Knackstation
Sicherheitslücke in DHLs Packstationen
Ein Tippgeber behauptet, dass es aufgrund eines akuten Sicherheitsproblems kinderleicht sei, Packstationen zu übernehmen. Mit geringem Aufwand könne man fremde Pakete abholen und Sendungen mit geklauter Identität bestellen. Klappt das wirklich? DHL hat es abgestritten – c’t hat es ausprobiert.
Die quietschgelben DHL-Packstationen sind nicht nur bei Berufstätigen beliebt, die tagsüber keine Pakete in Empfang nehmen können, sondern auch bei Online-Ganoven. Die Paketautomaten sind eine ideale Lieferadresse für Illegales aus dem Darkweb: Drogen, Hehlerwaren, Schusswaffen, gefälschte Ausweise und vieles mehr. Auch Waren, die mit geklauten Kreditkarten im Netz bestellt wurden, werden häufig an eine Packstation geliefert. Dazu erstellen sich die Ganoven natürlich nicht Zugangskonten auf eigenen Namen, sondern nutzen kompromittierte Logins ahnungsloser DHL-Kunden. Fliegt eine solche Sendung auf, gerät zunächst einmal der Adressat in Erklärungsnot.
Damit der Schurke seine heiße Ware nicht nur an eine Packstation liefern lassen kann, sondern sie vor allem auch dort abholen kann, benötigt er Zugangsdaten für Paket.de, der Kundenseite der Packstationen. Dies ist allerdings keine Hürde, da die Logins ab fünf Euro im Darknet angeboten werden. Wo der legitime Accountbesitzer wohnt, spielt keine Rolle, da man sich Pakete an beliebige Packstationen liefern lassen kann. Zur Abholung ist zudem noch eine zum Account passende DHL-Kundenkarte (Goldcard) und der kurzzeitig gültige Abholcode (mTAN) nötig. Doch auch das ist für die Täter kein Showstopper.
Kundenkarte selbstgemacht
Die Goldcard wirkt durch das Hologramm auf ihrer Vorderseite und die Unterschrift des Kunden auf ihrer Rückseite zwar fälschungssicher, dieser Eindruck trügt jedoch. Die Packstationen interessieren sich nämlich ausschließlich für den Magnetstreifen der Karten – und der lässt sich leicht fälschen. Auf dem Streifen sind lediglich öffentliche Informationen gespeichert, die man ohnehin mit bloßen Auge von der Karte ablesen kann: der Vor- und Zuname des Kunden sowie dessen Kundennummer (Postnummer). Der Vollständigkeit halber sei auch noch die Ziffernfolge 005900000000000000000000 erwähnt, die auf allen Karten identisch ist.
Da die Ganoven sowohl Namen als auch Postnummer der Accountbesitzer über den Kundenbereich von Paket.de auslesen können, müssen sie diese Informationen nur noch auf einen Kartenrohling schreiben. Das ist keine Raketenwissenschaft, es genügt ein Magnetkartenschreiber für 140 Euro. Ein Kartenrohling kostet wenige Cent und die nötige Software gibt es im Netz. Wer die Investition in das Schreibgerät scheut, kauft im Darkweb für fünf Euro fertige Kartenkopien für beliebige Kundenkonten.
mTAN bremst Missbrauch
Zum Abholen fehlt jetzt also nur noch die mTAN. Sie wird nach dem Einlesen der Goldcard von der Packstation abgefragt, ehe sich das Paketfach öffnet. Sie war bisher die größte Hürde, da sie DHL per SMS an die im Kundenkonto hinterlegte Handynummer schickt. Wer einen fremden Account missbrauchen will, muss die eingestellte Rufnummer durch eine eigene ersetzen, um die mTAN emfangen zu können. Das bedeutet Aufwand: Entweder gilt es, die Änderung durch einen Klick auf einen Link zu bestätigen, die an die Mail-Adresse des Kunden geschickt wird. Oder es bedarf eines Anrufes bei der Hotline. Wer es sich leicht macht, kauft bei ominösen Dienstleistern ein Paket aus Login und SIM-Karte, deren Rufnummer bereits im Account hinterlegt wurde