Laatste nieuws over creditcardfraude
Laatste tendens in creditcardfraude
Tijdens de research voor een masterclass Cybercrime voor het Openbaar Ministerie ontdekten onze forensische specialisten nieuwe ontwikkelingen in de handel met creditcardgegevens. Het is al vaker in het nieuws geweest dat deze tak van cybercrime steeds grotere vormen aanneemt. Nu worden echter veel meer gegevens dan vroeger aangeboden. Dit wijst erop dat hackers inbreken op een verbinding tussen een bank en een betalingsbedrijf, alle transacties bekijken en gevoelige informatie opslaan om later te verkopen. Bovendien is het aannemelijk dat naast de handel in de gegevens van creditcards, steeds meer vervalste kaarten in omloop zullen komen.
Onze experts onderzochten voor de masterclass geldstromen die gepaard gaan met de nieuwste ontwikkelingen van cybercrime. Door zich te verdiepen in websites over e-business kwamen zij op pagina’s uit waar financiële gegevens van particulieren werden verhandeld. Op een forum werden creditcardnummers en hun veiligheidscode (ccv) aangeboden. De prijs per creditcardnummer varieerde tussen de $ 5,-- en $ 7,--, afhankelijk van de verstrekking van het sofinummer en voor welk continent het bestemd was. Om websites met veel gegevens binnen te komen, was een introductie van een insider nodig of moest $ 500,-- worden overgemaakt.
Als de creditcardgegevens eenmaal zijn gekocht, kan getest worden of ze werken. Mocht dat niet het geval zijn, dan garandeert de hacker nieuwe, werkende gegevens. De aanbiedende partijen zijn erg serieus; concurrenten die dergelijke waar aanbieden en na betaling niet leveren, worden met naam en toenaam en soms met foto op de sites geplaatst.
Identiteitsbewijzen photoshoppen
De aanbieders worden betaald via 'offshore-banken’; meestal online-banken die geen vragen stellen en waarvan gebruikers vrij anoniem kunnen blijven. Als een bank om een identificatie vraagt, dan is dat geen probleem. Onze onderzoekers ontdekten dat er kant-en-klare sjablonen voor het programma Photoshop te koop zijn, waarin naar wens een rijbewijs voor een aantal Amerikaanse staten aan te maken zijn zoals Texas, Florida of New York. Ook een paspoort voor de Verenigde Staten of Groot-Brittannië was geen probleem. De helers verzekeren dat deze rijbewijzen en paspoorten bij banken geaccepteerd worden (‘bank quality’ in het jargon) en al meerdere malen zouden zijn gebruikt voor het ophalen van geld en het openen van rekeningen bij offshore-banken.
Eenmaal bekend met het jargon en de gebruikte afkortingen, kwamen onze onderzoekers ook gegevens van Nederlandse creditcardhouders tegen. Tijdens de controle van de NAW-gegevens, bleek het om bestaande adressen en creditcardgegevens te gaan.
Om artikelen op het internet te kopen of een abonnement op beeldmateriaal van een website te nemen, is een creditcard zelf niet nodig. De verstrekking van de gegevens van de creditcard is genoeg. Deze gegevens staan op de magnetische strip van een creditcard die weer bestaat uit ‘tracks’. Tracks zijn sporen waarop bepaalde gegevens staan. De meeste financiële netwerken gebruiken maar twee tracks. De eerste track bevat alfabetische waardes zoals de naam van de kaarthouder en op de tweede track staan de numerieke waardes als het rekeningnummer en de veiligheidscode van de kaarthouder.
De trackbestanden van creditcards kunnen worden verkregen door het aftappen van lijnen tussen financiële instellingen maar ook door het zogenaamde skimmen. De term skimming staat voor het aanpassen van een betaalautomaat zodat tijdens het doorhalen van een betaalpas, de gegevens van de magneetstrip worden gekopieerd. Onlangs werd bekend dat skimmers zeer actief in Nederland zijn, vooral in bouwmarkten en op NS-stations.
Skimmen is niet eenvoudig omdat de kaartlezer met de chip snel, onopvallend en zonder storing te veroorzaken ingebouwd moet worden. Onze forensische specialist kreeg op internet een cursus aangeboden door een ‘professional’ die de ins en outs van het vak beheerste. Tegen betaling wilde hij zijn kennis wel overbrengen.
Zelf een creditcard bakken
Met de creditcardgegevens in handen, is het relatief simpel om zelf vervalste creditcards te fabriceren (‘bakken’ in het jargon). Magneetstripkaartlezers en –schrijvers zijn op internet te koop voor € 500,--. Met zo’n apparaat en de trackgegevens is het betrekkelijk makkelijk om een vervalste creditcard te maken. Zo kunnen niet alleen skimmers ermee aan de slag maar ook eenieder die op internet creditcardgegevens en de bijbehorende pincodes heeft gekocht.
De vervalste kaarten openen de deuren tot veel meer toepassingen dan de bestelling van goederen of diensten via internet. Met een duplicaat van een creditcard liggen een restaurant- of hotelbezoek tot de aankoop van vakanties of sieraden binnen handbereik. De enorme toegankelijkheid van de aantallen credicardgegevens maken het echter voor de hand liggend dat criminelen geen grote bedragen van één rekening zullen afhalen. Het zal eerder om het wegsluizen van kleine bedragen van veel verschillende rekeningen gaan. Als een crimineel bijvoorbeeld van honderden rekeningen € 5,-- wegschrijft onder de noemer ‘servicekosten creditcard’, zal dat veel rekeninghouders niet opvallen. Op die manier kan zo’n praktijk lang voortbestaan.
Ons advies is daarom: loop uw afschriften secuur na. Dat is sowieso een goed idee want het klapstuk van onze ontdekkingen komt nog. Toen onze onderzoeker op een chatkanaal was ingelogd waarop creditcardgegevens en inlogaccounts voor banken werden aangeboden, las hij: ‘Hallo allemaal, ik werk in het [...]hotel en heb toegang tot alle creditcards en volledige informatie. Neem contact met mij op bij interesse.’
Zodra onze forensische experts meer actuele ontwikkelingen op dit vlak ontdekken, zullen zij hierover berichten op www.hoffmannBV.nl
