OLB Bankraub: Kein Hack, sondern eine Brute-Force auf DMC-Kreditkartennummern per Fake-POS-Terminals

Von über 2.000 Konten bei Kunden der Oldenburgischen Lan­des­bank wur­den rund 1,5 Mio. € ent­wen­det. Die An­grei­fer (ver­mut­lich aus Bra­si­li­en) lie­ßen über ge­fälsch­te oder si­mu­lier­te POS-Ter­mi­nals ei­ne Bru­te-Force-At­ta­cke ge­gen Debit-Mas­ter­card-Kre­dit­kar­ten­num­mern lau­fen. Trotz auch vie­ler fal­scher Trans­ak­ti­ons­da­ten­sät­ze blo­ckier­ten Si­cher­heits­sys­te­me erst nach 2.000 kor­rek­ten Sät­zen – aber im­mer­hin noch am sel­ben Tag.

Kurz die Fakten: Bei der OLB wurden Anfang der vorigen Woche Konten geplündert. Etwas über 2.000 sollen es gewesen sein. Pro Konto maximal 2.500€, denn das ist das Limit, mit dem die DMC (Website) belastet werden kann. Insofern hätte die Schadenssumme auch bei rund 5 Mio. € liegen können. Die Transaktionen wurden mit echten und gefälschten POS-Terminals aus Brasilien ausgelöst, über die in enorm hoher Zahl und mit geratenen Kreditkartendaten – höchstwahrscheinlich automatisiert und über einen kurzen Zeitraum – die Bank bombardiert wurde (Kartentyp und BIN/IIN blieben gleich, Prüfziffer wurde errechnet, die CVC wird am POS nicht gebraucht).

Wichtig zu erwähnen ist, dass die OLB den Kunden den Schaden ersetzt hat – also kein Kunde einen direkten finanziellen Nachteil hat. Klar ist aber leider auch, dass der oder die Betrüger nun aufgrund der Zahlung wissen, welche Konten existieren. Deshalb hat die OLB alle betroffenen Kunden schriftlich informiert und aus Vorsorge alle Debit Mastercards gesperrt. Kunden erhalten neue Debit Mastercards – dafür brauchen sie nichts zu unternehmen.

Mit SCA/2FA wäre das nicht passiert …

Außer den erratenen (und nun zum Teil verifizierten und nun gesperrten) Kreditkartennummern wurden aber keine Kontonummern oder persönlichen Daten der Kunden kompromittiert. Es ist also – weder ein Datenschutzvorfall noch ein Hack gewesen – sondern schlicht eine Brute-Force-Attacke auf Kreditkartennummern in einem bestimmten Nummernbereich. Was auch bedeutet: Banken, die kein aktives Geoblocking betreiben, sind gefährdet, denn es scheint, dass Schutzmechanismen bei Mastercard, Netz und Aquirer erst zu spät bei einem Brute-Force-Angriff auslösen und möglicherweise zehntausende von Anfragen durchschieben.

Es passt ins Bild, dass es bei den mehr als 2.000 betroffenen Konten keinen regionalen Schwerpunkt gab.  Andere Produkte als die Debit Mastercard waren nicht betroffen: herkömmliche Mastercards, Girocard, Visa-Kreditkarte waren nicht betroffen.aj