gegen Trickdiebe und Trickbetrüger

Illegaler Online-Handel von Kreditkartendaten

Fuze Card

Betrugsringe kaufen oft Daten von Tausenden von Kredit- und Debitkarten, die von gehackten Point-of-Sale-Geräten gestohlen oder über physische Kartenabschäumer bezogen wurden. Die Daten können auf jede Karte mit Magnetstreifen kodiert und dann zum Kauf von hochpreisigen Artikeln im Einzelhandel verwendet werden - oder zum Abheben von Geldern an Geldautomaten (wenn die Betrüger auch die PIN des Karteninhabers haben).

Aber mit Dutzenden von gefälschten oder gestohlenen Karten erwischt zu werden, ist den Behörden schwer zu erklären. Daher ist die Faszination der Fuze Card, die dem zufälligen Betrachter nur als eine weitere Kreditkarte in der Brieftasche erscheinen mag. Auf einem Display auf der Karte kann die jeweilige zu nutzende Karte eingestellt werden.

"Während diese Smartcard-Technologie derzeit einen kleinen Teil der betrügerischen Kreditkarten ausmacht, sollten sich die Ermittler des Potenzials bewusst sein, dass mit dem Aufkommen dieser Smartcard-Technologie ein signifikanter Anstieg der Betrugsverlustbeträge möglich ist", schließt das Secret Service Memo.

In vielerlei Hinsicht ist es nicht verwunderlich, dass Diebe sich dieser neuen Technologie zuwenden, um Kreditkartenbetrug zu begehen, was so etwas wie ein ständiges Katz-und-Maus-Spiel ist, das ständig wechselnde Techniken einsetzt. Als Beweis dafür braucht man nur auf die ständigen Innovationen zu schauen, die Betrüger hervorbringen, um physische Kartenabschäumer an Geldautomaten und Kassen im Einzelhandel einzusetzen.

Zweifellos werden Betrüger, die Geldwäsche über virtuelle Währungen wie Bitcoin betreiben, in den kommenden Monaten doppelt an Fuze Cards interessiert sein. Fuze Card sagt, dass es noch in diesem Jahr plant, FuzeX auf den Markt zu bringen, das die gleichen Annehmlichkeiten wie die Fuze Card bietet und es den Benutzern ermöglicht, Einkäufe in virtuellen Währungen durchzuführen.

Quelle: https://krebsonsecurity.com/

nach oben

Europaweiter Großeinsatz gegen Onlinebetrüger

In einem von der Staatsanwaltschaft Dresden und dem Landeskriminalamt Sachsen geführten Ermittlungsverfahren wegen bandenmäßigen Computerbetruges ist es gelungen, gegen eine international agierende Gruppierung einen schweren Schlag zu führen.

Den derzeit 15 Beschuldigten wird vorgeworfen, durch vielfache betrügerische Onlinebestellungen, Waren im Wert von über 18 Millionen Euro erlangt zu haben.

Im Zeitraum vom 12. bis 15. Juni 2018 wurden 31 Wohnungen und Geschäftsräume in Deutschland, Litauen, Estland, der Schweiz, Zypern, Großbritannien und Nordirland, der Ukraine, Finnland und Lettland bei dem sogenannten Actionday „Atlantis“ durchsucht.

Dabei erfolgten insgesamt vier Verhaftungen in der Nähe von Würzburg, der Schweiz sowie in Litauen. Der mutmaßliche Organisator des Netzwerks wurde in Zypern verhaftet. Durch die Staatsanwaltschaft Dresden wurde bereits ein förmliches Auslieferungsersuchen gestellt.

Seit September 2015 ermittelt die Abteilung für Organisierte Kriminalität zusammen mit dem SN4C* im LKA Sachsen in dem Verfahren. Im Ergebnis justizieller Rechtshilfe mit der Republik Litauen wurden die Ermittlungen schließlich auf Grundlage eines Joint Investigation Teams (JIT) zwischen Deutschland und Litauen unter Betreuung durch Eurojust und Europol in Den Haag geführt. In die Ermittlungen waren schließlich Behörden aus acht europäischen Staaten eingebunden.

Die Ermittlungen ergaben, dass seit 2012 in über 35.000 Tathandlungen hochwertige Waren bei verschiedenen Versandunternehmen mit betrügerisch erlangten Kreditkartendaten über ein Netz von Warenagenten bestellt worden sein sollen.

Durch umfangreiche und aufwendige Ermittlungen konnte sowohl die Identität als auch der Aufenthaltsort des Organisators und weiterer Mitglieder des Netzwerkes ermittelt werden. Dies gestaltete sich sehr schwierig, da alle Täter ausschließlich mit Spitznamen und unter Nutzung verschlüsselter Zugänge im Netz agierten. Die Abwicklung von Zahlungen erfolgte mit Hilfe von sogenannten Kryptowährungen, was bei den Ermittlungen ebenfalls eine große Rolle spielte.

Im Rahmen des Einsatzes wurden eine Vielzahl von Datenträgern und Wertgegenständen sichergestellt. In Finnland gelang es, einen Paketempfänger und -versender auf frischer Tat festzunehmen.

Die Beschuldigten sollen mit illegal erlangten Kreditkartendaten Waren im Online-Handel erworben haben. Dies soll sowohl aus Deutschland als auch dem Ausland erfolgt sein. Als Empfänger der Waren dienten speziell in Deutschland angeworbene Warenagenten, welche die Sendungen aufgrund von Anweisungen an Adressen im Ausland weiterleiteten. Von dort soll eine Weitergabe an andere Tatbeteiligte erfolgt sein, um die eigene Identität und den endgültigen Empfänger zu verschleiern. Die Waren sollen überwiegend in Osteuropa verkauft worden sein.

Quelle: LKA Sachsen v.20.07.18

nach oben

Mit ausgespähten Kreditkarten und widerrechtlich erlangten DHL Kundennummer Ware bestellt

Ermittlern des Zentralen Kriminaldienstes (ZKD) Hannover ist es in Zusammenarbeit mit der Staatsanwaltsschaft (StA) Verden sowie der Deutschen Post AG gelungen, insgesamt 13 Täter nach dem widerrechtlichen Ausspähen von DHL Kundennummern (sogenannte Postnummern) zu ermitteln.

Nach derzeitigem Ermittlungsstand waren beim ZKD Hannover rund um den Jahreswechsel diverse Anzeigen von geschädigten Unternehmen eingegangen, nachdem Internetbetrüger Waren offenbar mithilfe von ausgespähten Kreditkarten und widerrechtlich erlangten Postnummern bestellt hatten. Die georderten Gegenstände ließen die Täter an DHL Packstationen liefern. Um die Waren aus den Boxen zu bekommen, hatten sich die Internetbetrüger vorher unbefugt Zugang zu DHL Accounts von Privatnutzern verschafft. In den Accounts änderten die Täter nunmehr die Handyerreichbarkeit der Nutzer, um an die sogenannte mTAN für die Öffnung der DHL Packstation zu gelangen. Mithilfe von gefälschten Kundenkarten und der mTAN konnten die Täter die widerrechtlich bestellten Waren aus den Packstationen entnehmen.

Nach einem umfangreichen Verfahren ist es Ermittlern des ZKD und der StA Verden gelungen, zwölf Durchsuchungsbeschlüsse für die Region Hannover zu erwirken. Bei den Durchsuchungen konnten Fahnder zahlreiche unbefugt bestellte oder nicht bezahlte Waren sicherstellen. Die Auswertung zu der Beute dauert aktuell noch an. Der entstandene Schaden wird auf eine mittlere bis hohe fünfstellige Summe geschätzt.

Das Verfahren richtet sich derzeit gegen 13 Tatverdächtige im Alter von 16 bis 34 Jahren, die sich nun unter anderem wegen Computerbetruges, Warenbetruges, Verstöße gegen das Waffengesetz (Schreckschusswaffe), das Betäubungsmittelgesetz (Ecstasy) und Sprengstoffgesetz (nicht zugelassene Böller) verantworten müssen. Den Ermittlern ist es zudem gelungen im Rahmen dieses Verfahrens eine weitere Serie zum Nachteil der Deutschen Bahn AG aufzuklären. Die Täter hatten mit ausgespähten Kreditkarten Bahntickets im Wert von 8 000 Euro erworben.

Quelle: Polizeipresse Hannover v.20.07.18

nach oben

Täter im Bereich Cybercrime- Carding

Weil Kreditkarten-Herausgeber aufsteigende Kreditkartennummern herausgeben, lassen sich die Karten leicht fälschen. Auch die eingereichte Prüfziffer kann mithilfe des Luhn-Algorithmus leicht errechnet werden. Angreifer könnten computergestützte Programme auf verschiedene Online-Shops ansetzen und durch Ausprobieren zum Bezahlen notwendige Kreditkarten-Daten erraten.

Täter im Bereich Cybercrime sind an allen Arten und Ausprägungen von digitalen Identitäten interessiert, die sie in ihren kriminellen "Geschäftsmodellen" verwenden können.

Der Datendieb und/oder -händler" greift die Kreditkartendaten entweder mittels Einsatz von Schadsoftware beim Opfer ab oder erlangt sie über den unbefugten Zugriff auf ungenügend gesicherte und nicht verschlüsselte Datenbanken. Anschließend werden diese für monetäre Vorteile jeglicher Art nutzbaren Kreditkartendaten über Webportale und Foren der Underground Economy weiter veräußert. Kartennummer, Gültigkeitsdatum, Prüfziffer sowie Name des Inhabers sind alles, was Online-Kriminelle für einen Missbrauch benötigen. Und diese Daten können die Täter schnell über Trojaner auf Privat-PCs oder Hackangriffe auf schlecht gesicherte Server von Banken und Online-Shops abgreifen. An dieser Stelle greift der zweite Teil der Tatausführung (das eigentliche Carding), wo nun die "gekauften"15 Kreditkartendaten zum Onlinekauf von Waren genutzt.

bundeslagebild Cybercrime 2017 Interessante Einzelheiten finden Sie im
Bundeslagebericht Cybercrime 2017 (PDF Datei) des BKA

nach oben

34 Millionen Euro mit gefälschten Kreditkarten erbeutet, Haftstrafen

In einem spektakulären Cyber-Angriff erbeuteten Hacker weltweit mehr als 34 Millionen Euro mit gefälschten Kreditkarten. Das Landgericht verurteilte die 56-jährige Niederländerin und ihren 35 Jahre alten Sohn zu jeweils vier Jahren und drei Monaten Gefängnis wegen schweren Computerbetrugs und der Fälschung von Zahlungskarten. Die beiden waren im Februar in Düsseldorf beim Abheben von 170.000 Euro mit Kreditkarten-Dubletten erwischt und festgenommen worden.

Hacker hatten zuvor eine Bank im Oman angegriffen, die Sicherheitsbarrieren überwunden und geheime Kontodaten abgegriffen. Normalerweise wird jedem Bankkunden, der eine Kreditkarte bekommt, dringend geraten, für Geldabbuchungen ein Tageslimit einzurichten - eben auch, um zu verhindern, dass im Fall eines Diebstahls der Dieb das Konto nicht einfach "leer räumen" kann. Bei den ausgeraubten Bankkonten hatten Hacker diese Limits zuvor gelöscht. Weltweit waren dann Teams ausgeschwärmt, um mit Karten-Dubletten die Konten zu plündern.

Quelle: www.wdr.de v. 15.11.13

nach oben

Hunderte Millionen Schaden: Russische Kreditkartenhacker in USA angeklagt

Vier russische und ein ukrainischer Hacker sollen von 2005 bis 2012 durch Eindringen in große Unternehmen mehr als 160 Millionen Kreditkartennummern erbeutet und Schäden von mehreren hundert Millionen US-Dollar verursacht haben. Zwei Russen und der Ukrainer sitzen in ihrem Heimatländern, einer sitzt auf der Anklagebank, einer in den Niederlanden.

Kopiert wurden Login-Daten, Personaldaten und Kundendaten samt Debit- und Kreditkartendaten. Die genannten Beträge reichen von 312.000 US-Dollar (Diners Singapur) bis 200 Millionen US-Dollar (Heartland). Die Daten wurden im Internet verkauft, die US-Kartennummer rund zehn US-Dollar, eine kanadische 15 US-Dollar und eine europäische für 50 US-Dollar. Weitere Informationen dazu bei https://www.heise.de

Quelle: https://www.heise.de v. 26.07.13

nach oben

Kreditkartennummern aus dem Internet

Wer per Kreditkarte im Internet einkauft, sollte regelmäßig seine Abrechnung kontrollieren und die Karte bei verdächtigen Buchungen sofort sperren lassen. Als Alternative bieten sich Prepaid-Kreditkarten an, bei denen man vor dem Kauf Guthaben laden muss. Am PC unbedingt ein Virenprogramm einsetzen

Der illegale Online-Handel von Kreditkartendaten hat sich explosionsartig entwickelt Server von Online-Händlern werden gehackt und die Kundendaten gestohlen. Diese Datensätze werden dann verkauft. Auf dem Schwarzmarkt werden ganze Datenpakete angeboten - sogar mit Kartenprüfnummer und Secure-Code.

In Internetforen wurden schon gefälschte Kreditkarten, vollständige Kartendaten und sogar Skimming-Equipment zum Datenklau an Geldautomaten entdeckt.

Kriminelle Organisationen erwerben veruntreute Daten von Kreditkarten aus aller Welt, vermutlich in Untergrundforen im Internet. Mit diesen Daten kaufen die Kriminellen Waren im Internet und verkaufen sie über Netz-Auktionshäuser weiter oder fertigen Dubletten.. Die kriminellen Gruppen teilen sich die Arbeit. Die eine Organisation bricht in Computerdatenbanken ein und stiehlt die Kreditkartendaten. Andere, von dieser unabhängige Banden, kaufen diese im Internet zu Tausenden und gehen damit auf Beutezug.

Nach Berichten von PC-Welt sind im Internet Kreditkartenrohlinge mit und ohne Hologramm sind zu Preisen zwischen 45 und 150 US-Dollar im 10er-Pack erhältlich. Für das Bedrucken der Karten geeignete Drucker gibt es für zwischen 450 und 3500 Euro. Für mobile Kartenleser zum Auslesen von Kredit- und EC-Karten werden zwischen 250 und 900 Euro verlangt. Auch komplette Skimming-Sets, mit denen Geldautomaten präpariert werden, sind erhältlich. Je nach Ausführung, etwa mit GSM- oder Videofunktionen, kosten sie zwischen 1.500 und 10.000 US-Dollar

nach oben

Wer muss zahlen, wenn ein Betrüger mit gestohlenen Kreditkartendaten einkauft?

Für Schäden aus möglichen Manipulationen muss der Kunde nicht haften. Nach einer Mitteilung des Zentralen Kreditausschusses wird das kartenausgebende Institut den ev. Schaden tragen. siehe auch Kartenhaftung

nach oben

Neues Warnsystem

Banken, Ebay, Microsoft, Sicherheitsorganisationen wie das FBI wollen eine zentrale Meldestelle schaffen, die illegalen Handel mit Kartendaten eindämmen will. Die Meldestelle soll die Informationen an die angeschlossenen Partner verteilen. Die betroffenen Kreditkartenbesitzer sollen direkt benachrichtigt werden. Entwickelt wurde das Meldesystem von Microsoft.Mehr dazu bei Internet Fraud Alert.org