Angreifer stehlen und verkaufen Bonuspunkte
Zahlreiche Kunden beklagten sich vor kurzem darüber, dass ihre Treuepunkte bei Hilton Honors durch Cyberdiebe gestohlen wurden. Derartige Betrugsfälle erwischen die Kunden häufig auf dem kalten Fuß, obwohl der Vorfall bei Hilton Honors nur ein kleiner Teil eines seit Jahre anhaltenden Trends ist. Da mehr und mehr Unternehmen Treueprogramme anbieten, nehmen derartige Vorfälle zu.
Viele Unternehmen geben ihren Kunden die Möglichkeit, Treue- und Bonuspunkte oder Meilen zu sammeln, mit denen diese dann Reisen buchen, Services oder Prämien kaufen können. Manchmal können die Kunden die Punkte auch in Geld eintauschen. Leider sind die meisten Onlinekonten zur Speicherung der Punkte nur unzureichend geschützt – sowohl auf Kunden- als auch Unternehmensseite. Hacker nutzen diesen Schwachpunkt zunehmend für sich aus.
Brendan Brothers, ein Weltenbummler aus Kanada, entdeckte Ende Oktober, dass sein Konto bei Hilton Honors um mehr als eine Viertel Million Punkte „erleichtert“ worden war. Diese Punkte hatte er durch die Nutzung einer mit dem Konto verbundenen Kreditkarte gesammelt. Mit den gestohlenen Punkten buchten die Diebe im September ein halbes Dutzend Hotelaufenthalte entlang der Ostküste der Vereinigten Staaten. Als seine Punkte ausgeschöpft waren, nutzten sie die mit dem Konto verknüpfte Unternehmenskreditkarte.
„Sobald sie in dem Konto waren, änderten sie die verknüpften E-Mail-Adressen, damit weder ich noch mein Reisebüro Benachrichtigungen über die neuen Buchungen erhalten“,
so Brothers. Nun plant er, die Beträge auf seiner Kreditkarte anzufechten, ist sich aber nicht sicher, was mit den gestohlenen Punkten passieren wird. Eine Woche nachdem er sich damit an Hilton gewandt hatte, wartete er immer noch auf eine Antwort seitens des Unternehmens.
Hilton gibt den Kunden zwei Möglichkeiten zum Login: Entweder mit einem Nutzernamen und einem Passwort oder über die Mitgliedernummer und einen vierstelligen Pincode. Für den Einbruch bei Hilton Honors nutzen die Diebe vor allem die letzte Methode. Bei vielen vergleichbaren Unternehmen werden auch Kombinationen aus Mitgliedernummern und Pincodes genutzt, die vor allem via Brute-Force-Methoden und Botnets recht einfach zu knacken sind.
Hilton führte vor kurzem ein Captcha in den Login-Prozess ein, um es wenigstens derartigen Methoden schwerer zu machen. Multi-Faktor-Authentifizierung könnte ein Weg sein, diesen Attacken den Riegel vorzuschieben.
Artikel von krebsonsecurity.com, 03.11.2014: Thieves Cash Out Rewards, Points Accounts