Nach Datenklau: Kriminelle räumen Bankkonten von TalkTalk-Kunden leer

Nach dem Hackerangriff auf den britischen Mobilfunk-Netzbetreiber TalkTalk leeren einem Bericht zufolge Kriminelle erfolgreich Bankkonten von Opfern. Das Unternehmen selbst sagt aber, für solche Übergriffe reichten die ihm entwendeten Daten keinesfalls aus.

Ende letzter Woche hatte TalkTalk gemeldet, dass ihm bis zu 4 Millionen Kundendaten gestohlen wurden, die „teilweise unverschlüsselt“ auf einem Webserver gespeichert waren. Zahlreiche Details sind weiter ungeklärt. Fest steht aber, dass auf dem Server Namen und Adressen, Geburtsdaten, E-Mail-Adressen und Telefonnummern, TalkTalk-Kontodaten sowie Bankverbindung oder auch Kreditkartennummer gespeichert waren.

Die BBC berichtet nun von mehreren TalkTalk-Kunden, deren Konten geplündert wurden – auch wenn die bei TalkTalk gestohlenen Daten allein dafür nicht genügen. Offenbar kommt Social Engineering zum Einsatz, um die vorhandenen Daten anzureichern. Beispielsweise rufen die Kriminellen ihre Opfer unter der erbeuteten Telefonnummer an und spiegeln eine falsche Identität vor, um ihnen weitere Daten – etwa Onlinebanking-PINs – zu entlocken. Dass sie etwa die Kontonummer kennen, verleiht ihnen dabei Glaubwürdigkeit.

Zusätzlich gibt es laut Times Fälle, in denen das bei TalkTalk genutzte Passwort auch für andere Zugänge des Anwenders zum Einsatz kam . So gab es den Kriminellen beispielsweise Zugriff auf E-Mails oder den Amazon-Account des Opfers.

Am Wochenende war bekannt geworden, dass die Angreifer zunächst ein Lösegeld von TalkTalk forderten. Sicherheitsforscher Brian Krebs nannte eine Summe von 80.000 Pfund (rund 110.000 Euro). Bei Zahlung in Bitcoin werde man die gestohlenen Daten nicht weitergeben oder veröffentlichen, lautete die Drohung. Dafür scheint es inzwischen zu spät.

Ebenfalls am Sonntag hatte TalkTalk-CEO Dido Harding noch klargestellt, es habe keine rechtliche Verpflichtung bestanden, die gespeicherten Kundendaten zu verschlüsseln. Der britische Data Protection Act von 1998 schreibt nur einen Schutz mit „angemessenen technischen und organisatorischen Maßnahmen“ vor.

„Natürlich“ wolle man „tun, was für den Kunden das Richtige ist“, sagte Harding auch. Betroffene Anwender sollen ein Jahr kostenlose Kontenüberwachung erhalten. Diese Maßnahme kommt aber offenbar für einige Betroffene zu spät – und scheint angesichts der tatsächlichen Bedrohung durch eine Gruppe raffinierter Betrüger auch längst nicht ausreichend.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.