Quellen in der Finanzindustrie berichten, dass es Anzeichen dafür gibt, dass Dairy Queen die jüngste Einzelhandelskette sein könnte, die Opfer von Cyberkriminellen geworden ist, die es auf den Diebstahl von Kredit- und Debitkartendaten abgesehen haben. Dairy Queen sagt, dass es keine Hinweise auf einen Kartenmissbrauch in einer seiner Tausenden von Filialen gibt, aber das Unternehmen räumt auch ein, dass fast alle Filialen Franchises sind und dass es keinen etablierten Prozess oder eine Vorschrift gibt, dass Franchisenehmer Sicherheitsprobleme oder Kartenmissbrauch an die Zentrale von Dairy Queen melden.
Aktualisierung, 28. August, 12:08 Uhr ET: Ein Sprecher von Dairy Queen hat bestätigt, dass das Unternehmen vor kurzem vom US-Geheimdienst über „verdächtige Aktivitäten“ im Zusammenhang mit einer Art von Kartendiebstahl-Malware informiert wurde, die bei Hunderten von Einbrüchen in Einzelhandelsgeschäfte gefunden wurde. Dairy Queen sagt, dass es immer noch ermittelt und mit den Behörden zusammenarbeitet und noch nicht weiß, wie viele Filialen betroffen sein könnten.
Originalmeldung:
Ich hörte zum ersten Mal vor mindestens zwei Wochen Berichte über einen möglichen Kartendiebstahl bei Dairy Queen, konnte aber keine bestätigenden Anzeichen dafür finden – weder durch Lauern in zwielichtigen Online-„Kartenshops“ noch durch Gespräche mit Quellen in der Bankbranche. In den letzten Tagen habe ich jedoch von mehreren Finanzinstituten gehört, dass sie es mit einem Betrugsmuster bei Karten zu tun haben, die alle vor kurzem in verschiedenen Dairy Queen-Filialen in mehreren Bundesstaaten verwendet wurden. Es gibt auch Hinweise darauf, dass diese Karten im Untergrund der Cyberkriminalität verkauft werden.
Der jüngste Bericht kam von einer Kreditgenossenschaft im Mittleren Westen der Vereinigten Staaten. Der für die Betrugsbekämpfung zuständige Mitarbeiter dieser Kreditgenossenschaft wollte wissen, ob ich von einem Betrugsversuch bei Dairy Queen gehört habe, und teilte mit, dass das Finanzinstitut einen Betrug mit Karten festgestellt habe, die alle kürzlich in einem halben Dutzend Dairy Queen-Filialen in und um seinen Heimatstaat verwendet worden seien.
Nach Angaben der Kreditgenossenschaft wurden allein in den letzten Tagen mehr als 50 Kunden Opfer einer Flut von Kartenbetrügereien, nachdem sie ihre Kredit- und Debitkarten in Dairy-Queen-Filialen benutzt hatten – einige davon sogar in Florida -, und das Betrugsmuster deutet darauf hin, dass die DQ-Filialen mindestens seit Anfang Juni 2014 gefährdet waren.
„Wir werden heute überrannt“, sagte der Betrugsmanager am Dienstagmorgen über Betrugsaktivitäten, die auf Mitgliedskarten zurückgehen, die in den letzten drei Wochen in verschiedenen Dairy Queen-Filialen verwendet wurden. „Wir erhalten alle möglichen Betrugsfälle von Mitgliedern, die gefälschte Kopien ihrer Karten in Supermärkten und Lebensmittelgeschäften verwenden.“
Andere Finanzinstitute, die von diesem Reporter kontaktiert wurden, haben in letzter Zeit Betrugsfälle mit Karten gesehen, die alle in Dairy Queen-Filialen in Florida und mehreren anderen Staaten, darunter Alabama, Indiana, Illinois, Kentucky, Ohio, Tennessee und Texas, verwendet wurden.
Am Freitag, den 22. August, sprach KrebsOnSecurity mit Dean Peters, dem Kommunikationsdirektor der in Minneapolis ansässigen Fastfood-Kette. Peters sagte, das Unternehmen habe keine Berichte über Kartenbetrug in einzelnen DQ-Filialen erhalten, betonte aber, dass fast alle Dairy-Queen-Filialen in unabhängigem Besitz seien und betrieben würden. Auf die Frage, ob DQ irgendeine Art von Anforderung hat, dass seine Franchisenehmer das Unternehmen im Falle einer Sicherheitsverletzung oder eines Problems mit ihren Kartenverarbeitungssystemen benachrichtigen, sagte Peters nein.
„Zu diesem Zeitpunkt gibt es keine solche Richtlinie“, sagte Peters. „
Julie Conroy, Forschungsdirektorin bei der Beratungsfirma Aite Group, sagte, dass landesweit tätige Unternehmen wie Dairy Queen unbedingt Richtlinien für die Benachrichtigung von Franchisenehmern über Sicherheitsverletzungen haben sollten, und sei es nur, um die Integrität der Marke und das öffentliche Image des Unternehmens zu schützen.
„Ohne Frage ist dies eine Frage des Markenschutzes“, sagte Conroy. „Das ist die ewige Herausforderung für alle kleinen Händler. Selbst bei Unternehmen wie Dairy Queen, wo das Mutterschiff riesig ist, sind die einzelnen Filialen im Wesentlichen kleine Läden, und viele dieser Läden denken immer noch nicht, dass sie ein Ziel für diese Art von Betrug sind. Das Mutterschiff konzentriert sich also darauf, einen Haufen Katzen in Form von Tausenden von Franchisenehmern zu hüten, und denkt nicht daran, dass alle diese Läden Ziele für Cyberkriminelle sind und dass sie eine Art unternehmensweite Richtlinie zu diesem Thema haben sollten.
DEJA VU ALL OVER AGAIN?
Die Situation, die sich offenbar bei Dairy Queen entwickelt, erinnert an ähnliche Berichte, die letzten Monat von mehreren Banken über Kartenbetrug in Dutzenden von Filialen von Jimmy John’s, einer landesweiten Sandwich-Shop-Kette, die ebenfalls fast vollständig von Franchisenehmern betrieben wird, veröffentlicht wurden. Jimmy John’s hat gesagt, dass es die Vorwürfe untersucht, aber bisher hat es keine Berichte über Kartenmissbrauch in einer seiner über 1.900 Filialen landesweit bestätigt.
Die Empfehlung des DHS/Geheimdienstes.
Gerüchte über einen Kartenmissbrauch, von dem zumindest ein Teil der 4.500 inländischen, unabhängig geführten Dairy Queen-Filialen betroffen ist, kommen inmitten immer lauterer Warnungen des U.S.. Das US-Ministerium für Heimatschutz und der Secret Service warnten letzte Woche, dass mehr als 1.000 amerikanische Unternehmen von bösartiger Software betroffen sind, die Kreditkartendaten aus Kassensystemen stehlen soll.
In dieser Warnung warnten die Behörden, dass Hacker Netzwerke nach Kassensystemen mit Fernzugriffsfunktionen (z. B. LogMeIn und pcAnywhere) durchsuchen und dann Schadsoftware auf Kassengeräten installieren, die durch schwache und leicht zu erratende Passwörter geschützt sind. In der Warnung wird darauf hingewiesen, dass mindestens sieben Anbieter von Kassensystemen bestätigt haben, dass mehrere Kunden betroffen waren.
Etwa zur gleichen Zeit, als die Warnung des Geheimdienstes veröffentlicht wurde, teilte UPS Stores, eine Tochtergesellschaft des United Parcel Service, mit, dass sie ihre Systeme auf Anzeichen der in der Warnung beschriebenen Malware untersucht und Sicherheitsverletzungen gefunden hat, die zum Diebstahl von Kredit- und Debitdaten von Kunden in 51 UPS-Filialen in den USA (etwa 1 Prozent der 4.470 Franchise-Center in den USA) geführt haben könnten. Übrigens sollte die Art und Weise, wie UPS mit der Offenlegung des Verstoßes umgegangen ist – mit der klaren Nennung der einzelnen betroffenen Filialen – anderen Unternehmen, die mit ähnlichen Verstößen zu kämpfen haben, als Vorbild dienen. Lesen Sie weiter →