IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Es gibt einen neuen Trend beim Kreditkartenbetrug: Im Dark Web werden Kurse angeboten, die Teilnehmern die Grundlagen von Kreditkartenbetrug beibringen. Die sechswöchigen, exklusiven Kurse werden nur in russischer Sprache durchgeführt und von fünf „Ausbildern“ betreut.
Russische Original-Anzeige für den E-Learning Kurs (plus englische Übersetzung). Quelle: Bleepingcomputer
Laut dem Report „Inside Online Carding Courses Designed for Cybercriminals“ von Digital Shadows, Anbieter von Lösungen für das Management von digitalen Risiken, umfasst der Lehrplan 20 Unterrichtseinheiten, zu denen auch Webinare gehören. Für eine Kursgebühr von umgerechnet 650 Euro erhalten die Teilnehmer begleitend zum Webinar Schulungs- und Informationsmaterial. Die Anbieter versprechen ein umfassendes Know-how in Sachen Kreditkartenbetrug, mit dem selbst Anfänger zu professionellen Cyberkriminellen aufsteigen sollen.
Nach erfolgreichem Abschluss des Kurses winke den angehenden Hackern die Aussicht auf ein monatliches Einkommen von 10,500 Euro bei einer 40-Stunden-Woche. Angesichts eines durchschnittlichen Monatslohns in Russland von weniger als 600 Euro bringe der kriminelle Karrierewechsel das 17-fache Gehalt. Glaubt man den positiven Bewertungen der Teilnehmer vergangener Kurse scheint sich die Fortbildung zu lohnen.
1,2 Mio. Nutzerdaten werden allein auf zwei Foren zum Verkauf angeboten
Die Kursanbieter haben es auf einen lukrativen Markt abgesehen. In einer Momentaufnahme fand Digital Shadows allein auf den zwei bekanntesten “Kreditkarten”-Foren im Dark Web 1,2 Millionen Nutzerdaten von Kreditkarteinhabern weltweit. Der Kaufpreis beträgt durchschnittlich 5 Euro pro Datensatz. Interessanterweise scheint es auf vielen russischen Foren zudem eine ungeschriebene Verhaltensregel zu geben, die den Verkauf von Daten russischer Kreditkartenbesitzer verbietet.
Preise für Daten variieren und seien auch vom Sicherheitsgrad der Kreditkarte und Karteninhaber abhängig. Günstig seien zum Beispiel Kreditkarten, die vor Kaufabschluss eine zweite Authentifizierung erfordern. Die PIN-Nummer eines Karteninhabers zu ermitteln, könne sich als zeitaufwändig und schwierig erweisen. Allerdings fänden sich auch hier Dienstleister und automatisierte Services, die mit Social Engineering-Techniken an die gewünschten Daten gelangen.
„Das Angebot an qualifizierten Fortbildungen im Dark Web sind eine Reaktion auf die ausgefeilten Methoden der großen Kreditkartengesellschaften, die diese in den letzten Jahren zu Betrugsbekämpfung eingeführt haben“, erklärt Rick Holland, VP Strategy at Digital Shadows.
„Das Ziel der Betrüger ist es, die Zugangsbarrieren für kriminelle Aktivitäten zu senken und das Ecosystem rund um Kreditkartenbetrug auszubauen – leider auf Kosten von Kreditkartenanbietern, dem Einzelhandel und den Verbrauchern. Man kann aber auch etwas Positives in der offensiven Taktik der Cyberkriminellen sehen: Je mehr sie für ihre Aktivitäten Werbung betreiben, desto mehr Informationen geben sie uns in die Hand, um gegen die kriminellen Aktivitäten vorzugehen.”
