Deutsche Bahn, Gutscheine, Anzeige
Deutsche Bahn, Gutscheine, Anzeige

Deutsche Bahn: Cyberkriminelle nutzten Gutscheine als neue Währung

Die Deutsche Bahn hatte ein enormes Problem mit ihren Gutscheinen. Für den Handel benötigten die Hacker nicht einmal geklaute DB-Kundendaten.

Die Berliner Zeitung berichtete kürzlich von der Problematik der Gutscheine der Deutschen Bahn. Für den illegalen Handel mit den Gutscheinen benutzte man die Daten aus mehreren Datenbank-Hacks. Doch das Problem geht viel tiefer, wie uns ein Sprecher der Deutschen Bahn bereits bestätigt hat. Die Cyberkriminellen brauchten nämlich gar keine Kundendaten mehr, um sich bei der DB reichhaltig zu bedienen. Dies wurde durch Einführung der neuen DB-Tarifstruktur im August des Jahres ermöglicht. Zwischenzeitlich machte es den Anschein, als wenn die DB-Gutscheine im Untergrund zu einer Art Ersatzwährung geworden waren.

deutsche bahn

Vor etwa 14 Tagen kontaktierte uns ein Hacker, der dem Treiben der Cyberkriminellen ein Ende bereiten wollte. Er teilte uns mit, dass man für den illegalen Handel mit den Gutscheinen der Deutschen Bahn weder viel Ahnung, noch eine sonderlich aufwändige Ausrüstung benötigt hat. Die Kosten für die illegalen Gutschein-Verkäufer lagen anfangs bei zirka 20 Euro für eine Random Kreditkarte, die ohne weitere Absicherung überall im digitalen Graubereich erhältlich ist. Dazu kam die Anschaffung der anonymisierten Hardware im Wert von ca. 70 EUR. Folglich war mit einem Einsatz von anfangs 90 EUR jeder Wannabe-Hacker dabei.

avatar animation

Wenige Tage nach unserer ersten Presseanfrage Ende Oktober wurde die Software für die Abwicklung des Kaufvorganges überarbeitet. Danach konnten für den Kauf der Einzel- und Gruppentickets nur noch die etwas hochwertigeren, weil aufwändigeren, Kreditkarten verwendet werden. Akzeptiert werden derzeit nur noch Kreditkarten mit dem 3D Secure Verfahren von VISA, beziehungsweise solche, die mit dem SecureCode von Mastercard versehen sind. Ob es einen zeitlichen Zusammenhang zwischen der Presseanfrage und Umstellung des DB-Backends gibt, wissen wir nicht. Tatsache ist aber, es ist kein Hexenwerk, sich die etwas teureren geklauten Kreditkarten inklusive Code zu beschaffen. Diese Umstellung würde, alleine gesehen, ins Leere laufen…

Wie wurde die Deutsche Bahn beklaut?

Ganz einfach. Die Deutsche Bahn bietet seinen Kunden seit dem 01.08.2018 eine neue Tarifstruktur an. Teil des überarbeiteten Angebots ist der sogenannte Sparpreis. Wenn ich mein Ticket mit einem Sparpreis kaufe und dann storniere, kostet mich das 10 EUR, der Rest wird mir als Gutschein gutgeschrieben. Vorteil für die Deutsche Bahn: keine Rückzahlung des Guthabens an die Kunden. Das Vermögen bleibt, wo es war, auf dem Konto der Bahn. Nachteil: Irgendwann kamen die ersten Cyberkriminellen auf die Idee, dass man teure Einzel- und Gruppenkarten kaufen und diese dann abzüglich der 10 EUR Stornogebühr in einen Gutschein umwandeln könnte. Die Gutscheine waren dann nicht mehr illegal. Sie wurden auf dem digitalen Schwarzmarkt regelrecht verramscht. Ein Gutschein für 2.000 EUR war für 10% des eigentlichen Werts erhältlich (siehe Screenshot ganz unten). Gutscheine mit weniger Wert sind zwar etwas teurer im Verhältnis, dennoch weiterhin unschlagbar billig, weil illegal erworben.

Möglich wurde die Vorgehensweise durch Lücken im Anti-Fraud-System des Konzerns. Details können wir leider nicht preisgeben, ohne den Trick an sich zu verraten. Bahn-Insider gehen allerdings davon aus, dass durch die neue Betrugsmasche seit August Gutscheine im Millionenbereich über den virtuellen Ladentisch gewandert sein sollen, das zumindest berichtete die Berliner Zeitung. Doch wie gesagt, die BZ berichtet von Hackern, die aufgrund von Datenbank-Leaks an ihre Gutscheine gelangt sind. Das war aber bis zu einer neuen Umstellung vor wenigen Tagen gar nicht nötig. Bis vor kurzem konnte man die DB hinter das Licht führen, ohne dafür gehackte Kundendaten einzusetzen.

Hallo Herr Sobiraj,

uns ist der Fall bekannt, ich bitte Sie um Verständnis, dass wir uns zu laufenden internen Recherchen und Ermittlungen nicht äußern.“

Wo haben die Hacker die Gutscheine verkauft?

Die Gutscheine verkauft man häufig in bar. Die Anbieter stellten sich in einem belebten Bahnhof neben einen Automaten und sprachen dann einfach jeden Kaufwilligen an, ob er statt des hochpreisigen Tickets nicht lieber einen Gutschein von ihm erwerben wolle. Wenn man sich die Erfahrungsberichte in den einschlägigen Foren anschaut, so hat das Ganze lange Zeit „reibungslos“ funktioniert. Wir wollten vom Pressesprecher Digitalisierung der Deutschen Bahn AG wissen, warum es dort kein Bug-Bounty-Programm gibt? Würde man Whitehats für die Aufdeckung von Schwachstellen bezahlen, wäre es ungleich schwieriger, Schindluder mit dem Buchungs-System etc. zu treiben. Bug-Bounty-Programme sind bei einigen US-Firmen gängige Praxis, bei deutschen Unternehmen ist diese Vorgehensweise bis auf wenige Ausnahmen, noch nicht angekommen.

Wir wollten auch wissen, was es die Deutsche Bahn denn nun kostet, bei der Online-Bestellung ausschließlich die Kreditkarten mit dem 3D Secure-Verfahren bzw. dem SecureCode zu verwenden? Naturgemäß wollte bzw. konnte der Bahn-Sprecher dazu keine Stellungnahme abgeben, siehe Zitat oben. Dies sei eine Information, die uns nur die Kreditkarten-Anbieter selbst geben könnten, hieß es.

2000 EUR Gutschein Deutsche Bahn gesperrt
Aus die Maus. Gutschein gesperrt. Screenshot aus einem Clearnet-Forum.

Deutsche Bahn: Schluss mit dem illegalen Gutschein-Handel?

Vorerst konnte die Deutsche Bahn etwas gegen den Handel tun. Für die Kriminellen lohnt es sich wohl nur noch in den Großstädten abseits der Provinz, die illegalen Gutscheine einzusetzen. Andere Käufer beklagen, dass die DB ihre Gutscheine im Original-Wert von 500 EUR und mehr ohne Angabe von Gründen gesperrt hat. Die Masche der Kriminellen war auch zu schön, um wahr zu sein. Nur gut, dass einige Leute im Graubereich ihre Klappe nicht halten können. Immer wieder erläutert man in Clearnet-Foren die neuesten Methoden öffentlich. Scheinbar haben es manche Personen nötig, mit ihrem Wissen anzugeben. Wenn dann kurze Zeit später auch der letzte Depp die Lücke im Sicherheitssystem ausgenutzt hat, muss der Konzern irgendwann mal reagieren. Offenbar ist genau das nun geschehen.

500 EUR Gutschein gesperrt

Mit der digitalen Ersatzwährung im Untergrund ist nun wohl erstmal Schluss. Aber die Frage lautet: für wie lange? Und warum hat es so lange gedauert, bis man den Skript-Kids ihr Treiben beendet hat!?

Oder anders gefragt: Wieso muss es eigentlich häufig erst so richtig knallen oder eine größere Zeitung darüber berichten, bis viele Firmen bereit sind, etwas Geld für die Sicherheit ihrer Kunden zu investieren?

 

deutsche bahn gutscheine

Dazu passend: Alt aber noch immer aktuell: Interview mit einem Cyberkriminellen – der zweite Teil des Gesprächs.

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.