Das Zahlungssystem bei Sally Beauty, einem großen US-Schönheitsprodukte-Hersteller mit 2.600 Verkaufsstellen, scheint das Ziel von Cyberkriminellen geworden zu sein. Anfang März 2014 wurden etwa 282.000 frische Kreditkarteninformationen im Untergrund zum Verkauf angeboten. Drei verschiedene Banken haben stichprobenartig Karten aus jenem Untergrund-Karten-Shop zurückgeholt, die sie kurz zuvor an ihre Kunden ausgegeben hatten, und ließen sie über eine „Zahlungspunkt-Analyse“ laufen. Dabei kam heraus, dass die 15 Karten in einem Zeitraum von 10 Tagen in „Sally Beauty“-Läden verwendet worden waren.

Ein Sprecher der „Sally Beauty“-Geschäftsführung bestätigte, dass ihr internes Angriffserkennungssystem Tripware zwar abnormale Aktivitäten entdeckt hatte und man dieser Meldung nachgegangen war. Die Untersuchung hätte jedoch ergeben, dass es keine Beweise dafür gab, dass Kartendaten aus dem System gestohlen worden waren. Sogar externe IT-Forensiker, hier Verizon Enterprise Solutions, wären zu dem gleichen Ergebnis gekommen. Die Untersuchungen würden aber fortgesetzt. Das Gute ist, dass die IT-Verantwortlichen von Sally Beauty sofort nach der Alarmierung die externe Kommunikation unterbrochen hätten.

Die erwähnten Banken berichteten, dass die zurückgekauften Karteninformationen gleich nach dem Diebstahl bei Sally Beauty missbraucht worden waren. Dies sei insofern ungewöhnlich, da die meisten Untergrund-Unternehmen in ähnlichen Fällen typischerweise so nicht reagieren würden.

Interessanterweise fand der Verkauf der Kartendaten auf einer betrügerischen Plattform statt, welche eng verknüpft ist mit dem Vorfall beim Handelshaus Target. Durch weitere Vorfälle in den letzten Monaten bei Unternehmen wie Neimann, Sears und Michaels sind große Mengen an Kartendaten auf den Schwarzmärkten aufgetaucht. Dies hat Einfluss auf das Preisgefüge dieser Untergrund-Shops. Je mehr Karten angeboten werden, umso tiefer fallen die Preise.

Ein Übeltäter mit dem Spitznamen Rescator und ein gleichnamiger Online-Karten-Shop befanden sich unter den Ersten, die die gestohlenen Target-Karteninformationen offen in den Foren verkauft hatten. IT-Forensiker fanden bei ihren Untersuchungen heraus, dass eine Text-Passage „Resactor“ in den Tiefen der Malware vergraben war, die bei Target gefunden wurde. Es wird vermutet, dass jener Resactor mit einer Einzelperson in der ukrainischen Stadt Odessa in Verbindung gebracht werden kann.

Artikel von krebsonsecurity.com, 05.03.2014: Sally Beauty Hit By Credit Card Breach
Artikel von scmagazine.com, 05.03.2014: Sally Beauty investigates breach, no evidence of stolen payment cards