Target-Kartenraubzug: Weihnachten für Kriminelle
Die bei der US-amerikanischen Handelskette Target abgegriffenen 40 Millionen Kreditkartendaten sind heiß begehrt: Untergrundforen handeln fleißig mit den Datensätzen.
- Gerald Himmelein
Unbekannte haben zwischen dem 27. November und 15. Dezember 2013 die Kartendaten von Kunden der US-amerikanischen Handelskette Target abgegriffen. Dabei soll es sich um die Magnetstreifendaten von etwa 40 Millionen Kredit- und Lastschriftkarten handeln; das legt eine zentrale Angriffsstelle nahe.
Anhand der entwendeten Kartendaten ("Dumps") lassen sich Kopien erzeugen, mit denen Kriminelle auf Einkaufstour gehen können. Um am Bankautomaten direkt Geld abzuheben, wird zusätzlich eine PIN benötigt. Auch Online-Bestellungen schlagen fehl, sofern der Händler den CVV2-Code auf der Rückseite der Karte abfragt. Dieser dreistellige Sicherheitscode ist nicht im Magnetstreifen kodiert.
Im Auftrag einer Bank hat sich der auf Sicherheitsthemen spezialisierte Online-Journalist Brian Krebs in einem "Card Shop" umgesehen, der mit Dumps handelt. Dort werden Datensätze in Paketen verkauft, bei denen eine Karte zwischen 20 und 100 US-Dollar kostet. Target-Karten werden unter dem Code-Namen "Tortuga" gehandelt. Zu jedem Dump gehört auch die Postleitzahl (ZIP Code) des Karteninhabers. Die ist für Betrüger nützlich, weil die Sicherheitsmechanismen der Banken bei in der Umgebung des Karteninhabers getätigten Käufe nicht so schnell anschlagen.
Bei seiner Recherche ging Krebs so weit, dass er im Auftrag der Bank einige der von ihren Kunden gestohlenen Dumps im Card Shop erwarb. Deren Analyse bestätigte, dass die Karten im bekannten Zeitraum bei Target eingesetzt worden waren. Eine von ihnen war auch schon aufgrund unautorisierter Käufe gesperrt worden.
Derzeit haben es die US-Banken wohl noch nicht so eilig damit, die betroffenen Kunden zu informieren und deren Karten auszutauschen. Zum einen werden die Karten in der Weihnachtszeit besonders intensiv genutzt – die Kriminellen hatten für ihren Einbruch im Target-Datencenter einen sehr geschickten Zeitpunkt gewählt. Zum anderen kostet die Neuausstellung einer Karte das betroffene Kreditunternehmen zwischen 3 und 5 US-Dollar. Noch hoffen die Banken offenbar, dass nicht alle Karten in Umlauf geraten oder genutzt werden. Ob sich diese Kopf-in-den-Sand-Strategie auszahlt, bleibt abzuwarten. (ghi)
