De illegale verkoop van creditcardnummers is een megahandel. Door zich te richten op de kassasystemen van winkels proberen cybercriminelen in één keer een zo groot mogelijke buit binnen te slepen.

We weten allemaal van het bestaan van computervirussen en misleidende e-mails die om onze wachtwoorden vragen. Maar cybercriminelen ontwikkelen in de afgelopen jaren ook steeds vaker zogenoemde 'point-of-sale malware'.

Die schadelijke software infiltreert de systemen van individuele winkels of zelfs hele winkelketens, en kijkt mee met de elektronische betalingen die klanten doen. Creditcardnummers worden geregistreerd en later verkocht op verborgen zwarte markten in de krochten van het internet, zodat ze kunnen worden gebruikt om geld op te nemen of om online spullen te kopen op de rekening van een ander.

Met name rond de feestdagen hebben cybercriminelen al meermaals grootschalig toegeslagen, meestal in de VS. In 2013 werd de enorme winkelketen Target rond Thanksgiving - in de drukste winkelperiode van het jaar - getroffen door malware. De gegevens van een slordige 70 miljoen klanten werden buitgemaakt door criminelen.

De schade liep op tot rond de 150 miljoen euro, omdat systemen moesten worden vervangen en rechtszaken moesten worden afgehandeld.

Dezelfde malware die Target te grazen nam - met de naam BlackPOS - trof minder dan een jaar later Home Depot, waardoor 56 miljoen klanten de dupe werden. Vorige maand meldden de hotelketens Hilton en Starwood allebei dat zij waren getroffen door een virus in de betaalsystemen.

“We zien dat cybercriminelen steeds innovatiever worden in het achterhalen van data.”
Albert Kramer

Innovatief

"We zien dat cybercriminelen steeds innovatiever worden in het achterhalen van data", zegt Albert Kramer, technisch directeur continenteel Europa van beveiligingsbedrijf Trend Micro.

Volgens hem wordt steeds geavanceerdere malware ingezet, bijvoorbeeld om een specifiek soort betaalsysteem te infiltreren. Deze week werd nog een nieuwe malwarevariant aangetroffen die zich richt op winkels in de VS en Canada.

De makers van deze schadelijke software zijn vaak zelf niet degenen die netwerken infiltreren. In plaats daarvan verhuren zij de malware via online marktplaatsen aan mensen, die met minder technische expertise aanvallen kunnen uitvoeren. "Dat is een hele markt die onzichtbaar is voor de normale wereld", zegt Kramer.

Op speciale carding-marktplaatsen verkopen de criminelen hun buit vervolgens weer door aan mensen die de gestolen creditcardnummers daadwerkelijk gaan gebruiken. "Je kan duizenden carding-forums vinden waar creditcarddumps worden verkocht", zegt fraudespecialist Massimiliano Michenzi van de Europese opsporingsinstantie Europol.

Chip-en-pin

Het is geen toeval dat veel van de getroffen systemen zich in de VS bevinden. De creditcards en betaalsystemen die daar worden gebruikt zijn vaak slecht beveiligd. Kaarthouders halen de magneetstrip van de creditcard door een machine en zetten daarna een handtekening. Er komt meestal geen pin-code aan te pas.

"In Europa biedt de chip-en-pin-beveiliging een goede verdediging", zegt Michenzi. De meeste malwarevarianten lezen kaartinformatie af uit het werkgeheugen van betaalterminals. De informatie op een magneetstrip kan op dat moment worden gekopieerd.

Met chippassen zijn de gegevens versleuteld en is dat dus niet mogelijk. Cybercriminelen moeten zich in Europa daarom veelal richten op het onderscheppen van data in een later stadium, of op het hacken van creditcarddatabases van bijvoorbeeld webwinkels.

"In gebieden met chip-en-pin-beveiliging voor betaalpassen zagen we meer aanvallen op webwinkels en betalingsverwerkers dan in eerdere jaren", stelde beveiligingsbedrijf Mandiant in zijn meest recente jaaroverzicht.

Daarom moeten consumenten er vooral voor zorgen dat zij bij webwinkels en betaaldiensten een goed wachtwoord gebruiken, zegt Michenzi. Zo maken ze het voor cybercriminelen in ieder geval moeilijker om hun individuele account binnen te dringen.

Bedreiging

Maar voor consumenten is het verder lastig is zich te beveiligen tegen betaalfraude. Bij het gebruiken van betaalterminals moeten zij erop vertrouwen dat die niet is geïnfecteerd, en het is nauwelijks te controleren of webwinkels hun zaken achter de schermen goed op orde hebben.

Ondanks het gebruik van pincodes is ook een Nederlands creditcardnummer in combinatie met de driecijferige code op de achterkant veel geld waard. In een winkel kun je weliswaar niet betalen zonder pincode, maar online is dat anders. "Je hebt geen pin nodig om bij Amazon of Bol.com zaken te doen", zegt Kramer van Trend Micro.

"Dat is dus een bedreiging, zeker in de periode waar er heel veel transacties plaatsvinden, zoals met Sinterklaas of Kerst. Als je die software gekocht hebt en gaat misbruiken, dan is dat het moment om het in te zetten."

“We kunnen niet aannemen dat ze deze verdedigingslinie niet zullen omzeilen.”
Massimiliano Michenzi, Europol

Creatief

Cyberboeven hebben in het verleden bovendien al bewezen dat ze op steeds creatievere manieren geld weten te verdienen. Europol rolde eerder dit jaar in Frankrijk een bende op die valse betaalterminals had ingezet om creditcards te kopiëren.

Na hun 'aankoop' kregen klanten een nepbonnetje of kregen ze te horen dat de verbinding was mislukt. In werkelijkheid was hun betaalkaart gekopieerd, de pincode genoteerd en werd zo'n 3 miljoen euro gestolen uit de rekeningen van de gedupeerden.

Bedrijven en hun informatiebeveiligers moeten daarom op hun hoede blijven, zegt Michenzi van Europol. Creditcards zijn in Nederland relatief goed beveiligd, maar criminelen zoeken altijd naar nieuwe lekken. "We kunnen niet aannemen dat ze deze verdedigingslinie niet zullen omzeilen."

Lees meer achtergrondverhalen in NUweekend