10 November 2008

 Identiteitsfraude op bestelling

Ultrascan toont in Zembla aan hoe gemakkelijk het is om gestolen creditcardgegevens via het internet aan te schaffen en vervolgens te misbruiken door het aanschaffen van goederen via internet of het cashen van geld bij een ATM

Amsterdam, 10 november 2008 -
Zembla en medewerkers van Ultrascan bewijzen hoe gemakkelijk het is om gestolen identiteiten op internet te kopen en vervolgens met die gestolen creditcardgegevens aankopen te doen op Internet.

Creditcardgegevens worden vooral via skimmen, het hacken van webshops en data lekken verkregen. De gestolen gegevens worden vervolgens via het internet, in zogenaamde carding fora en databases, aangeboden. De prijzen per creditcard variëren van 50 Eurocent to 5 Euro, afhankelijk van de hoeveelheid geleverde data. Deze wereld wordt beheerst door zogenaamde Open Source Criminele Netwerken (OSCN).

In het Zembla programma van zondag, 9 november jl. laat Ultrascan zien hoe gemakkelijk het is om gestolen creditcardgegevens op het internet te kopen.

Criminelen weten dit soort gegevens op een aantal manieren te verkrijgen. Een veel gebruikte methode is het skimmen, waarbij de creditcardkaartlezer, waarop u in winkels, restaurants, hotels, etc., afrekent, gehacked zijn. De criminelen wisselen de kaartlezer om, of plaatsen een zogenaamd skimapparaat op de lezer. Vanaf dat moment kopieert de kaartlezer tijdens het afrekenen uw creditcard- of pingegevens. Deze worden opgeslagen in de kaartlezer. Na een bepaalde tijdsperiode halen de criminelen de gegevens weer op en verkopen de zo verkregen gegevens via internet.

Bij zogenaamd Card Not Present transacties, internetaankopen, verlangt de webshop dat u uw creditcardgegevens intypt, inclusief CVC code eventueel secure code, naam en (aflever-)adres. Wat u niet merkt, is dat als uw mandje vol is en u wilt afrekenen u ongemerkt naar een criminele website wordt geleid waar u op dat moment al uw gegevens intypt. U denkt dat u alleen maar afrekent, maar de criminelen weten wel beter. Ze hebben net uw identiteit gestolen zonder dat u er iets van afweet!

In andere gevallen wordt de data base van de webshop of bank gehacked, waarbij de hele data base met alle betaalgegevens gestolen wordt, zogenaamde data lekken.

Ter illustratie, een paar maanden geleden werden er bij Best Western hotels van 8 miljoen (!) gasten alle betaalgegevens gestolen. In augustus werden bij T-Mobile de kaartgegevens van 30 miljoen klanten gestolen en in het voorjaar bij de Amerikaanse winkelketen T.J. Maxx de kaartgegevens van 40 miljoen klanten. In de Arabische Emiraten was er tussen februari en augustus sprake van een netwerk hack bij de verwerkers van betalingen.

Nu begint de handel. De gestolen gegevens worden via het internet via beveiligde webshops aangeboden. Hier kunt u per land, per bank, per kaartsoort uw bestelling plaatsen en afrekenen. De prijzen per creditcard variëren van 50 Eurocent to 5 Euro, afhankelijk van de hoeveelheid geleverde gegevens. Voor 50 cent levert men creditcardnummer en CVC code. Voor 5 euro levert men ook uw volledige adres en secure code. Alsof u een boek op bol.com koopt.

De cirkel wordt gesloten met het misbruiken van de gestolen gegevens. Dit vindt hoofdzakelijk op twee manieren plaats. In het eerste geval koopt de crimineel met uw gestolen creditcardgegevens goederen op het internet en laat die, vaak via handlangers, zogenaamde mules, bij zich afleveren.
In een nog vervelender geval, voor u, worden uw kaartgegevens gebruikt voor het aankopen van kinderporno of wapens. Er zijn vele gevallen bekent waar het leven van mensen volledig geruïneerd is, omdat hun creditcardgegevens opdoken in politie onderzoeken.

In het tweede geval maakt de crimineel een nieuwe fysieke creditcard. Vervolgens wordt uw creditcard leeggetrokken bij een geldmachine.

Wie is er verantwoordelijk? Dat bent u. Tot nu toe is het zo dat u moet bewijzen dat u niet degene was die de aankopen heeft gedaan.

Het stelen van kaartgegevens wordt gedaan door criminelen in zogenaamde Open Source Criminele Netwerken (OSCN).

Open Source Criminele Netwerken hebben een aantal kenmerken.
Ten eerste hebben OSCN vrije of zeer goedkope toegang tot alle benodigdheden om hun misdaden te plegen. De belangrijkste benodigdheid, het internet, is bijna overal ter wereld toegankelijk, voor weinig geld, zeker in verhouding tot de mogelijke criminele opbrengsten.

Ten tweede, bevinden de criminelen en slachtoffers zich in verschillende jurisdicties. Dit bemoeilijkt het berechten. Ten derde, opereren deze criminelen anoniem. Dat bemoeilijkt het opsporen.

Hoe erg is het?
In Amerika wordt identiteitsfraude, internet gerelateerde criminaliteit en de OSCN als nationaal risico aangemerkt, omdat dit soort criminele netwerken in staat zijn om vitale publieke systemen te ondermijnen. Naast lokale overheden, is de bestrijding in Amerika een zaak van de FBI, de Secret Service en zelfs de Defense Inteligence Agency.

In Nederland worden internet gerelateerde criminaliteit en de grote anonieme criminele netwerken nog steeds zwaar onderschat en door de overheid vooralsnog afgedaan als een persoonlijk probleem of een probleem van banken en creditcardmaatschappijen. Er is geen sprake van enige urgentie bij de overheid, laat staan dat het als een nationaal risico wordt behandeld.

Volgens de banken is het een probleem van creditmaatschappijen, wat vreemd is, omdat het dezelfde criminele netwerken zijn die internet bankieren en debit kaarten als doelwit hebben. Het resultaat is dat iedereen naar elkaar blijft wijzen. Sommigen dringen aan op internationale samenwerking bij opsporing, maar tegelijkertijd staat privacy wetgeving een noodzakelijke gegevens uitwisseling in de weg. Er wordt dus niets aan onderzoek en bestrijding gedaan en identiteitsfraude en OSCN blijven explosief groeien.

Er worden nauwelijks budgetten voor onderzoek, laat staan bestrijding vrijgemaakt. Het gevolg is dat de politie geen tijd en mankracht heeft om deze vormen van grensoverschrijdende criminaliteit aan te pakken.

Dat betekent dat u voorlopig op u zelf blijft aangewezen en risico's niet kunnen worden uitgesloten. Op de volgende manieren kunt u het risico van identiteitsfraude beperken:

1. Zorg dat u uw webaankopen altijd doet via een beveiligde verbinding met de webshop (een zgn. https verbinding. Bijv., https://www.webshop.com);
2. Controleer altijd uw creditcardafschriften;
3. Meld fraude direct bij uw bank, creditcardmaatschappij en de politie.

Mastercard secure code
Wie zich in Nederland aanmeldt voor Mastercard Secure Code om zich beter te beveiligen bij internet transacties accepteert een eigen risico van 150 euro.

Helaas, de Secure Code versie die door Mastercard in Nederland wordt aangeboden is niet veilig omdat:
1. iedereen de "de door gebruiker zelf bedachte code" kan resetten naar een nieuwe code, en de betaling dan laten goedkeuren;
2. indien de gebruiker een geldig kaartnummer invult maar met een verkeerde naam, het Secure Code systeem terug komt met de correcte naam;
3. het Secure Code systeem alleen op geldigheid van de kaart controleert.

De overheid
moet het mogelijk maken (met terugwerkende kracht) inzicht te krijgen in alle data lekken, of dit nu de persoonsgegevens van 50 werknemers gaat of om verlies van miljoenen gegevens van een belastingdienst.

Deze data lekken en de mogelijke consequenties moeten in een continu 24/7 multinationaal overleg behandeld kunnen worden om zo te allen tijde een adequaat risico profiel te hebben.

Verder moet de overheid grootschalige onderzoeken naar grensoverschrijdende OSCN mogelijk maken,. Volgens de weinige opsporing autoriteiten met real time kennis over de materie “zijn wij al te laat†en is het meer een zaak van “wat te doen tijdens en na incidenten†dan preventie van het onvermijdelijke.

Onderzoeken moeten gericht zijn op het identificeren en opsporen van de individuele probleemveroorzakers en secundair op identificatie van de problemen. De OSCN zijn flexibeler dan overheden en lopen constant meerdere stappen voor met het bedenken en uitvoeren van criminele handelingen.

Het mag duidelijk zijn dat techniek niet geleid heeft tot identificatie EN opsporing van de key players. Dit duidt de noodzaak van Human Intelligence. Ook aangeboden hulp vanuit de OSCN (spijtoptanten - informanten) heeft niet tot successen in opsporing geleid, eerder het tegendeel. Zolang het technisch niet mogelijk is deelnemers van OSCN te identificeren en op te sporen, zullen er dus (uit eigen gelederen) zelf infiltranten moeten worden opgeleid en ingezet om zo de key players uit te schakelen en de OSCN te frustreren.

De grootste problemen bij opsporing zijn:
1. de privacy wetgeving. Bedrijven willen wel grensoverschrijdend informatie uitwisselen maar mogen niet;
2. de noodzakelijke opsporingsmethoden zijn niet toegelaten voor politie diensten;
3. de OSCN zijn te ontwikkeld en niet meer door de politie te bestrijden.