Ralf Streck berichtet in von eigenen Erfahrungen (1). Mit seiner Visakarte wurde am 12.10.2009 kräftig in London eingekauft, obwohl er sich weit entfernt aufgehalten, seine Kreditkarte nicht aus der Hand gegeben und mit ihr selber bescheiden in einem Baumarkt eingekauft habe.

Die Lösung des Ganzen: Offenbar wurde ein spanischer Abrechnungsserver gehackt und ganz viele Banken haben inzwischen eine ungewohnte Hektik entfaltet, Karten gesperrt und neue ausgegeben (2).

Wenn meine Befürchtungen zutreffen, dann wandelt das Skimming seine Formen, wie ich es unlängst angedacht habe (3). Die Beschaffung der missbrauchsfähigen Daten würde dann nicht mehr in mühseliger Handarbeit erfolgen, sondern sie würden an den Ausgangs- und Knotenpunkten des bargeldlosen Zahlungsverkehrs abgegriffen werden. Das Cashing hingegen bleibt, weil es eine überaus effektive Form der Beuteerlangung ist.

Strecks Bericht zeigt eine Besonderheit, die Sorgen bereitet. Die verfälschte Zahlungskarte, die anstatt seines Originals eingesetzt wurde, kann keine WhiteCard gewesen sein. Sie wurde seinen Worten nach im Einzelhandel eingesetzt und das bedeutet, dass sie als Kreditkarte mit ihren üblichen Sicherheitsmerkmalen akzeptiert wurde. Das geht entweder nur, wenn die digitalen Kartendaten auf eine andere Originalkarte kopiert wurden, oder wenn die Bezahlung an einer automatischen Kasse erfolgte, wo keine intellektuelle Prüfung der Sicherheitsmerkmale erfolgte.
 

 
Die Ausbreitung infizierter Webseiten und die Umleitungen zu ihnen (4) verstellen leicht den Blick darauf, dass die klassischen Verbreitungen von Malware durch Anhänge an E-Mails (5) fortschreiten und mit den Methoden des Social Engineerings verfeinert werden.

meldet gleich zwei neue Erscheinungsformen:

Mit dem Betreff Windows XP SP3 Critical Update versucht sich ein Wurm zu installieren (6), wobei die E-Mail eine als Ordner getarnte EXE-Datei im Anhang enthält. Der Wurm nimmt schließlich Kontakt zu einem externen Server auf, um sich weiter zu verbreiten, kopiert sich mehrfach unter verschiedenen Dateinamen auf die Festplatte und trägt sich in die Autostart-Funktion von Windows ein. Außerdem deaktiviert er den Registry-Editor und den Taskmanager.

Auch der Versand von angeblichen Rechnungen hält an (7). In dem Anhang befindet sich ein Trojaner, der mittels des Programms module.exe installiert wird. Anschließend nimmt er Kontakt zu Internet-Servern in der Ukraine und den USA auf und lädt weitere Schadprogramme herunter. Er installiert eine Hintertür ins System, durch der Rechner aus dem Internet ferngesteuert und manipuliert werden kann. Außerdem spioniert er Bankdaten und Kreditkarteninformationen aus.

Die Beispiele zeigen, dass alte und vergessen geglaubte Methoden (8) immer wieder von den Abzockern aufgegriffen, angepasst und verfeinert werden.
 

(1) Ralf Streck, Datenklau bei Kreditkarten, Telepolis 18.11.2009
Ralf Streck, Gab es überhaupt einen Datenklau bei Kreditkarten? Telepolis 25.11.2009

(2) Kreditkarten-Massenrückruf fast abgeschlossen, Heise online 19.11.2009

(3) Zwischenbilanz: Skimming
 

 
(4) siehe Angriffe aus dem Internet, Gegenspionage wider 'ZeuS' und 'Nethell', Malware, laufender Betrieb, Malware, online.

(5) Angriffe mit Crimeware

(6) Mails mit falschem Update für Windows XP, tecchannel 20.11.2009

(7) Trojanisches Pferd kommt als Zahlungsaufforderung, tecchannel 20.11.2009;
gemeiner Versuch: Zahlungsbestätigung

(8) siehe Nummerntricks