Grote creditcardfraude in VS door hacker 'Soupnazi'

Een trio hackers stal de gegevens van 130 miljoen creditcards. Slachtoffers van zulke fraude worden gecompenseerd – op kosten van de consument.

Volgens de Amerikaanse justitie is het de omvangrijkste diefstal van creditcardgegevens ooit. De 28-jarige hacker Albert Gonzalez stal samen met twee nog onbekende Russische handlangers de kaartnummers en beveiligingscodes van 130 miljoen Amerikaanse creditcards.

Het trio brak in bij de computersystemen van grote winkelketens en van een bedrijf dat elektronische transacties verwerkt, Heartland Payment Systems, in New Jersey. De malware (kwaadwillende software) die ze op de systemen installeerden, stuurde de kaartgegevens door aan de inbrekers.

Deze omvangrijke databestanden stalden ze vervolgens op servers in de VS, Letland, Oekraïne en Nederland, die ze ingenieus afschermden. Zulke gegevens kunnen bijvoorbeeld weer verhandeld worden aan criminelen, die er op het web of in gewone winkels producten mee kopen of contant geld mee opnemen bij pinautomaten.

Gonzalez – op het web onder meer actief onder het alias ‘Soupnazi’, een personage uit de tv-serie Seinfeld – zit sinds vorig jaar in hechtenis. Sinds 2003 is hij een bekende van justitie, toen hij gepakt werd als een van de leiders van de hackersbende Shadowcrew. Hij werd daarna gerekruteerd als informant door de Secret Service, maar ging door met digitaal inbreken. Tussen 2005 en 2006 stal hij al de gegevens van 40 miljoen creditcards. Dit was, tot de mededeling gisteren van de justitie van de nieuwe roof, de grootste bekende creditcardinbraak ooit.

De Amerikaanse zakenkrant The Wall Street Journal noemt Gonzalez vandaag „een rijzende ster in de cyberonderwereld”. Een ster die over grote sommen geld beschikte. Zo gaf hij onder meer 75.000 dollar uit aan een verjaardagsfeest en klaagde hij dat zijn geldteller kapot was en dat hij 340.000 dollar aan contanten handmatig moest tellen. Ook lanceerde hij ooit een computeraanval op grote bedrijven die hij ‘Operation get rich or die trying’ noemde, naar een populair credo uit de gangstarap.

Datadiefstal op deze schaal kan alleen in de VS, waar de creditcard veel populairder is, zegt universitair docent computerbeveiliging Peter van Rossum (Radboud Universiteit). „Wij pinnen veel meer. Pincodes zijn veel moeilijker te stelen voor hackers. In de VS hebben ze aan alleen een creditcardnummer vaak al genoeg. Die kan je verkrijgen door in te breken bij winkels of bij een intermediar, zoals deze hackers hebben gedaan.”

De controle in de VS is ook minder streng: klanten hoeven op veel plekken, zoals tankstations, niet eens te tekenen of zich te identificeren. In Europa daarentegen worden creditcards steeds vaker met chips uitgerust die vergrendeld zijn met een pincode. „Maar we moeten niet meesmuilend doen over die Amerikanen”, zegt oud-hacker en IT-specialist Rop Gonggrijp. „Wij hebben een gigantisch probleem met skimmen.”

Vervolg Fraude: pagina 13

Bank verzwijgt de schade liever

Bij skimmen wordt de magneetstrip op een bankpas stiekem gekopieerd en de bijbehorende pincode ontfutseld, waarna met een kopie van de pas geld opgenomen kan worden of aankopen worden gedaan. Gonggrijp: „Het gaat hierbij om vele, vele miljoenen. Die worden wel weer vergoed aan de gedupeerden, maar indirect betalen we er allemaal aan mee.”

Fraude is ook een van de hoofdredenen dat de creditcardmaatschappijen zulke hoge rentes hanteren. In de Verenigde Staten moeten deze bedrijven hierover openheid geven. In Nederland hoeft dit niet.

„Banken in Nederland doen een beetje geheimzinnig over skimmen”, zegt universitair docent Van Rossum. „Het gaat om bedrijven die erg afhankelijk zijn van vertrouwen. En als bedrijf staat het slecht als iets bij je gestolen wordt.”

Gonggrijp, die begin jaren negentig internetaanbieder XS4ALL oprichtte, ziet ook een duidelijk commercieel belang. „Banken compenseren individuele slachtoffers vaak direct, maar verzwijgen de totale schade, omdat die aan ons allemaal doorberekend wordt door hogere servicekosten te vragen.”

Gonggrijp pleit ervoor dat banken openheid geven over de mate waarin ze slachtoffer zijn van criminelen. „Dan zou een consument kunnen bepalen bij welke bank het meest gejat wordt en hoeveel een bank steekt in fraudepreventie.” Want, zegt Gonggrijp, „het afkopen van fraude door die te vergoeden aan de cliënt is op korte termijn misschien goedkoper, maar op de lange termijn verdient preventie zichzelf terug.”

Veel Nederlandse bankpassen hebben behalve een magneetstrip ook een chip. „Die kunnen makkelijk worden gebruikt om ze beter te beveiligen.” Dat dit niet allang gebeurt, verklaart Gonggrijp uit de „cultuur bij banken”. „Bijna iedereen denkt er alleen aan het binnenhalen van zijn bonus, niet aan de lange termijn. En de consument betaalt.”