Der Dark-Web-Marktplatz B1ack’s Stash sorgt erneut für Schlagzeilen: Die notorische Handelsplattform für gestohlene Kreditkartendaten hat die Veröffentlichung von 4,6 Millionen Kartendatensätzen angekündigt – völlig kostenlos und ohne technische Hürden. Dies ist ein Schritt, der die Cybersicherheitsgemeinschaft aufschrecken lässt und erhebliche Risiken für Millionen von Karteninhabern weltweit mit sich bringt.
Hintergründe der Freigabe
Der Grund für diese ungewöhnliche Entscheidung liegt in einer Bestrafung von Plattform-Verkäufern. B1ack’s Stash beschuldigte mehrere Seller, Kartendaten, die sie auf dem Marktplatz erworben hatten, auf konkurrierenden Plattformen weiterzuverkaufen – ein Verstoß gegen die internen Geschäftsbedingungen. Als Reaktion suspendierte die Plattform nicht nur 8 Millionen CVV2-Datensätze, sondern entschied sich, die 4,6 Millionen Karten kostenlos freizugeben, anstatt sie zu löschen.
Umfang und Qualität der Daten
Die freigegebenen Datensätze sind bemerkenswert vollständig. Sie enthalten vollständige Kartennummern, Ablaufdaten, CVV2-Codes, Namen der Karteninhaber, Rechnungsadressen, E-Mail-Adressen, Telefonnummern und sogar IP-Adressen. Nach Analysen von SOCRadar stammen die Daten vermutlich aus E-Skimming- oder Phishing-Operationen. Von den 4,6 Millionen Einträgen werden etwa 4,3 Millionen als neu und potenziell nutzbar für illegale Aktivitäten eingestuft.
Geografische Verteilung und Risiken
Die gestohlenen Karten stammen aus zahlreichen Ländern, wobei die USA mit etwa 70 Prozent dominiert. Allerdings zeigt die Verteilung – mit signifikanten Anteilen aus Großbritannien, Frankreich, Kanada und asiatischen Finanzzentren wie Hong Kong, Singapur und Thailand – dass B1ack’s Stash global agiert. Diese geografische Vielfalt deutet auf mehrere parallele Datendiebstahl-Kampagnen hin.
Konsequenzen für Verbraucher und Institutionen
Die Risiken sind erheblich: Cyberkriminelle können diese Daten für CNP-Betrug (Card-Not-Present-Fraud) nutzen, um illegale Online-Käufe zu tätigen, betrügerische Konten zu eröffnen, Kredite zu beantragen oder gezielte Phishing-Anschläge durchzuführen. Die Kombination aller Daten in einem Datensatz verstärkt die Risiken exponentiell.
B1ack’s Stash ist seit mindestens 2023 aktiv und hat sich zu einer der größten Handelsplattformen für gestohlene Kreditkartendaten entwickelt. Die wiederholten Freigaben – zuletzt im April 2024 mit 1 Million Karten und nun mit über 4 Millionen – deuten auf eine Strategie hin, neue Nutzer anzulocken und die Marktposition zu festigen. Deutsche Finanzinstitute sollten ihre Kunden zur Wachsamkeit auffordern und verstärkte Sicherheitsmaßnahmen implementieren.