Het stelen van persoonlijke informatie via het internet is big business en met name creditcardgegevens doen het erg goed. Via beveiligingsincidenten weten aanvallers in één keer over de data van tientallen miljoenen creditcardhouders te beschikken, maar wat gebeurt er als de informatie eenmaal gestolen is? Incidenten bij ChoicePoint, CardSystems en TJX zijn algemeen bekend, wat niet gezegd kan worden van de ondergrondse markt waar men creditcards verhandelt.

Het Amerikaanse ministerie van Justitie deed uitgebreid onderzoek naar creditcarddiefstal en beveiligingsincidenten en vatte haar conclusies samen in het rapport "Data Breaches: What the Underground World of Carding Reveals". Een zeer interessant document waarvan we een aantal kernpunten samenvatten.

Carding

Carding is een term voor alle activiteiten die met het verwerken van gestolen creditcardgegevens te maken hebben. Het stelen van de informatie is pas het begin, daarna volgt een keten waarbij de data wordt gecontroleerd, verhandeld en op verschillende manieren ten gelde gemaakt. De meeste creditcardhouders lopen geen risico op financiële schade, aangezien ze hiervoor verzekerd zijn. Dat neemt niet weg dat creditcarddiefstal andere vervelende gevolgen kan hebben, zoals schending van de privacy, ongemak en beschadiging van de reputatie, zoals een Brit meemaakte die dankzij gestolen creditcarddata alles verloor en als pedofiel door het leven moest.

Wie wel met de enorme financiële schade te maken krijgt zijn de creditcardmaatschappijen en bedrijven waar de informatie gestolen werd. Die moeten nieuwe kaarten uitgeven, rekeningen op fraude monitoren, betrokken individuen waarschuwen en lopen het risico op rechtszaken. In het geval van TJX kostte het beveiligingsincident het bedrijf 256 miljoen dollar.

Shadowcrew

De gestolen data wordt meestal verhandeld op "carding forums", online fora waar creditcarddieven en andere criminelen gestolen gegevens uitwisselen, maar ook tips geven over hoe men de kaarten kan cashen en testen. Een zeer beruchte bende was de Shadowcrew, waarvan de website in 2004 door de Secret Service werd opgerold. De bende verhandelde op haar website 1,5 miljoen creditcardgegevens en veroorzaakte daardoor voor 4 miljoen dollar schade. In totaal waren er 4000 mensen lid van shadowcrew.com. Dat carding populair is blijkt wel uit recente cijfers. Vorig jaar hadden de grootste cardingforums bijna 20.000 leden.

Dump

Wie zich op dit soort fora begeeft krijgt vaak met "dumps" te maken, wat de gekopieerde informatie van de magnetische strip van de creditcard is. De creditcard-industrie noemt dit "full-track data", wat slaat op de twee sporen die op de magnetische strip aanwezig zijn. Spoor 1 is alfanumeriek en bevat klantnaam en rekeningnummer. Spoor 2 is numeriek en bevat rekeningnummer, verloopdatum en de CVV code. De meeste dumps die worden aangeboden bevatten spoor 2 data, maar in veel gevallen beide sporen.

In de afgelopen jaren zijn carders met een nieuw product gekomen, genaamd "full infos", die meer persoonlijke identificeerbare informatie (PII) dan dumps bevatten. "Full Info" of "Fulls" is een cardingterm die slaat op een verzameling informatie over het slachtoffer, zoals telefoonnummer, sofi-nummer, creditcardrekening, PINcodes, kredietgeschiedenis, meisjesnaam van de moeder en andere PII.

Dat deze gegevens in overvloed zijn te krijgen blijkt wel uit de prijzen die carders ervoor betalen. Creditcardgegevens gaan voor 50 dollarcent tot 5 dollar per kaart over de toonbank. Bankrekeningen zijn tussen de 30 en 400 dollar waard en complete identiteitsgegevens moeten tussen de 10 en 150 dollar opleveren.

Hacking en phishing

Carders verkrijgen op twee manieren hun zo felbegeerde data. De eerste is door het te kopen van hackers die het weer stelen van ondernemingen die over veel gegevens beschikken. Denk aan financiële instellingen, handelaren, creditcard providers en transactieverwerkers. In dit geval gaat het vaak om miljoenen gegevens. De tweede manier is het gebruik van phishingaanvallen. Carding fora bieden phishing-handleidingen en toolkits voor het opzetten van phishingsites.

Eenmaal voldoende gegevens binnengehengeld, is het tijd om de data te misbruiken. Dat kan bijvoorbeeld via "card not present" transacties, waarbij er online met de gestolen creditcard wordt gewinkeld. Om deze vorm van fraude tegen te gaan introduceerden de creditcardmaatschappijen de CVV2 code, die achterop de kaart staat. Aangezien deze code bij veel transacties verplicht is, zijn dumps met CVV2 codes meer waard.

Carders die online de gestolen creditcards ten gelde maken houden zich soms ook bezig met "carding to a drop". In deze gevallen koopt men online goederen die op andere lokaties worden afgeleverd, bijvoorbeeld bij een katvanger, die de spullen dan weer doorstuurt.

Creditcardfraude wordt pas echt naar in het geval van "change of billing" (COB), een vorm van dienstverlening waarbij de carder over voldoende informatie van het slachtoffer beschikt om zijn of haar factuuradres te laten wijzigen in het adres waar de goederen worden afgeleverd. Aangezien veel winkels producten alleen maar leveren naar lokaties waarvan het factuuradres gelijk is aan het afleveradres, verhogen COB-diensten de kans dat een gestolen creditcard-account niet wordt geweigerd.

Een andere manier om gestolen creditcardgegevens te misbruiken is "in-store carding", waarbij er een valse kaart met gestolen creditcardgegevens wordt gebruikt. Doordat de carder de winkel moet bezoeken zijn deze vormen van carding een stuk riskanter. Dat geldt niet voor de technische uitvoering, want lege kaarten en apparaten om kaarten te beschrijven zijn vrij eenvoudig verkrijgbaar. Zodoende is de gestolen dump eenvoudig over te zetten naar de lege kaart, waarna men kan gaan winkelen.

De derde vorm die carders toepassen is ‘cashing’. Hierbij pint men via een creditcard geldbedragen, wat alleen mogelijk is als de dump ook de PINcode van het slachtoffer bevat. Als laatste houden sommige carders zich bezig met "gift card vending", het kopen van cadeaubonnen bij winkels die men dan tegen een gereduceerd tarief doorverkoopt.

Naast criminelen houden volgens de Amerikaanse overheid ook drugsverslaafden en terroristen zich bezig met het stelen van persoonsgegevens. Er zijn gevallen bekend van verslaafden die via phishingaanvallen creditcardgegevens probeerden te stelen. Wat betreft de terroristen kan carding helpen bij de financiering van hun activiteiten. Zo moedigde de Indonesische Imam Samudra het gebruik van carding aan en werden in Groot-Brittannië drie mannen veroordeeld die via gestolen creditcardgegevens hun Jihadistische websites betaalden.

Aanpak

Het aanpakken van cardingbendes blijkt in de praktijk een groot probleem, met name omdat de carders zich over de hele wereld bevinden. Bij het oprollen van de Shadowcrew organisatie waren Nederland, Rusland, Groot-Brittannië, Canada, Bulgarije, Wit-Rusland, Polen, Zweden en de Oekraïne betrokken.

Dat de "vijand" weet waar hij mee bezig is blijkt wel uit de zaak van Max Ray Butler, ook bekend als de Iceman. Hij huurde via valse identiteiten hotelkamers en gebruikte dan een krachtige antenne om draadloos netwerkverkeer te onderscheppen. Op deze manier wist hij creditcardgegevens en andere PII te stelen.

De eerste stap is volgens de Amerikaanse overheid het voorkomen dat carders en hackers de informatie in handen krijgen. Ondernemingen die zich met deze data bezighouden moeten daarom meer doen om zich aan standaarden te houden, iets waar nog veel winst is te boeken. Verder is de wetgeving die bedrijven verplicht om beveiligingsincidenten te melden van vitaal belang voor het onderzoek naar cardingbendes. Zou de wetgeving er niet zijn, dan zou justitie nooit iets te horen krijgen.

Ook moeten er strengere straffen komen. Hackers en identiteitsdieven krijgen nu nog lage straffen omdat ze jong zijn en het niet om gewelddadige misdrijven gaat. Onlangs is er een voorstel gepresenteerd dat hackers die zich met creditcarddiefstal bezighouden harder aanpakt. Verder roept het rapport op om andere landen zover te krijgen dat ze identiteitsdiefstal strafbaar stellen en moet er meer samenwerking plaatsvinden. Het is echter niet alleen de overheid die actie moet ondernemen, dat geldt volgens de auteurs ook voor de private sector, die meer moet doen om haar systemen te beschermen.