Analyse

Hier kommen die Theorien zum großen Kontenraub bei der OLB

28. August 2019

Von Christian Kirchner

Liebe Leserinnen und Leser, dürfen wir Sie heute ausnahmsweise mal übellaunig begrüßen? Weil: Unzählige Stunden hat die Finanz-Szene.de-Redaktion in den letzten Tagen, Wochen und Monaten in Recherchen wie die zur „großen IT-Panne bei der Commerzbank“, zum „Daten-GAU bei der deutschen Mastercard“ oder jetzt zum „2000-fachen Kontenraub bei der OLB“ gesteckt“ … Und um ganz offen zu sein: Solche Recherchen enden oft im Zustand der körperlichen wie seelischen Dissatisfaktion. Denn, egal mit wie vielen Menschen man zu solchen Themen telefoniert, unterm Strich ist es meist so: Die, die was sagen, wissen nichts. Und die, die was wissen, sagen nichts. Bzw.: Manchmal sagen die, die was wissen, doch mal was. Und dann wird’s besonders schmerzhaft. Denn was von dem stimmt, was die, die es wissen, sagen – das wissen nur die selbst.

Jedenfalls: Eigentlich waren wir gestern angetreten, Ihnen heute Früh zu erzählen, was wirklich Sache ist bei der Oldenburgischen Landesbank. Stattdessen, siehe Überschrift, haben wir nur ein paar halbgare Theorien für Sie.

Doch vorweg kurz der Status quo:

  • Mehr als 2000 Konten bei der OLB sind von Cyber-Gangstern zwar nicht vollständig, aber doch in teils erheblichem Maße geplündert worden
  • Betroffen waren ausschließlich Kunden, die eine Debit Mastercard benutzen
  • Die OLB selbst spricht von einem  „Betrugsvorfall aus der organisierten Cyberkriminalität mit gefälschten Karten und Terminals, der aus Brasilien heraus begangen wurde“.

Und jetzt zu den Theorien:

Was die meisten Theorien gemeinsam haben

Erstens ist die von der Bank in Umlauf gebrachte Erklärung wohl zutreffend, es seien „keine Konto- oder Kartendaten bei der OLB oder einem Drittanbieter gehackt worden“. Zweitens weisen viele Experten darauf hin, dass die von vielen Banken forcierte Umstellung auf Debitkarten unerwünschte Nebenwirkungen mitbringe. Denn, klar: Eine Debitkarten-Transaktion schlägt sich umgehend auf dem Konto des Kunden nieder – bei einer betrügerischen Debitkarten-Transaktion ist es mithin dasselbe. Greifen Cyber-Kriminelle hingegen mittels Kreditkartenbetrug auf ein Kundenkonto zu, hat die kartenausgebende Bank –  weil es nur eine Liquidation pro Monat gibt – genügend Zeit, den Schaden zu beheben, bevor es der Kunde überhaupt bemerkt.

Ersetzt die Debitkarte hingegen die klassische Girocard, dann gilt: Mit der „neuen“ Karte lässt sich im Gegenzug zur alten auch online shoppen. Natürlich ist das ein Feature und kein Bug. Bloß: Ein Feature mehr heißt halt auch – ein Feature mehr, das ein Einfallstor für Betrüger sein kann.

Die „Brut Force“-Theorie

Der geschätzte Kollege Achim Jürschick vom  „IT Finanzmagazin“ hat sich gestern festgelegt: Bei dem Angriff habe es sich um „eine ‚Brut Force‘-Attacke mittels Fake-Terminals“ gehandelt. Das heißt: „Die Transaktionen wurden mit echten und gefälschten POS-Terminals aus Brasilien ausgelöst, über die in enorm hoher Zahl und mit geratenen Kreditkartendaten – höchstwahrscheinlich automatisiert und über einen kurzen Zeitraum – die Bank bombardiert wurde“.

Nun mag es eine rhetorische Feinheit sein, aber definiert eine „geratene“ Kreditkartennummer auch eine „gefälschte Karte“, wie die OLB selbst schreibt? Und sind die Algorithmen der Betrugserkennung wirklich so plump, erst nach mehr als 2000 tatsächlichen Abbuchungen (und nicht schon viel früher) anzuspringen, wenn es aus Brasilien massenhaft zu Abbuchungen und Abbuchungs-Versuchen bei den Debitcard-Kunden einer einzelnen deutschen Regionalbank kommt? Was zur zweiten Theorie führt….

Die  „Brazilian Job“-Theorie

Einer der Security-Experten, mit denen wir gestern gesprochen haben, wies uns auf Folgendes hin: Die Wortwahl der OLB (Brasilien, Einsatz von gefälschten Karten und Terminals) passe verblüffend gut zu einem Betrugssystem, das vom russischen Softwarehaus Kaspersky vor gut einem Jahr identifiziert und auf der Website dokumentiert wurde. Das System trägt den Namen „Brazilian Job“.

Kaspersky zufolge ist es den „Brazilian Job“-Betrügern gelungen, Karten mit eingebauten Chipkarten zu klonen und anschließend an Bezahl-Terminals einzusetzen. Zwar liegt es im Wesen der Karte, Transaktionen mit Geheimnummern bestätigen zu müssen. Dabei installieren die Betrüger aber zusätzliche eine Mini-App, die dafür sorgt, dass intern die „Geheimzahl ist OK“-Meldung ausgelöst wird.

Das heißt: Die geklonten Karten lassen sich für Zahlungen nutzen, selbst wenn man die Geheimzahl gar nicht kennt; das Eintippen einer beliebigen Zahl genügt. Vereinfacht: Solange Betrüger generell gültige Kartennummern ermitteln können (durch Abgriff oder eben durch „Probieren“), sind sie in der Lage, daraus auch ohne Geheimnummer funktionsfähige Debitkarten zu „klonen“. Wir haben die Oldenburgische Landesbank gestern mit der „Brazilian Job“-Theorie konfrontiert. Reaktion: Die Bank will keine Auskünfte geben, die über das hinaus gehen, was bereits verlautbart wurde. Zudem seien die Untersuchungen noch nicht abgeschlossen.

Und sonst? Steht der Fall symbolisch für drei grundsätzliche Entwicklungen:

„CNP“-Betrug dominiert

Zwar stützt sich die Europäische Zentralbank in ihrem jüngsten „Report on card fraud“ auf Daten von 2016. Dennoch diagnostiziert sie auch auf Basis ihrer Befragungen der Industrie, dass es eine markante Verschiebung beim Kartenbetrug hin zu „Card not present“ (CNP)-Fällen gebe – in Abgrenzung zu Betrugsfällen, in denen tatsächlich die physische, echte Karte zum Einsatz komme. Auf „CNP“-Betrug entfiel demnach 73% des Volumens beim Kartenbetrug.

Brasilien ist das Maracana des Kartenbetrugs

Der südamerikanische Staat hat seit Jahren ein massives Problem mit Kartenbetrug und verfügt über eine vitale Szene an entsprechenden Akteuren. Der Grund hierfür ist paradoxerweise, dass in Brasilien physische Transaktionen schon seit Jahren mit dem sogenannten EMV-Chip abgesichert werden – was eine Verlagerung der Betrugsaktivitäten in den Onlinebereich (und damit eben, siehe oben, in den CNP-Bereich) forciert hat. Dieses Knowhow setzen brasilianische Cyber-Gangster auch schon seit Jahren international ein. Beim Online-Kartenbetrug liegt das Land auf Rang 2 weltweit hinter Mexiko.

Die Vorfälle stärken die 2FA-Apologetiker

Sollte die starke Authentifizierung (bzw. die Zwei-Faktor-Authentifizierung -> siehe unsere ausladende Berichterstattung zur PSD2 in den vergangenen Wochen) irgendwann denn dann doch mal verpflichtend werden, dann wird das zwar den Online-Karteneinsatz für den Verbraucher verkomplizieren. Allerdings: Es dürfte auch den Betrug verkomplizieren.

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing