Deutsche Bahn: Das AFS bei der Erstellung digitaler Tickets ist wohl zu schwammig eingestellt. Hacker können sich selbst welche ausstellen.
Deutsche Bahn: Das Antibetrugs-System bei der Erstellung digitaler Tickets bei bahn.de ist offenkundig zu schwammig eingestellt. Wer die Details kennt, kann sich dort selbst Tickets ausstellen. Ohne jede Gegenleistung, versteht sich. Ein Hacker hat die seit Monaten bestehende Lücke schon vor ein paar Wochen im Crime Network veröffentlicht. Wir haben uns diesbezüglich ausführlich bei einem Darknet-Händler erkundigt.
Deutsche Bahn: System zur Abwehr von Betrügern zu schwammig eingestellt
Mehrere Stellen haben uns unabhängig voneinander bestätigt, dass das Anti Fraud System (AFS) bei der Deutschen Bahn schwere Lücken aufweist. Schon vor längerer Zeit veröffentlichte dies ein Hacker bei Telegram. Auch im Forum Crime Network (CNW) wird der Trick mithilfe einer Schritt-für-Schritt-Anleitung verraten.
Unser Kontaktmann von der Front ist der Betreiber von OurServices Russia. In seinen Telegram-Gruppen und auf seinem Kanal vertreibt er alles, was preiswert und verboten ist. Er geht davon aus, dass die Veröffentlichung des Bugs eine Racheaktion des Hackers war, dessen persönliche Daten zuvor an die Öffentlichkeit gebracht wurden. Innerhalb der Szene ist der Trick mit bahn.de schon lange bekannt und wird tagtäglich aktiv ausgenutzt.
Die selbst erstellten Tickets funktionieren deshalb, weil das Anti Fraud System viel zu lasch eingestellt wurde, wie man uns erläutert. Vor allem das SEPA-Lastschriftverfahren sei „ein riesiges Problem“ für die Deutsche Bahn. Man brauche nur eine aktive Bankverbindung, weil bei der Abrechnung die Gültigkeit der IBAN bzw. des Kontos geprüft wird. Manche Hacker versuchen ihr Glück bei Online-Generatoren wie fake-it.ws, wo man sich selbst eine IBAN erzeugen kann. Doch reale Kontos seien vorzuziehen, erläutert uns der Hacker.
OurServices Russia schätzt, dass man das AFS bei der DB auf drei Server aufgeteilt hat. Er geht davon aus, die Techniker seien nicht geschickt genug. Oder aber die Schäden seien schlichtweg durch Versicherungen gedeckt. Denn wenn man sich das Ticket erstmal ausgestellt hat, nützt es der Bahn herzlich wenig, wenn sie später feststellt, dass sie vom angegebenen Konto nichts abbuchen können. Ist das Ticket erstmal in der eigenen App oder ausgedruckt, kann man es auch benutzen. Dann fällt man selbst bei der Kontrolle nicht auf.
Interview mit dem Vendor OurServices Russia
Er alleine schätzt seinen täglich generierten Schaden auf bis zu 15.000 Euro. Mit einer einzigen gültigen Bankverbindung kann er im Höchstfall bis zu zehn Tickets erstellen, erst dann sperrt bahn.de die IBAN. Seine Waren verkauft er bei bei Online-Handelsplattformen wie Amazon, eBay oder Markt.de. Dazu gehören aber auch soziale Netzwerke wie Instagram oder Snapchat. Demnächst geht unter ourservicesrussia.cc ein eigener Online-Shop ans Netz.
Er weiß von Weiterverkäufern, die die Bahntickets bei WhatsApp unter ihrem echten Namen verkaufen. Nicht wenige versorgen gleich ihre ganze Familie mit den gefakten Tickets. Beim CNW und in anderen Untergrund-Foren gibt es diverse User, die einen DB Buchungsservice anbieten. Vor der Bezahlung kann man sich alle Reisedaten nach Wunsch auswählen. Die tatsächliche Höhe der Schäden, die jeden Tag bei der Bahn auf diese Weise entstehen, kann man nur erahnen.
Nach eigenen Angaben ist er der größte illegale Anbieter bei Telegram. Die Hälfte der Vendoren seien zu unvorsichtig. Sie nutzen keine anonymen und unverschlüsselte Smartphones. Auch die Wahl des richtigen VPN-Anbieters sei extrem wichtig. Wer seine IP-Adresse von einem Dienst absichern lässt, der in den AGBs die Weitergabe der Daten an die Behörden zulässt, spielt Russisch Roulette. Das kann ewig gutgehen, müsse es aber nicht.
Verkauf der illegalen Waren bei E-Commerce Plattformen und in sozialen Netzwerken
Bei ihm gibt es alles, was man sich nur denken kann. Original verpackte Smartphones eines chinesischen Markenherstellers für 25% des Originalpreises, zollfreie Zigaretten und anonyme SIM-Karten. Geplant ist sogar ein eigener Event-Service, wo man sich keinen Deut um die bestehenden Corona-Regeln schert. Haupteinnahmequelle sind aber noch immer die Tickets der Deutschen Bahn. Nach eigenen Angaben verkauft er zweite Klasse Flexpreis für die Hinfahrt für 25 Euro und Rückfahrt für nur 15€. Der Vorteil: Beim Flexpreis kann man sich den Zug seiner Wahl aussuchen und ist nicht zeitlich an die Abfahrt gebunden. Nach der Erstellung löscht er alle Daten nebst den selbst generierten Tickets, um jede Beweissicherung zu erschweren. „Damit drücken wir dem LKA noch einen rein“, erklärt er mir.
Monatliches Einkommen von 6.000 EUR steuerfrei
Seit etwa einem Jahr ist er jetzt bei Telegram aktiv. Nach dem Auscashen bleiben in etwa 6.000 Euro für ihn übrig, steuerfrei versteht sich. Im Darknet und in diversen Foren ist er schon seit ca. sechs Jahren unterwegs. Früher habe er sich auf das Aufdecken und Ausnutzen von Sicherheitslücken konzentriert. So beispielsweise bei McDonalds und bei anderen Firmen.
PayPal friert immer wieder verdächtige Konten ein
Probleme bereitet ihm nicht etwa die Deutsche Bahn, sondern die plötzlich eingefrorenen Guthaben bei PayPal. Mittlerweile kümmert er sich nicht mehr selbst um die PayPal-Wallets. Dafür nutzt er gehackte Konten ganz regulärer Kunden. Oder solche von Läufern, die anteilig einen bestimmten Prozentsatz der Summe für das übernommene Risiko erhalten. In Russland habe er Verwandte. Außerdem hat ihm die Russian Cyber Connection das Hacken beigebracht, daher rührt der Name seines Dienstes.
Angst vor einer Enttarnung hat er keine. „Die eigene Absicherung ist natürlich in dem Business das A und O. Natürlich nutzten wir nur komplett verschlüsselte Geräte und anonyme SIM-Karten und einem Killswitch VPN. Da man aber die Vorkehrungen mit Runnern für’s Amazon Dropping etc. getroffen hat und nie selber ins Licht tritt, ist man da ziemlich sicher.“ Auch kenne ihn keiner seiner Kontakte mit vollem Namen.
Ob er das noch ewig machen wird, frage ich den Macher von OurServices Russia. Er antwortet darauf, er würde sich das Geld ungerne entgehen lassen, was er damit verdienen kann. Wo sonst kann man schon gefahrlos 6.000 EUR monatlich verdienen, die man nicht mal beim Finanzamt versteuert !? Man schadet damit nicht mal Privatpersonen oder einer Firma, sondern wahrscheinlich tragen die Versicherungen die entstehenden Schäden.
Deutsche Bahn könnte den Betrug zeitnah beenden
Ob die Lücke bei der Deutschen Bahn noch lange gehen wird, hängt von der öffentlichen Aufmerksamkeit ab, die der ursprüngliche Leak im CNW bzw. bei Telegram verursacht. Bisher blieb die Information des Hackers im Untergrund stecken. Sein Ziel, die Methode öffentlich zu machen, hat er bisher noch nicht erreicht. Doch wenn noch mehr Medien darüber berichten, wird sich die Deutsche Bahn kurz- bis mittelfristig gezwungen sehen, ihr AFS rigoroser einzustellen.
Offenbar scheut man sich davor, denn das wäre mit weniger Komfort für die Kunden bei der Buchung verbunden. Die Reisenden wollen es schnell und einfach. Verzögerungen bei der Buchung oder mögliche Abbrüche aufgrund von Prüfungen würden sich womöglich negativ auf die Verkaufszahlen auswirken. Wer will das schon zu Corona-Zeiten, wo das Angebot der Bahn sowieso sehr viel weniger genutzt wird? Dazu kommt die Konkurrenz durch Bus-Unternehmen, die ihre Fahrten quer durch Deutschland zu einem Bruchteil der Bahntickets anbieten.
Tarnkappe.info