De miljoenenbuit na een virtuele bankoverval

Twee Nederlanders die zijn gearresteerd in Düsseldorf beroepen zich al bijna drie maanden op hun zwijgrecht. Het tweetal, een 35-jarige man en zijn 56-jarige moeder, werd in februari gearresteerd met 170.000 euro cash en een grote hoeveelheid valse betaalkaarten op zak. Afgelopen vrijdag maakte de politie de arrestaties pas bekend.

De betaalkaarten waren, wellicht niet toevallig, afkomstig van de Bank of Muscat uit Oman. Die bank was op 19 februari jongstleden slachtoffer van een van de grootste bankovervallen ooit. Toen werd 40 miljoen dollar (30,8 miljoen euro) buitgemaakt, zonder dat er wapens aan te pas kwamen. De twee Nederlanders worden verdacht van betrokkenheid.

Wat gebeurde er op 19 februari?

Honderden mensen in 24 landen sloegen op dinsdag 19 februari tegelijkertijd hun slag. Van de VS tot aan Japan, van Rusland tot Duitsland, overal gingen ze met valse bankpasjes van pinautomaat naar pinautomaat en laadden tassen vol met bankbiljetten. Ze deden 36.000 transacties en harkten 40 miljoen dollar binnen in tien uur tijd.

De pasjes waren gehackte betaalkaarten van de Bank of Muscat in Oman en van de Rakbank in de Verenigde Arabische Emiraten. Het was al de tweede overval op deze banken. De eerste was op 22 december. Toen was de buit 5 miljoen euro, verdeeld over 20 landen.

Naast de twee Nederlanders zijn inmiddels ook zeven mogelijk betrokkenen in New York gearresteerd. In New York vonden in 2 uur en 25 minuten 750 transacties uit 140 betaalautomaten plaats. Buit: 400.000 dollar. Een van de verdachten werd op een beveiligingscamera gezien toen hij zijn rugtas vol laadde met geld. Andere verdachten maakten foto’s terwijl ze door Manhattan zwaaiden met dikke pakken bankbiljetten. Leider van de New Yorkse tak zou de 23-jarige Dominicaan Alberto Lajud-Pena zijn. Hij werd op 27 april in zijn woning in Santo Domingo vermoord. De politie vond in zijn huis 100.000 dollar.

Hoe vond de overval plaats?

Een criminele ‘flash mob’ noemde een openbaar aanklager in de VS dit weekend de aanval. Computerexperts hacken de database van een bank, verhogen de limieten op betaalkaarten en creëren een pincode. Anderen binnen het netwerk laden de data op een plastic kaart met een magneetstrip – een hotelkamersleutel of verlopen creditcard voldoet – en halen het geld uit de pinautomaat.

De bendeleden gebruikten malware – schadelijke software die via onder meer e-mails een computer binnendringt – om de wereldwijde database van de Bank of Muscat en de Rakbank te hacken. Toegang kregen ze via twee onbekende dienstverleners uit India waarmee de banken zaken deden. De hackers zouden in totaal maanden zijn bezig geweest met de operatie.

En ook op 19 februari, de dag van de overval, hielden ze heimelijk toegang tot de database totdat de fraude door de banken werd herkend. Zo konden ze in de gaten houden welke bedragen exact uit welke pinautomaten kwamen. Vermoedelijk is het geïnde geld daarna grotendeels witgewassen door de aankoop van luxegoederen. Een deel hebben de ‘geldinners’ moeten inleveren bij de organisatoren. Wie dat zijn is volgens de Amerikaanse politie niet duidelijk. De organisatie opereert in cellen.

Hoe kan zoiets gebeuren?

Individuen zijn geen geld kwijt, want de fraude werd gepleegd met zogenaamde debitcards, ook wel prepaid creditcards genoemd. Deze betaalkaarten zijn gekoppeld aan een rekening waarop je anoniem geld kunt storten. In dit geval werd geld uit eigen fondsen van de banken overgeschreven op debitcards van Mastercard. Ook betaalkaarten van winkelketens zijn debitcards.

De zwakte van deze kaarten is de anonimiteit. Voor een gewone creditcard moet de houder aan voorwaarden voldoen en zijn persoonsgegevens bij de bank bekend. Daardoor vallen vreemde transacties niet alleen de gebruiker op, ook bij banksystemen gaan alarmbellen rinkelen als vaak in korte tijd wordt gepind. Een prepaid creditcard kan iedereen gebruiken. Vind je vervolgens een betaalbedrijf in India dat de veiligheidseisen iets minder strikt neemt, dan blijkt 35 miljoen euro snel afgeschreven.