banner

Nachricht

Jan 22, 2024

Mit ausgefeilteren Karten nehmen Cyberdiebe neue Opfer ins Visier

Von Ash-har Quraishi, Amy Corral, Ryan Beard

25. April 2023 / 7:31 Uhr / CBS News

Michael Perez hatte nie vor, Cyberkrimineller zu werden.

In den 1980er Jahren, als Personalcomputer gerade erst in Haushalten im ganzen Land auftauchten, war Perez ein kleiner Junge, der das Basteln mit Technologie viel unterhaltsamer fand als Spielzeug. Als er 12 Jahre alt war, baute er seine eigenen Computer.

„Mein Onkel brachte die Teile mit, kaufte sie und [ich] begann mit dem Bau“, sagte der gebürtige Miamier. „Ich habe Computer schon immer geliebt. Das Programmieren hat mich fasziniert, aber ich hatte nie die Zeit, mich tatsächlich damit zu befassen oder es zu lernen.“

Aber Perez wuchs in einem armen, überwiegend hispanischen Viertel auf und sagte, er habe außer gelegentlichen Reparaturarbeiten an Elektronikgeräten oder Mobiltelefonen kaum finanzielle Möglichkeiten gefunden.

„Ich habe Dinge mikrogelötet und die Komponenten auf den Platinen befestigt. Und ich kam an einen Punkt, an dem ich anfing, diese Dinge zu tun, aber zu diesem Zeitpunkt war ich nicht profitabel“, sagte Perez.

Damals sei er von einem Freund aus der Nachbarschaft auf die Idee gekommen, Card-Skimmer zu bauen und diese an Tankstellen im ganzen Land zu installieren, um Geld zu verdienen.

„Ich habe es irgendwie zusammengebaut und in zwei Tagen hatte ich einen funktionierenden Skimmer.“

Die Strafverfolgungsbehörden in Südflorida bezeichnen diese Kriminellen als „Mechaniker“.

Perez sagt, er habe Google Streetview verwendet, um die Zapfsäulen zu finden, die am einfachsten ins Visier genommen werden könnten.

„Ich werde hineinzoomen, um zu sehen, wo, wie das Gesicht aussieht, wie die Tür aussieht, wie das Zapfsäulenmodell aussieht“, sagte er. „Ich öffnete den Zugang zur Zapfsäule der Tankstelle mit einem Universalschlüssel, öffnete sie. Und drinnen nahm ich ein Lesegerät heraus und steckte dann mein modifiziertes Lesegerät ein.“

Perez sagte, jedes seiner Skimming-Geräte könne zwischen 750 und 1.000 Kartennummern zur Speicherung sammeln. Anschließend fuhr er zur Pumpe und extrahierte die Informationen über Bluetooth. In drei Tagen des Abschöpfens konnte er bis zu 30.000 Dollar stehlen.

Nach Angaben des FBI kostet Skimming Finanzinstituten und US-Verbrauchern jedes Jahr mehr als eine Milliarde Dollar.

Das Datenanalyseunternehmen FICO überwacht monatlich mehr als 2 Milliarden Finanztransaktionen und sucht nach ungewöhnlichem Ausgabeverhalten, ungewöhnlichen Dingen wie Skimming. Den gesammelten Daten zufolge ist die Zahl der kompromittierten Karten im vergangenen Jahr im Vergleich zum Vorjahr um 368 % gestiegen.

„Ich denke, dass wir aufgrund der Pandemie einen Anstieg der Skimming-Aktivitäten erleben“, sagte TJ Horan, Vizepräsident für Produktmanagement bei FICO. „Während der Pandemie gab es viel weniger Transaktionen am Point-of-Sale. Viele von uns blieben zu Hause und machten nicht die normalen Dinge, die wir tun. Und so haben wir plötzlich einen starken Anstieg erlebt. Die andere Sache.“ Betrüger sind stets auf der Suche nach Schwachstellen und Möglichkeiten.“

Und das war eine Herausforderung. Trotz neuer Fortschritte in Sicherheit und Technologie ist es den Betrügern laut Experten gut gelungen, den Strafverfolgungsbehörden und Banken immer einen Schritt voraus zu sein.

„Sie entwickeln sich ständig weiter. Die Strafverfolgungsbehörden versuchen ständig, Wege zu finden, um Schritt zu halten“, sagte Charles Leopard, stellvertretender Spezialagent in der Außenstelle des US-Geheimdienstes in Miami, wo sich das größte Cyber-Forensiklabor des Landes im Land befindet.

In dem riesigen Labor arbeiten Techniker an Untersuchungen, die Auswirkungen auf die wirtschaftliche Infrastruktur der Vereinigten Staaten haben – von Falschgeld über E-Mail-Phishing-Betrug bis hin zu Hypotheken- oder Kreditbetrug jeglicher Art. Darüber hinaus untersuchen sie auch Zugriffsgerätebetrug wie Kreditkartenbetrug und Skimming.

„Insbesondere dieses Labor ist für die Kommunen sowie die staatlichen und lokalen Behörden hier von großem Nutzen, da in diesem Labor Tonnen von Gewaltverbrechen, Morden und allen anderen Arten elektronischer Geräte erfasst werden, die untersucht werden müssen, beschlagnahmt werden oder Teil einer Bundesbehörde sind.“ „, staatliche oder lokale Kriminalität“, sagte Leopard.

Jährlich führen die 50 Vollzeit- und 75 Teilzeit-Computerforensiker rund 5.000 Untersuchungen durch und verarbeiten dabei mehr als ein Petabyte an Datenvolumen. Aber trotz dieser Ressourcen und Rechenleistung nutzen Betrüger laut Leopard ständig neue Methoden, um die neuesten Sicherheitsmaßnahmen zu vereiteln.

Leopard sagt, dass sich die Geräte in den 25 Jahren, in denen es Skimming gibt, von den tragbaren Kartenlesern, die Ende der 1990er Jahre von Kellnern in Restaurants verwendet wurden, zu Geldautomaten-Overlays und Point-of-Service-Panels weiterentwickelt haben, die direkt auf die Kartenleser geschoben werden. In den letzten Jahren begannen sie, winzige versteckte Kameras direkt an den Kartenlesegeräten zu finden.

„Auf diesem Stück Plastik befindet sich ein kleines Nadelloch, das normalerweise genau so am Geldautomaten sitzt und die Tastatur erfasst. Also benutzten sie einen dieser Overlay-Skimmer und setzten dann eine Kamera ein, um an die Nadel zu kommen.“ ."

„Die Art und Weise, wie die Kriminellen die Informationen erfassen, hat sich einfach weiterentwickelt“, sagte er.

Sie sind sogar auf sogenannte „Deep Insertion Skimmer“ umgestiegen, Geräte, die so dünn sind, dass sie unentdeckt direkt in das Lesegerät eindringen können – was es selbst für einen professionellen Techniker zu einer Herausforderung macht, es zu entfernen, und für die Strafverfolgungsbehörden schwieriger, mitzuhalten.

„Die Strafverfolgungsbehörden und ihre Partner werden einige der Schwachstellen beseitigen, die wir in Geldautomaten oder Verkaufsterminals und bei Händlern sehen“, sagte Leopard. „Und dann, ein paar Monate lang, wäre alles ruhig. Und dann werden die Cyberkriminellen einen Weg finden, das Problem zu umgehen. Und dann wird es einen neuen Anstieg geben, bis wir es stoppen. Es ist also ständig ein Katz-und-Maus-Spiel.“ Wege finden, dies zu verhindern.

Seit Mitte 2022 haben Abschöpfdiebe eine besonders gefährdete Gruppe im Visier: die Lebensmittelunsichere.

In den letzten Monaten wurde Tausenden Amerikanern, die auf die Federal Supplemental Nutrition Assistance (SNAP) angewiesen waren, das Geld von ihren Konten gestohlen.

„Jeden Monat bekommt man von der Regierung einen festen Geldbetrag, mit dem man seine Lebensmittel bezahlen kann“, sagte Sung Hee Lee, eine Studentin aus Boston, die sagt, sie arbeite 30 Stunden pro Woche, gehe Vollzeit zur Schule und habe Mühe, über die Runden zu kommen .

Jeden Monat geht sie zum Lebensmittelgeschäft, um sich mit Lebensmitteln einzudecken, doch bei einer kürzlichen Reise stellte sie fest, dass ihr Kontostand nur einen Tag nach dem Aufladen ihrer EBT-Karte (Electronic Benefit) fast vollständig aufgebraucht war. Es blieben nur noch 40 Cent übrig.

„Das habe ich vom Kundendienst am Telefon erfahren, als ich im Supermarkt war und versuchte, all das zu regeln. Mein ganzes Geld wurde ein paar Tage zuvor aufgebraucht, gleich nachdem mein Geld gerade eingegangen war“, sagte Lee.

Lee fand heraus, dass jemand ihre Kartennummer verwendet hatte, um fast tausend Meilen entfernt in einem Sam's Club-Laden in Illinois Einkäufe zu tätigen.

Lee hat noch nie in einem Sam's Club eingekauft.

„Ich kann mir eine Mitgliedschaft im Sam’s Club nicht leisten“, sagte sie.

„Die Karte war immer in meinem Besitz und ich habe meine Daten nie preisgegeben“, sagte sie. „Das hätte also nur passieren können, wenn jemand sie direkt gestohlen hat, entweder während ich sie in einem beliebigen Supermarkt benutzt habe, und meine Informationen möglicherweise verkauft und abgeschöpft wurden.“

Das US-Landwirtschaftsministerium, das das bundesstaatliche SNAP-Programm überwacht, teilte CBS News per E-Mail mit, dass es vor diesem Jahr keine bundesstaatliche Verpflichtung für Bundesstaaten gab, Berichte über Leistungsdiebstahl durch Kartenskimming, Kartenklonen oder andere ähnliche betrügerische Mittel zu verfolgen.

Wir haben alle 50 staatlichen Behörden kontaktiert, die SNAP-Programme verwalten, und nur wenige konnten uns sagen, wie viel Geld gestohlen wurde – aber es ist klar, dass es sich um Millionen handelt.

In Massachusetts wurden zwischen Juni 2022 und März 2023 2,9 Millionen US-Dollar gestohlen, wovon mehr als 6.700 Haushalte betroffen waren. In New York wurden zwischen Januar 2022 und März 2023 7 Millionen US-Dollar gestohlen, wobei mehr als 10.000 Beschwerden wegen Skimming eingingen. Und in Kalifornien wurden zwischen Juli 2021 und November 2022 7 Millionen US-Dollar gestohlen.

EBT-Karten unterscheiden sich von Ihrer durchschnittlichen Debit- oder Kreditkarte. Ihnen fehlt die erhöhte Sicherheit eines integrierten EMV-Chips, den die meisten Banken 2015 eingeführt haben. Stattdessen verlassen sie sich ausschließlich auf die Technologie der 1970er-Jahre: einen Magnetstreifen.

„Es macht keinen Sinn, dass das SNAP-Programm, das jährlich 157 Milliarden US-Dollar ausgibt, einen verherrlichten Hotelzimmerschlüssel nutzt, um Menschen mit unsicherer Ernährung Vorteile zu verschaffen“, sagte Haywood Talcove, CEO von LexisNexis Risk Solutions Government Business.

Das Unternehmen von Talcove sammelt Daten für Regierungsbehörden, um Betrug, Verschwendung und Missbrauch in öffentlichen Programmen zu verhindern.

Eine aktuelle LexisNexis-Studie ergab, dass jeder Dollar, der durch Betrug verloren geht, SNAP-Agenturen letztendlich 3,72 Dollar an zusätzlichen Kosten im Zusammenhang mit Erkennung, Untersuchung, Berichterstattung und Verwaltungsaufgaben kostet. Diese Kosten werden letztendlich an die Steuerzahler weitergegeben, die das SNAP-Programm finanzieren.

Die Studie ergab außerdem, dass Angriffe auf SNAP hauptsächlich auf Identitätsbetrug, Berechtigungsbetrug, Kontoübernahme und Menschenhandel zurückzuführen waren. Letztlich ist es ein Verlust, der auf jeden Steuerzahler abgewälzt wird.

„Was Sie haben, ist ein veraltetes System. Sie haben veraltete Technologien, Sie haben das USDA mit sehr [wenigen] Durchsetzungsinstrumenten und kriminelle Gruppen haben viel aus den Ereignissen während der COVID-Pandemie gelernt und wie man staatliche Leistungen stiehlt“, sagte Talcove.

Laut Talcove haben kriminelle Unternehmen gestohlene Karteninformationen im Dark Web an Meistbietende verkauft – in einigen Fällen, wie er sagt, an gefährliche internationale Verbrechersyndikate.

„Die fehlenden Kontrollen des USDA machen es diesen organisierten Gruppen, insbesondere inländischen und transnationalen Ländern wie Rumänien, Nigeria, Russland und China, so einfach, Phishing- und Skimming-Geräte einzusetzen und die wertvollen Vorteile der Menschen zu stehlen, die sie für ihre Ernährung nutzen.“ Familien“, sagte er.

„Was das USDA heute tun muss, ist, diese verherrlichten Hotelzimmerschlüssel loszuwerden und diese Chipkarten einzuführen. Sie müssen mit der Front-End-Identitätsüberprüfung beginnen.“

Daten zeigen, dass die Chip-Technologie Zahlungskarten sicherer macht als die Magnetstreifen, die bei SNAP-Karten verwendet werden.

Laut VISA verzeichneten Geschäfte, die bereits 2015 damit begannen, Chipkarten zu akzeptieren, in den nächsten drei Jahren einen Rückgang der Betrugsfälle um 76 %.

„Weil der magnetische Durchzug nicht kodiert ist, ist er nicht verschlüsselt, er ist weit offen. Sie können also jedes Lesegerät verwenden, um diese Informationen abzurufen“, sagte Leonard.

Im vergangenen Oktober schrieben US-Senatorin Kirsten Gillibrand und ein Dutzend anderer New Yorker Gesetzgeber an Landwirtschaftsminister Tom Vilsack, als die Beschwerden von Wählern in ihrem Heimatstaat New York zunahmen. Sie drängten ihn, den Staaten zu gestatten, Skimming-Opfer zu entschädigen und bessere Sicherheitstechnologien für EBT-Karten zu prüfen.

„Sicherzustellen, dass wir dieses Problem beheben, hatte für mich höchste Priorität“, sagte Gillibrand. „Viele Familien ohne diese zusätzliche Ernährungshilfe haben nicht genug, um ihre Familien, ihre Kinder zu ernähren und am Ende des Monats genug zu essen zu haben.“

Die Verabschiedung des Sammelgesetzes durch den Kongress beinhaltete auch einen Rahmen des SNAP-Diebstahlschutzgesetzes von Senator Gillibrand, der Bundesmittel an Bundesstaaten weiterleitet, um abgeschöpfte SNAP-Empfänger zu entschädigen. Außerdem werden die Staaten zum ersten Mal aufgefordert, SNAP-Betrugsdaten zu verfolgen und die Verbesserung der Sicherheit von EBT-Karten zu untersuchen.

Die Gesetzgebung forderte das USDA jedoch nicht dazu auf, auf sicherere Technologien wie Chips umzusteigen.

Im Laufe von zwei Monaten reichte CBS News beim USDA mehrere Interviewanfragen ein, um das SNAP-Betrugs- und Skimming-Problem zu besprechen, doch es wurde kein Vertreter benannt.

Sung Hee Lee sagt, sie habe ebenfalls Schwierigkeiten gehabt, mit dem USDA in Kontakt zu treten.

„Selbst wenn Sie alle verschiedenen Menüoptionen drücken, würde Sie niemand zu einem Vertreter bringen. Und selbst wenn Sie versuchen, eine E-Mail zu schreiben, habe ich nie eine Antwort erhalten“, sagte sie. Sie gab es schließlich auf, jemals eine Rückerstattung ihrer gestohlenen SNAP-Leistungen zu erhalten.

Die Agentur hat angekündigt, dass sie ein Pilotprogramm startet, um sicherere kontaktlose und mobile Zahlungen für SNAP-Empfänger in fünf Bundesstaaten zu testen: Illinois, Missouri, Louisiana, Oklahoma und Massachusetts.

„Ich denke, dass Tap-to-Pay und das Bezahlen über das Telefon eine sehr sichere Möglichkeit sind“, sagte Leonard. „Einige haben bereits Möglichkeiten gefunden, das kontaktlose Bezahlen zu gefährden. Aber es ist nicht in dem Ausmaß, wie wir es bei Skimmern sehen.“

Dieses Pilotprogramm wird frühestens nächstes Jahr starten.

Was Michael Perez betrifft, so holten ihn seine Tage des Skimmings schließlich ein.

„Ich wurde am 27. November 2017 verhaftet und ins Bezirksgefängnis gebracht. Es war eine gemeinsame Operation mit Secret Service und Miami-Dade“, sagte er.

Perez verbrachte mehr als zwei Jahre im Bundesgefängnis. Aber die Schuld an seinem Verbrechen sei ihm, wie er sagt, während eines Hurrikans in Texas bewusst geworden.

„Ich erinnere mich, wie ich ins Hotel ging und alle ihre Häuser verließen und in Hotels eincheckten, weil sie keine Häuser hatten“, sagte er. „Alles wurde zerstört. Und ich war dort und habe ihnen diesen Schaden zugefügt. Und ich erinnere mich an die Person vor mir, deren Karte abgelehnt wurde und sie in diesem Moment keine Möglichkeit hatte, im Hotel zu übernachten. Da traf es zu Ich. Es hat mir genau dort das Herz gebrochen.

Perez hat seinen Spitznamen „Mechaniker“ gegen einen Anti-Skimming-Berater eingetauscht. Er arbeitet jetzt mit der Sicherheitsfirma Unchained Leadership & Consulting zusammen, um Strafverfolgungsbehörden dabei zu helfen, Betrügern immer einen Schritt voraus zu sein.

„Ich habe Software für sie entwickelt, ich habe Geräte hergestellt und ich habe mir Technologien ausgedacht, um Betrug zu verhindern oder aufzudecken“, sagte er. „Das möchte ich auch weiterhin tun. Ich mache das, was ich liebe, und es fühlt sich gut an.“

Erstveröffentlichung am 25. April 2023 / 7:31 Uhr

© 2023 CBS Interactive Inc. Alle Rechte vorbehalten.

AKTIE