Deutsche Bahn: Cyberkriminelle nutzten Gutscheine als neue Währung

Die Berliner Zeitung berichtete kürzlich von der Problematik der Gutscheine der Deutschen Bahn. Für den illegalen Handel mit den Gutscheinen benutzte man die Daten aus mehreren Datenbank-Hacks. Doch das Problem geht viel tiefer, wie uns ein Sprecher der Deutschen Bahn bereits bestätigt hat. Die Cyberkriminellen brauchten nämlich gar keine Kundendaten mehr, um sich bei der DB reichhaltig zu bedienen. Dies wurde durch Einführung der neuen DB-Tarifstruktur im August des Jahres ermöglicht. Zwischenzeitlich machte es den Anschein, als wenn die DB-Gutscheine im Untergrund zu einer Art Ersatzwährung geworden waren.

deutsche bahn

Vor etwa 14 Tagen kontaktierte uns ein Hacker, der dem Treiben der Cyberkriminellen ein Ende bereiten wollte. Er teilte uns mit, dass man für den illegalen Handel mit den Gutscheinen der Deutschen Bahn weder viel Ahnung, noch eine sonderlich aufwändige Ausrüstung benötigt hat. Die Kosten für die illegalen Gutschein-Verkäufer lagen anfangs bei zirka 20 Euro für eine Random Kreditkarte, die ohne weitere Absicherung überall im digitalen Graubereich erhältlich ist. Dazu kam die Anschaffung der anonymisierten Hardware im Wert von ca. 70 EUR. Folglich war mit einem Einsatz von anfangs 90 EUR jeder Wannabe-Hacker dabei.

 

avatar animation

Wenige Tage nach unserer ersten Presseanfrage Ende Oktober wurde die Software für die Abwicklung des Kaufvorganges überarbeitet. Danach konnten für den Kauf der Einzel- und Gruppentickets nur noch die etwas hochwertigeren, weil aufwändigeren, Kreditkarten verwendet werden. Akzeptiert werden derzeit nur noch Kreditkarten mit dem 3D Secure Verfahren von VISA, beziehungsweise solche, die mit dem SecureCode von Mastercard versehen sind. Ob es einen zeitlichen Zusammenhang zwischen der Presseanfrage und Umstellung des DB-Backends gibt, wissen wir nicht. Tatsache ist aber, es ist kein Hexenwerk, sich die etwas teureren geklauten Kreditkarten inklusive Code zu beschaffen. Diese Umstellung würde, alleine gesehen, ins Leere laufen…

 

Wie wurde die Deutsche Bahn beklaut?

Ganz einfach. Die Deutsche Bahn bietet seinen Kunden seit dem 01.08.2018 eine neue Tarifstruktur an. Teil des überarbeiteten Angebots ist der sogenannte Sparpreis. Wenn ich mein Ticket mit einem Sparpreis kaufe und dann storniere, kostet mich das 10 EUR, der Rest wird mir als Gutschein gutgeschrieben. Vorteil für die Deutsche Bahn: keine Rückzahlung des Guthabens an die Kunden. Das Vermögen bleibt, wo es war, auf dem Konto der Bahn. Nachteil: Irgendwann kamen die ersten Cyberkriminellen auf die Idee, dass man teure Einzel- und Gruppenkarten kaufen und diese dann abzüglich der 10 EUR Stornogebühr in einen Gutschein umwandeln könnte. Die Gutscheine waren dann nicht mehr illegal. Sie wurden auf dem digitalen Schwarzmarkt regelrecht verramscht. Ein Gutschein für 2.000 EUR war für 10% des eigentlichen Werts erhältlich (siehe Screenshot ganz unten). Gutscheine mit weniger Wert sind zwar etwas teurer im Verhältnis, dennoch weiterhin unschlagbar billig, weil illegal erworben.

Möglich wurde die Vorgehensweise durch Lücken im Anti-Fraud-System des Konzerns. Details können wir leider nicht preisgeben, ohne den Trick an sich zu verraten. Bahn-Insider gehen allerdings davon aus, dass durch die neue Betrugsmasche seit August Gutscheine im Millionenbereich über den virtuellen Ladentisch gewandert sein sollen, das zumindest berichtete die Berliner Zeitung. Doch wie gesagt, die BZ berichtet von Hackern, die aufgrund von Datenbank-Leaks an ihre Gutscheine gelangt sind. Das war aber bis zu einer neuen Umstellung vor wenigen Tagen gar nicht nötig. Bis vor kurzem konnte man die DB hinter das Licht führen, ohne dafür gehackte Kundendaten einzusetzen.

Hallo Herr Sobiraj,

uns ist der Fall bekannt, ich bitte Sie um Verständnis, dass wir uns zu laufenden internen Recherchen und Ermittlungen nicht äußern.”

 

Wo haben die Hacker die Gutscheine verkauft?

Die Gutscheine wurden häufig in bar verkauft. Die Anbieter stellten sich in einem belebten Bahnhof neben einen Automaten und sprachen dann einfach jeden Kaufwilligen an, ob er statt des hochpreisigen Tickets nicht lieber einen Gutschein von ihm erwerben wolle. Wenn man sich die Erfahrungsberichte in den einschlägigen Foren anschaut, so hat das Ganze lange Zeit “reibungslos” funktioniert. Wir wollten vom Pressesprecher Digitalisierung der Deutschen Bahn AG wissen, warum es dort kein Bug-Bounty-Programm gibt? Würde man Whitehats für die Aufdeckung von Schwachstellen bezahlen, wäre es ungleich schwieriger, Schindluder mit dem Buchungs-System etc. zu treiben. Bug-Bounty-Programme sind bei einigen US-Firmen gängige Praxis, bei deutschen Unternehmen ist diese Vorgehensweise bis auf wenige Ausnahmen, noch nicht angekommen.

Wir wollten auch wissen, was es die Deutsche Bahn denn nun kostet, bei der Online-Bestellung ausschließlich die Kreditkarten mit dem 3D Secure-Verfahren bzw. dem SecureCode zu verwenden? Naturgemäß wollte bzw. konnte der Bahn-Sprecher dazu keine Stellungnahme abgeben, siehe Zitat oben. Dies sei eine Information, die uns nur die Kreditkarten-Anbieter selbst geben könnten, hieß es.

 

2000 EUR Gutschein Deutsche Bahn gesperrt

Aus die Maus. Gutschein gesperrt. Screenshot aus einem Clearnet-Forum.

Schluss mit dem illegalen Gutschein-Handel?

Vorerst konnte die Deutsche Bahn etwas gegen den Handel tun. Für die Kriminellen lohnt es sich wohl nur noch in den Großstädten abseits der Provinz, die illegalen Gutscheine einzusetzen. Andere Käufer beklagen, dass die DB ihre Gutscheine im Original-Wert von 500 EUR und mehr ohne Angabe von Gründen gesperrt hat. Die Masche der Kriminellen war auch zu schön, um wahr zu sein. Nur gut, dass einige Leute im Graubereich ihre Klappe nicht halten können. Immer wieder werden in Clearnet-Foren die neuesten Methoden öffentlich erläutert. Scheinbar haben es manche Personen nötig, mit ihrem Wissen anzugeben. Wenn dann kurze Zeit später auch der letzte Depp die Lücke im Sicherheitssystem ausgenutzt hat, muss der Konzern irgendwann mal reagieren. Offenbar ist genau das nun geschehen.

500 EUR Gutschein gesperrt

Mit der digitalen Ersatzwährung im Untergrund ist nun wohl erstmal Schluss. Aber die Frage lautet: für wie lange? Und warum hat es so lange gedauert, bis man den Skript-Kids ihr Treiben beendet hat!?

Oder anders gefragt: Wieso muss es eigentlich häufig erst so richtig knallen oder eine größere Zeitung darüber berichten, bis viele Firmen bereit sind, etwas Geld für die Sicherheit ihrer Kunden zu investieren?

 

deutsche bahn gutscheine

Dazu passend: Alt aber noch immer aktuell: Interview mit einem Cyberkriminellen – der zweite Teil des Gesprächs.

"Deutsche Bahn: Cyberkriminelle nutzten Gutscheine als neue Währung", 5 out of 5 based on 8 ratings.

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.

Vielleicht gefällt dir auch

Kommentare

    1. ThoCo schreibt:

      Hallo,
      ich hatte schon auf Telegram ne kleine Rückmeldung gegeben, wurde zum Kommentieren aber hier her verwiesen. Da nutz ich das gleich mal um das Forum zu entdecken.

      Diese Bermerkung kann ich nicht nachvollziehen, da meiner Kenntnis Sparangebote vom Storno ausgeschlossen sind.

      Die Frage ist doch simpel zu beantworten. Bei den Preiskämpfen ist eine Kostenabwägung eben auf das Nötigste bezogen. Und digitale Sicherheit ist nun mak für Viele (mich eingeschlossen) sehr abstrakt.
      Wie in Telegram ja auch zu lesen war, da wird Flixbus “empfohlen”. Ich bin gerade davon weg und für das mindestens 3fache meiner Kosten (trotz Sparangeboten) zur DB zurück, da für jeden der etwas rechnen kann, klar sein müsste, das soetwas wie Flixbus nicht funktionieren kann. (Es sei denn man akzeptiert unwürdige Arbeitsbedingungen und militant-kapitalistische Unternehmensstrategien.)

      LG ThoCo

    2. Ghandy schreibt:

      Der Super Sparpreis ist vom Umtausch ausgeschlossen, stimmt. Tickets mit dem Sparpreis der Deutschen Bahn können aber storniert werden. Hier der Link zur neuen Tarifstruktur der DB.

      Über die Arbeitsbedingungen der Subunternehmer bei Flixbus weiß ich nichts. Man kann sich sein Teil denken in Anbetracht der Preise. Es wäre auch auf Dauer die Frage, wie sich das auf die Sicherheit der Fahrgäste auswirkt!?

    3. ThoCo schreibt:


      Auf meinem Ticket steht: “Storno ausgeschlossen”
    4. Ghandy schreibt:

      Was für ein Ticket ist das?

      Ich zitiere mal:

      Stornierungsgebühr beim Sparpreis künftig nur noch 10 Euro

      Deutlich positiver sind allerdings die Neuigkeiten im Rahmen der Reform der Bahntarife zum normalen Sparpreis: Hier senkt die Deutsche Bahn nämlich das Stornierungsentgelt von 19 Euro auf nur noch 10 Euro . Somit sparst du also knapp 50 Prozent an Kosten, wenn du dein Sparpreis-Ticket vor dem ersten Geltungstag zurückgeben oder umbuchen musst.

      Voraussetzung hierfür ist jedoch, dass du im Rahmen der Stornierung einen Reisegutschein akzeptierst . Diesen kannst du dann bei der nächsten Ticketbuchung einlösen. Eine solche flexible Lösung hat die Deutsche Bahn in der Vergangenheit bereits in einigen Reisezentren getestet. Die neuen Stornierungsregeln sind also besonders dann praktisch, wenn du regelmäßig mit der Bahn unterwegs bist.

      Beim Super Sparpreis für 19,90 Euro gibt es hingegen gar keine Möglichkeit, das Ticket zu stornieren oder umzubuchen . Wenn sich deine Reisepläne ändern, musst du also eine neue Fahrkarte kaufen. Der Super Sparpreis wird dir dabei nicht erstattet. Andere Bahnanbieter sind hingegen deutlich kulanter und bieten auch bei ihren günstigsten Tickets eine entsprechende Stornierungsmöglichkeit.

    5. ThoCo schreibt:

      Hm? Das oben erwähnte Ticket ist tatsächlich ein SuperSparTicket mit BC. Aber ich habe für Samstag ein SparTicket ohne Super, da steht das selbe…

    Kommentieren unter tarnkappe-forum.info