebs wurde auf SSNDOB aufmerksam, als im März diesen Jahres die Sozialversicherungsnummern, Adressen, Telefonnummern und weitere Daten von Prominenten wie Michelle Obama, Kanye West, Beyonce und Jay-Z veröffentlicht wurden. Es stellte sich die Frage, woher diese Daten stammten und wer etwa mit ihnen Handel trieb. In diesem Zusammenhang fiel auch der Name SSNDOB.

Krebs ging der Spur nach. Dabei half ihm, dass SSNDOB in diesem Sommer von einer Reihe von Hackern angegriffen wurde, die die Datenbank kopierten. Ein Auszug aus dieser zeigte, dass die rund 1300 Kunden von SSNDOB bereits hunderttausende Dollar investierten, um sich die Sozialversicherungsnummern, Geburtstage, Adressen, Führerschein- und Kreditkartendaten von rund vier Millionen US-Amerikanern zu beschaffen. Woher diese Daten stammten, offenbarte die Datenbank allerdings nicht. Die Einträge gaben nur darüber Aufschluss, dass die Daten aus verschiedenen Quellen zusammengetragen wurden, die schlicht als etwa "DB1" oder "DB2" bezeichnet wurden.

DB1 und DB2. Wer steckt dahinter?

(Bild: Brian Krebs )

Die Überwachung des Netzwerkverkehrs brachte dann im August ans Licht, dass SSNDOB durch ein spezialisiertes Botnetz mit den internen Systemen von einigen großen US-Konzernen verbunden ist – LexisNexis, Dun & Bradstreet und Kroll Background America Inc. LexisNexis hält eine der größten Datenbanken zu Wirtschafts-, Finanz- und Rechtsinformationen vor. Geschäftsberichte, Wettbewerbsanalysen und Firmendatenbanken gehören ebenfalls dazu. Dun & Bradstreet sammelt Daten im Unternehmensbereich etwa über Umsatz, Mitarbeiterzahl und Branche. Kroll Background America Inc. speichert die Daten von Angestellten zu Arbeitsstellen, Medizin- und Gesundheitstests. Das Unternehmen ist Teil von HireRight und HireRight wird wiederum von der Firma Altegrity gemanagt.

Demnach sollen bei diesen Firmen fünf Server kompromottiert worden sein; zwei Server von LexisNexis, zwei Server von Dun & Bradstreet und einer von Kroll Background. In diese wurde das Programm nbc.exe eingeschleust. Das soll spätestens im März 2013 bei Dun & Bradstreet, im April bei LexisNexis und im Juni bei Kroll Background der Fall gewesen sein. Das Programm ermöglichte verschlüsselte Kommunikation zwischen den internen Systemen der Firmen und den Botnetzbetreibern.

Einer der Bots bei LexisNexis.

(Bild: Brian Krebs )

Die Betrugsanalystin Avivah Litan von der Sicherheitsfirma Gartner erläuterte gegenüber Krebs, dass die Informationen zu Konsumenten, Konsumentenverhalten und Unternehmen von hohem Wert sind. Und besonders die in der Kreditwirtschaft genutzte "wissensbasierte Authentifizierung" (knowledge-based authentication, kurz KBA) ist für Betrüger wertvoll. Pro Jahr soll der KBA-Markt zwei Milliarden US-Dollar umfassen.

Die Authentifizierung funktioniert wie folgt: Die Unternehmen speichern rund 100 Einträge pro Person. Diese umfassen etwa Antworten auf Fragen wie: "Wie lautete ihre letzte Adresse?" Anhand der Beantwortung verifizieren sich die Kunden – und können auf diese Weise Geschäfte abwickeln. Um Betrüger zu überführen, seien immer auch einige falsche Fragen und Antworten dabei. Beantwortet jemand alle Fragen richtig, erzeuge dies dann Misstrauen – es scheint jemand nach (erbeutetem) Katalog zu antworten.

Litan gab gegenüber Krebs an, dass sie sich schon seit Jahren sicher sei, dass diese Art der Authentifizierung kompromittiert werde. Eine gute Alternative gäbe es auf dem US-amerikanischen Markt allerdings bisher nicht.

Interesse an diesen Daten, hatten laut der SSNDOB-Datenbank nicht nur die rund 1300 registrierten Nutzer, die Daten einzeln abriefen, Interesse zeigten wohl auch zwölf besonders lizenzierte Nutzer, die riesige Datenmengen abgriffen und dafür wohl eine eigene API nutzten. Über diese konnten scheinbar Drittanbieter direkt die SSNDOB-Datenbank durchsuchen. Die großen Zwölf sollen dem SSNDOB-Service demnach wohl auch mehr Einnahmen eingebracht haben als die Einzelabrufer zusammen. Die Preise für die Datenabfrage bewegten sich dabei zwischen 50 Cent und 2,50 US-Dollar. Kreditdaten und Hintergrunddaten kosten mehr; zwischen fünf und 15 US-Dollar.

Die Nutzer bezahlen den Service mit weitestgehend anonymen und unregulierten Werten - Bitcoin und WebMoney. Woher die Kunden genau stammen, könne man laut Krebs nur erahnen. Ein Großteil der Nutzer wähle sich über Internetadressen aus den USA, Russland und Großbritannien ein. Es sei aber davon auszugehen, dass sich die meisten Kunden über gehackte Rechner einwählen, um so ihre wahre Position zu verschleiern.

SSNDOB.ms, vormals auch unter SSNDOB.ru zu finden.

(Bild: Brian Krebs )

Die drei betroffenen US-Firmen sollen zu diesem Zeitpunkt bereits mit Sicherheitsbehörden und -firmen zusammenarbeiten, um herauszufinden, wann genau Systeme kompromittiert und welche Daten abgegriffen wurden. Laut Krebs ständen die Unternehmen aber noch ganz am Anfang der Untersuchungen. LexisNexis bestätigte etwa gegenüber dem Blogger, dass der Einbruch in das System im April begonnen haben müsse, aber bisher keine Beweise gefunden wurden, dass Kundendaten erreicht oder abgegriffen wurden. Seit Bekanntwerden der Hacks sei die Firma in Kontakt mit dem FBI. Dun & Bradstreet märten sich weniger über die Vorkommnisse und den Stand der bisherigen Untersuchungen aus, gaben aber an, dass die bereitgestellten Informationen über das Botnetz "sehr hilfreich" gewesen seien. Ein Sprecher von Altegrity, der Mutterfirma von Kroll Background America Inc., wollte die Existenz des Bots bisher nicht bestätigen, wies aber auf laufende Untersuchungen hin.

Krebs stellt heraus, dass SSNDOB nicht erst seit ein paar Monaten, sondern mindestens schon seit zwei Jahren Kriminellen sensible Daten verkaufe. Das gehe aus Untergrundforen hervor. Und ob nicht noch mehr Firmen von dem Datenklau betroffen sind, sei bisher nicht gesichert. Die Botnetzsoftware, die für SSNDOB im Einsatz ist, soll geschickt gestaltet worden und lange unter dem Radar von Antivirensoftware geflogen sein. So konnte Anfang September keine der bei Virustotal eingesetzen Antiviren-Engines den Schädling beanstanden. Mittlerweile sollen zumindest sechs von 46 ausschlagen. (kbe)