Eureil (Interrail)-Reisen: Gestohlene Daten tauchen im Darknet auf.
Keeper Security hatte über den Hackerangriff auf Eurail, auch bekannt unter dem Namen Interrail, bereits Mitte Januar berichtet. Die Cyberkriminellen erlangten Zugriff auf Passdaten und Kontaktinformationen. Nun hat sich die Situation zusätzlich verschärft. Es wurde bestätigt, dass gestohlene Daten im Dark Web zum Verkauf angeboten werden und dass die Angreifer auch eine Probe der Daten auf der Messaging-Plattform Telegram veröffentlicht haben.
Kommentar von Darren Guccione, CEO und Mitbegründer von Keeper Security: „Der Vorfall bei Eurail geht über eine routinemäßige Benachrichtigung über einen Datenverstoß hinaus. Da die gestohlenen Daten von Reisenden den Berichten zufolge auf Dark-Web-Marktplätzen zum Verkauf angeboten werden, ist das Risiko nicht mehr nur theoretischer Natur, sondern konkret.
Ersten Berichten zufolge wurden sensible Reisedaten, darunter Passdaten und Kontaktinformationen, offengelegt. Sobald diese Art von personenbezogenen Daten zum Verkauf angeboten wird, werden sie zu einem skalierbaren kriminellen Gut. Cyberkriminelle kaufen diese Datensätze, um Phishing-Kampagnen zu automatisieren, Credential-Stuffing-Angriffe durchzuführen und Identitätsbetrug zu begehen.
Reisedaten wie von Eureil erlauben Social Engineering
Reisedaten wie von Eureil sind besonders wertvoll, da sie ein hochgradig kontextbezogenes Social Engineering ermöglichen. Angreifer können überzeugende Betrugsmaschen entwickeln, die sich auf echte Reisen beziehen – beispielsweise gefälschte Reiseplanaktualisierungen, Rückerstattungsbenachrichtigungen oder Grenzkontrollen von Dokumenten. Die durch legitime Reisedaten geschaffene Glaubwürdigkeit erhöht die Wahrscheinlichkeit, dass Opfer darauf hereinfallen, erheblich.
Für betroffene Personen ist sofortiges Handeln unerlässlich. Zunächst sollten die Passwörter aller mit Eurail verbundenen Konten geändert und sichergestellt werden, dass die Multi-Faktor-Authentifizierung (MFA) nach Möglichkeit aktiviert ist. Wenn die Passwörter auch anderweitig verwendet wurden, müssen auch diese Konten umgehend aktualisiert werden, um Credential-Stuffing-Angriffe zu verhindern.
Es ist wichtig, Kontoauszüge, Kreditkartenaktivitäten und Online-Konten genau auf ungewöhnliche Transaktionen oder Anmeldeversuche zu überwachen. Da gestohlene Daten monatelang oder sogar jahrelang im Umlauf sein können, ist eine ständige Wachsamkeit erforderlich. Dark-Web-Überwachungstools können frühzeitig warnen, wenn Anmeldedaten von Personen auf kriminellen Marktplätzen auftauchen, sodass sie handeln können, bevor Angreifer versuchen, sie zu missbrauchen.
Eine besondere Vorsicht gilt bei unaufgeforderten E-Mails, SMS oder Anrufen im Zusammenhang mit Reiseplänen. Angreifer nutzen oft das Mittel der Dringlichkeit – wie die Sperrung eines Kontos oder kurzfristige Änderungen des Reiseplans –, um Opfer unter Druck zu setzen, ohne Überprüfung zu handeln. Man sollte sich die Zeit nehmen, um die Legitimität jeder reisebezogenen Kommunikation zu überprüfen, um eine weitere Kompromittierungen verhindern.
Für Unternehmen unterstreicht dieser Vorfall die grundlegende Tatsache, dass die Kontrolle über sensible Identitätsdaten verloren geht, sobald diese offengelegt werden. Die einzige dauerhafte Abwehr besteht darin, eine Offenlegung von vornherein durch strenge Zugriffskontrollen, kontinuierliche Überwachung und ein Zero-Trust-Sicherheitsmodell zu verhindern, das jeden Benutzer und jedes Gerät überprüft. Der Schutz des Kundenvertrauens hängt nicht nur davon ab, Verstöße schnell zu erkennen, sondern auch davon, dass kritische Identitätsdaten von vornherein nicht gefährdet sind.”
