'Soupnazi' hackt alles en iedereen

Een trio hackers stal de gegevens van 130 miljoen creditcards.

Slachtoffers van zulke fraude worden gecompenseerd – op kosten van de consument.

Volgens de Amerikaanse justitie is het de omvangrijkste diefstal van creditcardgegevens ooit. De 28-jarige hacker Albert Gonzalez stal samen met twee nog onbekende Russische handlangers de kaartnummers en beveiligingscodes van 130 miljoen Amerikaanse creditcards.

Het trio brak tussen 2006 en 2008 in bij de computersystemen van grote winkelketens en van een bedrijf dat elektronische transacties verwerkt, Heartland Payment Systems, in New Jersey. De malware (kwaadwillende software) die ze op de systemen installeerden, stuurde de kaartgegevens ongezien door aan de inbrekers.

Deze omvangrijke databestanden stalden zij vervolgens op servers in de VS, Letland, Oekraïne en Nederland, die ze ingenieus afschermden. Zulke gegevens kunnen bijvoorbeeld weer verhandeld worden aan criminelen, die er op het web of in gewone winkels producten mee kopen of contant geld mee opnemen bij pinautomaten.

Zijn twee kompanen uit Rusland zijn voor zover bekend nog niet opgepakt, maar Gonzalez zit sinds mei vorig jaar al in hechtenis. Toen werd hij gepakt voor het hacken van een computernetwerk van onder meer de restaurantketen Dave and Buster’s. Een misdrijf waarvoor hij volgende maand moet voorkomen in New York en 25 jaar celstraf riskeert.

Sinds 2003 is de autodidact Gonzalez al een bekende van justitie, toen hij gepakt werd als een van de leiders van de hackersbende Shadowcrew. In plaats van vervolgd te worden, werd hij toen gerekruteerd als informant voor de Secret Service. In deze functie echter ging Gonzalez gewoon door met digitaal inbreken.

Tussen 2005 en 2006 stal hij al de gegevens van 40 miljoen creditcards, vooral bij de Amerikaanse kledinggigant TJX. Dit was, tot de bekendmaking door justitie van de nieuwe roof, de grootste bekende creditcardinbraak ooit.

Datadiefstal op zo’n grote schaal zoals nu in de VS, dat kan alleen daar gebeuren. Omdat de creditcard daar veel populairder is, zegt universitair docent computerbeveiliging Peter van Rossum (Radboud Universiteit). „Wij pinnen veel meer. Pincodes zijn veel moeilijker te stelen voor hackers. In de VS hebben ze aan alleen een creditcardnummer vaak al genoeg. Die kan je verkrijgen door in te breken bij winkels of bij een intermediair, zoals deze hackers hebben gedaan.”

De controle in de Verenigde Staten is ook minder streng: klanten hoeven op veel plekken, zoals tankstations, niet eens te tekenen of zich te identificeren. In Europa daarentegen worden creditcards steeds vaker met chips uitgerust die vergrendeld zijn met een pincode. „Maar we moeten niet meesmuilend doen over die Amerikanen”, zegt oud-hacker en IT-specialist Rop Gonggrijp. „Wij hebben een gigantisch probleem met skimmen.”

Bij skimmen wordt de magneetstrip op een bankpas stiekem gekopieerd en de bijbehorende pincode ontfutseld, waarna met een kopie van de pas geld opgenomen kan worden of aankopen worden gedaan. Gonggrijp: „Het gaat hierbij om vele, vele miljoenen. Die worden wel weer vergoed aan de gedupeerden, maar indirect betalen we er allemaal aan mee.”

Fraude is ook een van de hoofdredenen dat de creditcardmaatschappijen zulke hoge rentes hanteren. In de VS moeten deze bedrijven hierover openheid geven. In Nederland hoeft dit niet.

„Banken in Nederland doen een beetje geheimzinnig over skimmen”, zegt universitair docent Van Rossum. „Het gaat om bedrijven die erg afhankelijk zijn van vertrouwen. En als bedrijf staat het slecht als iets bij je gestolen wordt.”

Gonggrijp, die begin jaren negentig internetaanbieder XS4ALL oprichtte, ziet ook een duidelijk commercieel belang. „Banken compenseren individuele slachtoffers vaak direct, maar verzwijgen de totale schade, omdat die aan ons allemaal doorberekend wordt door hogere servicekosten te vragen.”

Gonggrijp pleit ervoor dat banken openheid geven over de mate waarin ze slachtoffer zijn van criminelen. „Dan zou een consument kunnen bepalen bij welke bank het meest gejat wordt en hoeveel een bank steekt in fraudepreventie.” Want, zegt Gonggrijp, „het afkopen van fraude door die te vergoeden aan de cliënt is op korte termijn misschien goedkoper, maar op de lange termijn verdient preventie zichzelf terug.”

Veel Nederlandse bankpassen hebben behalve een magneetstrip ook een chip. „Die kunnen makkelijk worden gebruikt om de passen beter te beveiligen.”

Dat dit niet allang gebeurt, verklaart Gonggrijp uit de „cultuur bij banken”. „Bijna iedereen denkt er alleen aan het binnenhalen van zijn bonus, niet aan de lange termijn. En de consument betaalt.”