Virtuele bankoverval is een 'criminele ' flashmob

Twee banken uit de Golfstaten werden beroofd van 40 miljoen dollar door hackers. Twee Nederlanders behoren tot de verdachten.

In this undated photo provided by the United States Attorney’s Office for the Southern District of New York, Elvis Rafael Rodriguez, left, and Emir Yasser Yeje pose with bundles of cash allegedly stolen using bogus magnetic swipe cards at cash machines throughout New York. Prosecutors in New York on Thursday, May 9, 2013 said that they are members of worldwide gang of criminals who stole $45 million in hours by hacking into a database of prepaid debit cards and draining cash machines around the globe. An indictment unsealed Thursday accused U.S. cell ringleader Alberto Yusi Lajud-Pena and seven other New York suspects of withdrawing $2.8 million in cash from hacked accounts in less than a day. (AP Photos/U.S. Attorney’s Office for the Southern District of New York) AP

Twee Nederlanders die zijn gearresteerd in Düsseldorf beroepen zich al bijna drie maanden op hun zwijgrecht. Het tweetal, een 35-jarige man en zijn 56-jarige moeder, werd in februari gearresteerd met 170.000 euro cash en een grote hoeveelheid valse betaalkaarten op zak. Pas afgelopen vrijdag maakte de politie hun arrestaties bekend.

De betaalkaarten waren afkomstig van de Bank of Muscat uit Oman. Die was al op 19 februari slachtoffer van een van de grootste overvallen ooit. Toen werd 40 miljoen dollar (30,8 miljoen euro) buitgemaakt, zonder dat er wapens aan te pas kwamen. De twee Nederlanders worden verdacht van betrokkenheid.

1Wat gebeurde er 19 februari?

Honderden mensen in 24 landen sloegen op dinsdag 19 februari tegelijkertijd hun slag. Van de VS tot aan Japan, van Rusland tot Duitsland, overal gingen ze met valse bankpasjes van pinautomaat naar pinautomaat en laadden ze tassen vol met bankbiljetten. Ze deden 36.000 transacties en harkten 40 miljoen dollar binnen in tien uur tijd. De pasjes waren gehackte betaalkaarten van de Bank of Muscat in Oman en van de Rakbank in de Verenigde Arabische Emiraten. Het was al de tweede overval op deze banken. De eerste was op 22 december. Toen was de buit 5 miljoen euro, verdeeld over 20 landen. Bij beide operaties werden banken in zeker 26 landen aangevallen.

In New York vonden in 2 uur en 25 minuten 750 transacties uit 140 betaalautomaten plaats. Buit: 400.000 dollar. Leider van de New Yorkse tak zou de 23-jarige Dominicaan Alberto Lajud-Pena zijn. Hij werd op 27 april in zijn woning in Santo Domingo vermoord. De politie vond in zijn huis 100.000 dollar.

2Hoe vond de overval plaats?

Een „criminele flashmob” noemde een openbaar aanklager in de VS dit weekeinde de aanval. Computerexperts hacken de database van een bank, verhogen de limieten op betaalkaarten en creëren een pincode. Anderen binnen het netwerk laden de data op een plastic kaart met een magneetstrip – een hotelkamersleutel of verlopen creditcard voldoet – en halen het geld uit de pinautomaat.

De bendeleden gebruikten malware – schadelijke software die via onder meer e-mails een computer binnendringt – om de wereldwijde database van de Bank of Muscat en de Rakbank te hacken. Toegang kregen ze via twee onbekende dienstverleners uit India, waarmee de banken zaken deden. De hackers zouden in totaal maanden zijn bezig geweest met de operatie.

En ook op 19 februari, de dag van de overval, hielden ze heimelijk toegang tot de database totdat de fraude door de banken werd herkend. Zo konden ze in de gaten houden welke bedragen uit welke automaten kwamen. Vermoedelijk is het geld daarna grotendeels witgewassen door de aankoop van luxegoederen. Een deel hebben de ‘geld-inners’ moeten inleveren bij de organisatoren. Wie dat zijn is nog niet duidelijk.

3Hoe kan zoiets gebeuren?

Individuen zijn geen geld kwijt, want de fraude werd gepleegd met debitcards, ook wel prepaid creditcards genoemd. Deze betaalkaarten zijn gekoppeld aan een rekening waarop je anoniem geld kunt storten. In dit geval werd geld uit eigen fondsen van de banken overgeschreven op debitcards van Mastercard. Ook betaalkaarten van winkelketens zijn debitcards.

De zwakte van deze kaarten is de anonimiteit. Voor een gewone creditcard moet de houder aan voorwaarden voldoen en zijn persoonsgegevens bij de bank bekend. Daardoor vallen vreemde transacties niet alleen de gebruiker op, ook bij banksystemen gaan alarmbellen rinkelen als vaak in korte tijd wordt gepind. Een prepaid creditcard kan iedereen gebruiken. Vind je vervolgens een betaalbedrijf in India dat de veiligheidseisen iets minder strikt neemt, dan blijkt 35 miljoen euro snel afgeschreven.

4Is dit de eerste keer?

De buit van 35 miljoen euro is een record, maar er zijn de afgelopen jaren verschillende grote virtuele bankroven bekendgemaakt. In 2011 werden via een hack van het Amerikaanse bedrijf Global Payments 13 miljoen dollar gestolen. Ook de Royal Bank of Scotland raakte in 2008 9 miljoen dollar kwijt. Allemaal met dezelfde modus operandi. Voor de RBS-roof werden in 2009 daders uit Estland en Rusland veroordeeld, andere ringleaders gingen tot nu toe vrijuit.

5Wat is de achilleshiel?

Een van de gehackte bedrijven, het Indiase ElectraCard, zegt dat het slachtoffer is van online inbraakpogingen die ook op andere bedrijven gericht was. Blijkbaar hebben deze dienstverleners minder stringente beveiliging dan de banken zelf – anders zouden hackers niet binnen kunnen dringen en de betaallimieten van klanten kunnen aanpassen.

6Wie betaalt dat geld terug?

De rekeninghouders van wie kaarten gehackt werden zullen niet voor de kosten opdraaien, zeggen de betrokken banken. Maar op hun beurt proberen de banken wel de schade te verhalen bij de leveranciers van de debitcards. Uit eerdere rechtszaken blijkt dat dat niet zo eenvoudig is en dat uiteindelijk de bank vaak opdraait voor de kosten. En daarmee de klanten in het algemeen. Zolang banken geen beveiligingssysteem invoeren dat gelijktijdige geldopnames in kort tijdbestek herkent en prepaidkaarten met magneetstrip zullen accepteren, blijft het risico op herhaling.