Seit dem Freitagnachmittag konnten viele Fahrgäste des Nahverkehrssystems San Francisco Muni ihre Fahrt nur ohne gültiges Ticket antreten. Die Fahrkartenautomaten an vielen U-Bahn-Stationen der Stadt hätten in großen roten Lettern die Meldung "Außer Betrieb" angezeigt, berichtet der "San Francisco Examiner".

Zeitgleich leuchtete auf den Computerbildschirmen in den Häuschen der Bahnhofsvorsteher eine Drohung auf: "Ihr gehackt, ALLE Daten verschlüsselt. Kontaktiert für Schlüssel ([email protected])ID:681", hieß es dort in schlechtem Englisch.

Nachdem sie eine E-Mail an diese Adresse geschrieben hatten, meldete sich bei den Redakteuren des "Examiner" jemand, der Andy Saolis als seinen Namen angab und behauptete, die Computer des öffentlichen Nahverkehrs von San Francisco gekapert zu haben.

Der Zeitung zufolge fordert der Mann ein Lösegeld in Höhe von umgerechnet 69.000 Euro für die Freigabe der Rechner. Der Zeitung gegenüber erklärte er: "Wir tun das des Geldes wegen, sonst nichts." Außerdem hoffe er, die Firma werde daraus lernen und ihre Computer künftig besser absichern. Bis zum Sonntag sei er aber noch nicht von der Betreibergesellschaft SFMTA (San Francisco Municipal Transportation Agency) kontaktiert worden.

Einem Bericht des Nachrichtenportals "Hoodline" zufolge behauptet der Mann zudem, er habe rund ein Viertel der 8656 SFMTA-Computer unter seiner Kontrolle. Wenn das Lösegeld nicht bis zum Montag gezahlt werde, würden die Daten auf den betroffenen Rechnern permanent verschlüsselt bleiben. Um seiner Forderung Nachdruck zu verleihen, habe der Unbekannte einige der erbeuteten Daten veröffentlicht, darunter Lohnabrechnungen, E-Mails, Schulungsunterlagen und anderes.

Eindringen mit Phishing-Mails

Wie so oft in solchen Fällen war es offenbar die Schwachstelle Mensch, die dem Unbekannten das Eindringen in die Systeme der SFMTA erst ermöglicht hat. So erklärte Saolis dem "Examiner", er habe schlicht sogenannte Phishing-Mails an Angestellte des Unternehmens verschickt.

Bei solchen E-Mails handelt es sich um Nachrichten, die den Anschein erwecken, für den Empfänger wichtige Informationen zu enthalten und ihn dazu verleiten, auf einen Weblink zu klicken. Dieser führt jedoch nicht zur gewünschten Seite, sondern sorgt dafür, dass im Hintergrund eine Schadsoftware auf dem Computer geladen wird, über die der Rechner von den Eindringlingen ferngesteuert werden kann.

Genau das sei im konkreten Fall gelungen. Ein Mitarbeiter mit Administratorrechten habe auf die offenbar ungezielt an viele Mitarbeiter adressierte E-Mail reagiert und den Unbekannten damit unabsichtlich die Tür geöffnet.

Einige der gekaperten Fahrkartenautomaten seien am Montagmorgen wieder in Betrieb gewesen, heißt es in den Berichten weiter. Wie viele der internen Rechner aber noch in der Hand der Kriminellen sind, ist ebenso unklar wie die Frage, ob die SFMTA womöglich doch noch auf die Lösegeldforderung eingeht. Laut "Hoodline" würden dem Unternehmen durch blockierte Fahrkartenautomaten mehr als eine halbe Million Dollar an Einnahmen täglich entgehen.

Quelle : spiegel.de

Tags: