Deel dit artikel
-

Levendige handel in gestolen creditcard-nummers

Lang niet alle gegevens van gestolen creditcard gegevens worden via internet aangeboden. Dat zegt bureau Ultrascan, naar aanleiding van de Zembla-uitzending over fraude met gestolen persoonsgegevens. Ultrascan sluit niet uit dat deze gegevens worden opgespaard voor chantagedoeleinden.

Het Amsterdamse bureau Ultrascan, gespecialiseerd in financiële fraude, werkte mee aan de Zembla-uitzending van afgelopen zondag. Daarin toonde de redactie hoe eenvoudig het is om via een Russische site gegevens van Nederlandse creditcardhouders te kopen en daarmee bestellingen te plegen. Zo kocht Zembla een boek bij Bol.com op rekening van een kaarthouder uit Haarlem, die geen idee dat dat zijn gegevens op internet te koop werden aangeboden.

Ceditcardgegevens worden vooral via skimmen, het hacken van webwinkels en via datalekken verkregen. De gestolen gegevens worden vervolgens via het internet in zogenoemde carding fora en databases aangeboden voor 50 eurocent tot 5 euro, afhankelijk van de hoeveelheid geleverde data.

Met de gegevens kunnen niet alleen online bestellingen worden verricht, maar bijvoorbeeld ook contant geld bij Western Union worden opgehaald. "Een aantal jaren geleden was dit nog het werk van individuele hackers die er bijvoorbeeld porno mee betaalden," zegt Frank Engelsman van Ultrascan. "Tegenwoordig zien we dat de rekeningen zo snel mogelijk worden leeggetrokken. Het is een professionele business geworden."

Ook worden er steeds meer gegevens buitgemaakt. Een paar maanden geleden werden er bij Best Western hotels van 8 miljoen gasten alle betaalgegevens gestolen. In augustus werden bij telecombedrijf T-Mobile de kaartgegevens van 30 miljoen klanten ontvreemd en in het voorjaar raakte winkelketen T.J. Maxx 40 miljoen kaartgegevens kwijt aan criminelen.

Merkwaardig is dat maar een klein deel van deze gegevens ook daadwerkelijk omloop wordt gebracht. "We weten niet precies waarom," zegt Engelsman. "Maar omdat bekend is dat credit cardgegevens naar landen als Pakistan worden verstuurd, sluit ik niet uit dat ze voor chantagedoeleinden worden gebruikt, bijvoorbeeld bij terroristische acties. Door de kaartgegevens in een keer op de markt te gooien, kun je het betalingsverkeer aardig ontwrichten."

Volgens Engelsman is het beleid van credit card-organisaties om gebruikers niet op voorhand te waarschuwen als wordt vermoed dat de gegevens zijn gestolen. De kaart wordt pas geblokkeerd als er geld is verdwenen.

MasterCard biedt samen met enkele grote banken gebruikers de mogelijkheid om een extra beveiligde code te gebruiken voor de beveiliging van internettransacties. Maar volgens Ultrascan is de Secure Code die door MasterCard in Nederland wordt aangeboden niet veilig omdat iedereen de door de gebruiker ingestelde code kan resetten naar de nieuwe code, waarna de betaling alsnog wordt goedgekeurd. En dat is extra zuur, omdat gebruikers bij het gebruik van de secure code een eigen risico van 150 euro moeten accepteren.

Een woordvoerder van ING Bank gaf in de uitzending toe dat de beveiliging van de Secure Code geen enkele garantie bood tegen fraude. Overigens test Visa samen met vier Europese banken een nieuwe kaart waarop klanten met behulp van een toetsenbord eenmalig een wachtwoord kunnen intikken ter goedkeuring van onlinetransacties.

D66 heeft inmiddels aangedrongen op een Europees meldpunt voor identiteitsfraude om creditcardfraude tegen te gaan. Partijleider van D66 Alexander Pechtold heeft zondag Kamervragen gesteld over de uitzending. Ook dringt hij aan op maatregelen die moeten voorkomen dat persoonsgegevens van creditcardhouders op internet gekocht kunnen worden.

De Zembla uitzending wordt morgen herhaald op Nederland 2 om 10.30 uur, en is inmiddels ook online te bekijken.

Deel dit bericht

4 Reacties

Rick

Ik heb de uitzending gisteren gezien, interessant maar niet zo heel veel nieuws… Reactie van OM en officier van Justitie is echter schrikbarend, men heeft blijkbaar geen idee hoe een online betaling met credit card werkt. De opmerking "ik internet zelf niet zoveel" zegt alles… Vorig jaar is mijn credit card online misbruikt door een firma uit de U.S.A. en moest ik van mijn bank aangifte doen bij de politie. Hier exact hetzelfde verhaal, allereerst moest ik alles uit de kast halen om uberhaupt aangifte te kunnen doen, mijn bank had mij hiervoor al gewaarschuwd, en toen ik uiteindelijk aangifte kon doen was ik met stomheid geslagen dat ik de politie het proces moest uitleggen van hoe een betaling met CC via internet te doen. Men had geen idee… Ik heb alles netjes teruggekregen maar de bank wilde verder geen mededelingen doen wat het onderzoek had opgeleverd. Ik was benieuwd hoe men aan mijn kaart gegevens was gekomen echter en of ik hier wat aan had kunnen doen. Geen mededelingen ! Zolang ik mijn geld maar netjes retour gestort krijg en de bank geen openheid van zaken geeft zal het allemaal wel…je kunt er weinig aan doen. 

jack

Mijn creditcard van de Rabobank is voorzien van een chip. Wanneer ik de creditcard in mijn Random Reader plaats is er een optie "SecureCode". Je moet dan je pincode invoeren. Via deze challenge/response methode zou het een stuk veiliger moeten zijn om creditcard-betalingen via Internet te doen. Waarom wachten de banken nog om dit systeem in gebruik te nemen?

Frits

Deze uitzending liet voor mij totaal niets nieuws zien. Het is al jaren en jaren bekend dat er een levendige handel in creditcard gegevens bestaat en dat het in flink wat gevallen zeer makkelijk is om aan die gegevens te komen als je weet hoe je er naar moet zoeken. Bedrijven die met die gegevens omgaan worden zelden goed gecontroleerd of ze voor voldoende veiligheid zorgen. Gebruikers letten evenmin zorgvuldig genoeg op. Dat er vanuit het OM of justitie verbaasde reacties komen verbaasd me niets. Het is niet dat politie en justitie er geen werk van maken, maar het is daar nog steeds zo'n versplinterd zooitje dat de personen die het woord voeren zelden snappen waar ze het over hebben terwijl de kenners nooit in beeld komen. Banken letten vooral op hoe ze naar het publiek als betrouwbaar en solide overkomen. Veel systemen zijn domweg onveilig te noemen maar worden in stand gehouden omdat de klant uiteindelijk wel zijn geld terug zal krijgen. Zo houden ze de klanten zoet en geeft men de systemen een zogenaamd bestaansrecht. Uiteindelijk is iedere uitwisseling van persoonlijke gegevens een kwestie van vertrouwen. Een vertrouwen wat nauwelijks valt te controleren in de huidige situatie waar de verwerkers zichzelf moeten reguleren en dan wonder boven wonder de makkelijkste of goedkoopste uitweg kiezen en een ander het haasje is.

Carola

Mensen die op deze manier gedupeerd worden krijgen wel de schade vergoed door de bank ?
Gebeurt dat altijd ? Wie weet dat of heeft daar ervaring mee .

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond