5 Wege, wie Cyberkriminelle Kreditkartendaten stehlen

Cyberkriminelle erwirtschaften heutzutage Milliardengewinne und agieren zunehmend professionalisierter. Auf Dark Net Webseiten kaufen und verkaufen sie riesige Mengen an gestohlenen Daten. Auch die notwendigen Tools für einen Hack werden dort angeboten. Man geht davon aus, dass auf solchen Websites derzeit bis zu 24 Milliarden, illegal erlangte Benutzernamen und Kennwörter kursieren. Besonders begehrt sind Kreditkartendaten, sie werden in großen Mengen vertrieben und für Identitätsbetrug eingesetzt.

In Ländern, die Chip- und PIN-Systeme (EMV) eingeführt haben, ist es schwierig, diese Daten in kopierte Karten umzuwandeln. Doch die Cyber-Diebe haben eine Lücke gefunden und setzen auf card-not-present (CNP)-Angriffe. Bei solchen Transaktionen bucht der Kunde beispielsweise. eine Reise oder Waren im Internet. Hierfür hinterlegt er seine Kreditkarteninformationen. Da die Karte dem Verkäufer bei der Bestellung nicht physisch vorliegt, ist ihm die Überprüfung der Autorisierung nicht möglich. Die Abfrage des dreistelligen Card Validation Codes ist der einzige Weg für ihn, um Betrugsversuche einzudämmen.

Wie groß der Markt dafür tatsächlich ist, lässt sich kaum abschätzen. Doch die Administratoren des dafür weltgrößten Umschlagplatzes sind erst kürzlich in den „Ruhestand“ gegangen - nach einer Ausbeute von schätzungsweise 358 Millionen US-Dollar.

Vor diesem Hintergrund stellen wir Ihnen hier 5 der häufigsten Wege vor, wie Hacker in den Besitz Ihrer Kreditkartendaten gelangen können - und wie Sie das verhindern können:

1. Phishing

Phishing ist immer noch eine der beliebtesten Methoden für Cyberkriminelle, um Daten zu stehlen. In seiner einfachsten Form  handelt es sich um einen Betrug, bei dem sich der Hacker als seriöser Absender ausgibt (z. B. eine Bank, ein E-Commerce-Anbieter oder ein Technologieunternehmen). Damit versuchen er, seine Opfer dazu zu bringen ihm persönliche Daten preiszugeben oder sich Malware herunterzuladen.

In einer manipulierten E-Mail fordern die Betrüger den Benutzer auf, einen Link anzuklicken oder  z.B. einen als Rechnung getarnten Anhang zu öffnen. Klickt er auf den Link, wird er auf eine täuschend echt aussehende Webseite geleitet, auf der das Opfer persönliche Informationen wie Login- oder Bankdaten eingeben soll. Der Betrug mit Phishing soll im ersten Quartal einen neuen Rekord gebrochen haben.

Beispiel für eine Phishing-E-Mail. Weitere Einzelheiten zu dieser E-Mail finden Sie in diesem Artikel: Don’t get phished! How to be the one that got away.

Diese Methode haben Cyberkriminelle in den letzten Jahren raffiniert weiterentwickelt. Statt einer E-Mail erhalten Nutzer eine SMS (Smishing), die mit einem verseuchten Link versehen wurde. Darin geben sich die Betrüger als Lieferunternehmen, Regierungsbehörde oder andere seriöse Organisation aus. Auch Vishing (aus „Voice“ und Phishing“) ist eine weitere Variante. Dabei erhalten Opfer einen Anruf von einer angeblichen vertrauenswürdigen Quelle. Doch auch hier versuchen Cyberkriminelle mit Tricks nur an die Daten der Nutzer zu kommen oder sie dazu zu bringen, direkt Geld an sie zu überweisen. Einer Schätzung zufolge hat sich Smishing im Jahr 2021 im Vergleich zum Vorjahr mehr als verdoppelt. Auch die Fake-Anrufe haben auch einen enormen Sprung nach vorne gemacht.

2. Schadsoftware

Das Dark Web ist ein riesiger Umschlagplatz nicht nur für Daten-, sondern auch Malwarehandel. Im Laufe der Zeit wurden verschiedene Arten von bösartigem Code entwickelt, um Informationen zu stehlen. Schadprogramme können beispielsweise. Tastatureingaben aufzeichen,wenn Nutzer auf einer E-Commerce- oder Bank-Website ihre Kreditkartendaten eintippen. Doch wie schleusen die Kriminellen Programme auf den Geräten ein?

Eine weit verbreitete Methode ist der Versand von Phishing-E-Mails oder -SMS. Auch bösartige Online-Anzeigen haben Hochkonjunktur. In anderen Fällen infizieren Cyberkriminelle beliebte Websites, anstatt verseuchte Webseiten selbst zu erstellen. Dann warten sie darauf, dass die Benutzer sie besuchen, und schleusen Schadprogramme auf ihr Gerät. Laden Anwender unwissentlich diese so genannte Drive-by-Download-Malware herunter, merken sie häufig gar nicht, dass sie infiziert wurden. Schadcode, der Informationen stiehlt, ist allerdings auch häufig in legitim aussehenden, aber manipulierten, mobilen Apps versteckt.

3. Digitales Skimming

Manchmal installieren Hacker auch Malware auf den Zahlungsseiten von E-Commerce-Websites. Diese Schadproramme sind für den Benutzer unsichtbar, zapfen aber die Zahlungsdaten der Kunden ab, sobald sie eingegeben werden. Es gibt nicht viel, was Nutzer tun können, um sich zu schützen. Bekannte Marken und Shopping-Websites mit einer hohen Reputation sindwahrscheinlich sicherer und sollten vorgezogen werden. Die Entdeckungen von digitalem Skimming (auch Online-Kartenskimming genannt) sind zwischen Mai und November 2021 um 150 % gestiegen.

4. Datendiebstahl

Auch direkt bei den Unternehmen, mit denen Nutzer Geschäfte machen, werden Kreditkartendaten gestohlen. Dabei kann es sich um einen Gesundheitsdienstleister, einen E-Commerce-Shop oder ein Reiseunternehmen handeln. Aus Sicht der Hacker ist dies eine kosteneffizientere Methode, da sie mit einem einzigen Angriff Zugang zu einer großen Menge an Daten erhalten.

Bei Phishing-Kampagnen hingegen müssen sie die Daten von Einzelpersonen einzeln stehlen - obwohl diese Angriffe in der Regel automatisiert sind. Die Angriffe nehmen weiterhin zu: 2021 war ein Rekordjahr bei Datendiebstählen in den USA.

5. Öffentliches WLAN

Kostenlose öffentliche W-LAN Hotspots werden von Urlaubern gern genutzt - ob im Café, am Flughafen oder auf dem Campingplatz. Auch wenn der Nutzer für den Zugang bezahlen muss, heißt das nicht, dass Hacker aus dem Spiel sind. Sie manipulieren WLAN-Zugänge, um die eingegebenen Daten abzuzapfen.

Wie Sie Ihre Kartendaten sicher aufbewahren

Es gibt  einige Möglichkeiten, zu verhindern, dass Kartendaten in die falschen Hände geraten. Hier unsere Tipps:

• Beantworten Sie niemals unaufgeforderte E-Mails, klicken Sie nicht auf darin enthaltene Links und öffnen Sie keine Anhänge. Sie könnten mit Malware infiziert sein. Oder sie führen Sie auf täuschend echt aussehende Phishing-Seiten, auf denen Sie aufgefordert werden, Ihre Daten einzugeben. Vor allem Banken schicken keine E-Mails, in denen Sie Login-Daten verifizieren sollen.
• Geben Sie am Telefon keine Details preis, auch wenn die Person am anderen Ende der Leitung überzeugend klingt. Fragen Sie, von wo aus angerufen wird, und rufen Sie diese Organisation zurück, um sich zu vergewissern - verwenden Sie jedoch keine der Ihnen mitgeteilten Kontaktnummern.
• Nutzen Sie das Internet nicht über ein öffentliches WLAN. Wenn ja, dann nur über ein virtuelles privates Netzwerk (VPN). Geben Sie keinesfalls ungeschützt Login- oder Kartendaten ein (z. B. Online-Shopping).
• Vermeiden Sie es Kreditkarteninformationen beim Online-Shopping auf Websites oder im Browser dauerhaft zu speichern, auch wenn Sie dadurch bei künftigen Besuchen Zeit sparen können. So verringern Sie die Risiko, dass Ihre Kartendaten entwendet werden, wenn das Unternehmen angegriffen oder Ihr Konto gekapert wird.
• Installieren Sie einen Malware-Schutz, einschließlich Anti-Phishing-Funktion, von einem seriösen Sicherheitsanbieter wie ESET auf allen Laptops und Geräten (z. B. Smartphone, Rechner, Tablets)
• Verwenden Sie eine Zwei-Faktor-Authentifizierung für alle persönlichen Konten. Die meisten Online-Dienste bieten die Anmeldung in zwei Schritten mittlerweile an. Dies verringert die Wahrscheinlichkeit, dass Hacker Ihre Accounts mit gestohlenen/gefälschten Passwörtern knacken.
• Laden Sie Apps nur von offiziellen Stores herunter (Apple App Store, Google Play).
• Achten Sie beim Online-Shopping darauf, dass Sie nur auf Webseiten mit HTTPS einkaufen (in der Adressleiste des Browsers sollte neben der URL ein Vorhängeschloss angezeigt werden). So ist das Risiko geringer, dass Daten abgefangen werden können.

Behalten Sie alle Ihre Bank- und Kartenkonten im Auge zu behalten. Wenn Ihnen verdächtige Transaktionen auffallen, informieren Sie sofort Ihre Bank oder Ihren Kartenanbieter. Mit einigen Apps können Sie alle Ausgaben für bestimmte Karten "einfrieren", bis Sie wissen, ob es einen Sicherheitsverstoß gegeben hat. Es gibt einige Wege, dass Betrüger an unsere Daten kommen, aber Sie können auch viel tun, um sie auf Abstand zu halten.