Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 40, views: 17.294 •

Het Amerikaanse bedrijf Heartland, dat creditcardtransacties verwerkt, heeft bekendgemaakt dat onbekenden er met behulp van malware in geslaagd zijn de gegevens van mogelijk miljoenen creditcards te onderscheppen.

CreditcardsHeartland Payment Systems verwerkt maandelijks honderd miljoen transacties, afkomstig van 250.000 Amerikaanse bedrijven. Naar schatting 40 procent van de verwerkte gegevens zijn afkomstig van kleine tot middelgrote horecabedrijven. De Amerikaanse betalingsverwerker was getipt door Visa en Mastercard, die de afgelopen maand veel verdachte transacties signaleerden. Heartland besloot direct de Amerikaanse geheime dienst en twee forensische onderzoeksbureaus in te schakelen. Na enig speurwerk werd vorige week malware op het interne netwerk van het bedrijf ontdekt. Onduidelijk is hoe lang de malware al op het netwerk aanwezig was, hoe het er terecht is gekomen en hoeveel betalingsgegevens exact zijn onderschept.

Heartland benadrukt dat er geen pin-codes, sofi-nummers of andere persoonlijke gegevens zijn gestolen. De onderschepte betalingsgegevens bevatten echter wel de data die op de magneetstrip van creditcards is opgeslagen, waaronder namen, creditcardnummers en de verloopdatum. Hierdoor is het voor criminelen relatief eenvoudig om met behulp van de gegevens van de accounthouder een creditcard na te maken. Omdat ze echter geen adresgegevens buitgemaakt hebben, zou het aanmerkelijk lastiger zijn om online te shoppen met de gestolen gegevens, zo meldt Robert Baldwin, directeur en CFO van Heartland, aan The Washington Post.

Deskundigen vinden dat Heartland lang met de openbaarmaking van de kraak heeft gewacht; die openbaarmaking is in de VS wettelijk verplicht. De bekendmaking viel bovendien samen met de inauguratie van president Obama. Creditcardgebruikers krijgen het advies om de komende tijd nauwgezet hun afschriften in de gaten te houden en eventuele verdachte transacties direct te melden. Gedupeerden zullen naar alle waarschijnlijkheid worden gecompenseerd.

De grootschalige kraak van Heartland toont opnieuw de kwetsbaarheid aan van bedrijven die creditcardtransacties centraal verwerken. In maart vorig jaar werden de servers van de Amerikaanse supermarktketen Hannaford Brothers gekraakt. Ook bij deze zaak werd malware gebruikt om de gegevens buit te maken. In 2007 werd de retailer T.J. Maxx het slachtoffer van creditcarddiefstal. Daarbij werden de gegevens van ten minste 45,7 miljoen kaarthouders gestolen, een zaak die tot nu toe te boek stond als de grootste roof van creditcard-gegevens ooit.

Reacties (40)

En dan moet ik zeggen dat ik heel blij ben met het Nederlandse Debet gebaseerde PIN systeem. Het ergste wat hier gebeurt is dat je pinpas geskimmed wordt, maar zelfs daar zijn banken vrij accuraat bij. Voorbeeld: Mijn pas was ineens geblokkeerd, postbank nam contact met me op, en legde me uit dat ik in de afgelopen maand bij een automaat heb gepint (zal wel Groningen CS zijn) die gemanipuleerd was. Als voorzorgsmaatregel alle passen die daar door zijn gegaan geblokkeerd, en een nieuwe (oranje ING) pas thuisgestuurd gekregen. Kosteloos. Ze wisten me zelfs te vertellen dat er nog geen opname in Boekarest was gebeurt, gelukkig.
Het blijft een afweging; heel veilig en daardoor gebruiksonvriendelijk maken of minder veilig maar wel gebruiksvriendelijk. Tevens zijn de kosten van vergoeding van fraude vele malen minder dan de kosten om je betalingssysteem extreem veilig te maken.
Geloof me, dit systeem is zo gek nog niet, heus wel over nagedacht.
Geloof me, dit systeem is zo gek nog niet, heus wel over nagedacht.
Het is inderdaad een kosten-afweging. Maar wat als het skimmen dusdanige vormen aanneemt dat de bank gaat overwegen wat de kosten zijn van ontevreden klanten of het vergoeden van de geplunderde rekeningen? Is het dan nog steeds niet zo'n gek systeem?
Ik heb het gevoel dat het ook een prestige kwestie is. Het aantal fraude gevallen is vele malen hoger sinds en online betalingen met de credit card gedaan worden.

Ik hoop dat dit mede door de krediet crisis de andere kant op doorslaat en dat een een systeem komt vergelijkbaar met het Nederlandse systeem.

Ik zie heel vaak van bestellingen af omdat ik er perse een credit card voor moet gebruiken. (Ik heb een credit card maar deze gebruik ik allen in het uiterste geval).
Het aantal fraude gevallen is vele malen hoger sinds en online betalingen met de credit card gedaan worden
Onzin. De meeste fraude met creditcards gebeurt nog altijd bij real life transacties, waar dus de pas fysiek gescand wordt achter een balie.

Het enige verschil tussen real life fraude en online fraude is dat indien een transactieserver wordt gehacked, er gelijk een hele database aan gegevens op straat ligt, i.p.v. n individueel nummer.

Daarnaast is het ook nog eens zo dat in de algemene voorwaarden van creditcards de betaler in eerste instantie de bescherming geniet; het is aan de ontvanger om aan te tonen dat een betaling legitiem is. Daar hoef je dus bij de Nederlandse banken niet mee aan te komen.

Dientgevolge heb ik, na twee serieuze hackpogingen op m'n Postbankrekening, internetbankieren maar vaarwel gezegd en betaal ik online alleen nog per creditcard, al dan niet met PayPal als intermediair. Toegegeven, de Postbank was er gelukkig als de kippen bij om een verdachte actie te ondervangen en te blokkeren, maar laat tot op heden na mij te kunnen garanderen dat dit niet nog een keer gebeurt.
tja, maar de omschakeling naar pin/creditcardbetaling via chip vergt ook aanpassing/vervanging van betaalautomaten. dat kostenplaatje komt deels bij ondernemers, deels bij banken. ook erg omvangrijk; als ik zie dat ik al jaren een visa met chip heb, en pas mondjesmaat met chip moet betalen als ik 'm door de magneetstrip lezer haal.

je zou gewoon touchscreen moeten hebben, waarbij getallen op wisselende plek staan. zie je bij toegangsbeveiliging ook steeds vaker.
Met als nadeel dat je moet KIJKEN wat je typt in plaats van dat je eenmalig je middelvinger op de 5 legt en je motorisch geheuren zorgt voor het intypen van je PIN-code met je ene hand terwijl je het toetsenbord met je andere hand afdekt.
Eerst en vooral: kan je eens uitleggen hoe touchscreen het ding minder gevoelig maakt voor kopieren? Mi kan skimming net zo goed met een magneetstrip/touchscreen.

Heel intrigerend trouwens, dat in Nederland de omschakeling van magneetstrip naar chip nog niet doorgevoerd is. In Belgie is het leeuwendeel van de transacties via chip. De bankautomaten zijn al jaren omgeschakeld, het meerendeel (misschien zelfs alle?) kaartlezers in winkels ook. Ik kan me niet meer herinneren wanneer 'k voor het laatst een kaartlezer met enkel magneetstrip heb gebruikt. Zijn chips in Belgie goedkoper? :)
De chip op de chipknip is anders gevoeliger voor storingen dan het magneetstrip bij het pinnen... Het chippen gaat bij mij vaker niet goed dan het pinnen.
het gaat hier niet om de chipknip, maar om de chip van het "nieuwe betalen"

(weet niet of je dat bedoelt, maar ik heb iig vaak dat me chipknip het niet doet, en gewoon de magneetstrip wel)
Jij hebt duidelijk geen kaas gegeten van security en de afwegingen die daarbij komen kijken.

Volledige veiligheid is totaal niet bruikbaar en duur. Niemand wil zoiets.

Je moet altijd een afweging maken tussen bruikbaarheid, kosten van je security en kosten wanneer je security gebroken wordt.

Veel veiliger dan pin zal het op korte termijn niet worden ben ik bang.
En wat maakt dat dan beter? Liever dat de PIN van de credit card onderschept wordt dan die van je debet card.

Bij debet cards ligt de bewijslast meestal bij de houder van de kaart n is het geld bovendien direct verdwenen terwijl een credit card maatschappij je meestal niet aansprakelijk stelt voor onderschepte PIN. Die moeten het namelijk veel meer van vertrouwen hebben.
Die moeten het namelijk veel meer van vertrouwen hebben.
Dat was tot een paar jaar geleden misschien zo.
Nu is het in deze tijd van kredietcrisis zo dat ook de gewone bank vertrouwen moet uitstralen.
Als je pinpas geskimt word dan krijg je gewoon ALLES terug van de bank hoor. als jij om 2 uur ergens pint, en om 5 uur word in pole je hele rekening leeggetrokken dan moet je toch wel erg hard hebben gereden om dat zelf te doen he
Hoe doen die skimmers dat dan? ;) Bij creditcards heb je voldoende aan het nummer + naam + vervaldatum, dat kun je nog SMSen als het moet. Maar bij PIN passen zul je toch echt die strip op een lege kaart moeten kopieren (al zul je dat ook vast binair door kunnen sturen).

Ze werken volgens mij gewoon met 'high risk' landen. Als daar spontaan betalingen gedaan worden die voldoen aan bepaalde criteria (transactie la 'haal die rekening zsm leeg'), dan gaat het slot erop.

Van dit [klik] soort acties wordt ik eerder bang. Ga jij als consument maar eens aan een bank vertellen dat hun eigen systeem niet meer veilig is. "Maar natuurlijk meneer."

[Reactie gewijzigd door Rick2910 op 22 januari 2009 10:26]

In principe is het altijd de schuld van de winkel (er van uit gaande dat je in een winkel word geskimt, wat meestal wel het geval is).

Wat er haast altijd word gedaan is een kastje over de pin apparatuur plaatsen die er al staat, dit is te herkennen doordat het pinapparaat opeens "groter" is dan normaal (scheelt ongeveer 3 centimeter). verder zitten meestal op de toetsen voor blinden niet de bobbeltjes (uit me hoofd de 5, de ok en de stop knop). En waar het het makkelijkst aan te herkennen is, is dat er een 2e barcode lezer in zit. kijk maar eens in de gleuf van een pinapparaat, hier zie je dan een soort bobbel zitten, dat is de barcodescanner, wanneer een apparaat geskimt is zijn er dus 2.

Wat er dan gebeurt is dat ze je magneetstrip uitlezen, en de ingetoetste toetsen (in juiste volgorde) daarbij opslaan. dan hebben ze dus alles wat ze nodig hebben.

Vervolgens halen ze of later op de dag het apparaat weer op, of word er 's avonds ingebroken en het apparaat weer meegenomen. En het enige wat ze dan nog hoeven te doen is de gegevens doorsturen naar land X in het Oostblok of waar dan ook, daar worden gewoon pasjes gemaakt met de gegevens en word de rekening leeg getrokken.

Het lastige is dat winkel personeel hier niet op let, en alle betalingen gewoon worden verwerkt, maar ondertussen dus ook de gegevens worden opgeslagen (waar je niets van merkt). Bij het bedrijf waar ik werk zijn kaartjes om de grote te controleren, en is er iets opvallends op de pin apparatuur geplakt waardoor het dus snel te zien is als er iets overheen is geplaatst.
Creditcard maatschappijen zijn net zo alert op misbruik hoor. En daarbij zijn Nederlandse banken lang niet altijd zo coulant.
Leuk, alert op misbruik... maar het probleem zat em intern bij de maatschappij. Gaat wel even verder dan een simpele skimactie op het station of iets dergelijks. Vind hun alertheid dan nogal tegenvallen als je het artikel leest :/ Maar ja... dit soort dingen zul je altijd houden, dat ligt aan de techniek en methoden die gebruikt worden, en daar kun je niet omheen.
Dit was geen credit card maatschappij maar een payment processor waar het lek zat. Die hebben geen inzicht in het gebruik of saldo van gebruikers en kunnen dus ook niet alert zijn op ongebruikelijke transacties of patronen.

Credit card maatschappijen zijn daar over het algemeen vrij alert op, soms zelfs op het vervelende af dat je een telefoontje van ze krijgt als je op vakantie bent in een vreemd land en ineens een groot bedrag pint en dergelijke.
Kostenloos? Zit gewoon bij je lidmaatschap in hoor.
Ik wil niet veel zeggen, maar in zembla http://zembla.vara.nl/Voo...1974&cHash=08d8d52ce4 hebben ze toch echt aangetoond dat nederlandse gegevens ook niet veilig zijn.
De link die je geeft betreft ook credit card, die is in ieder land even onveilig.
En niet de bankpas die je in Nederland gebruikt om online betalingen te doen.

[Reactie gewijzigd door worldcitizen op 22 januari 2009 08:20]

CC's zijn zo brak als wat, het enige prettige is dat een CC-maatschappij garandeert dat jij geen (directe) schade lijd door misbruik. m.a.w. als je pas gekopieerd is en misbruikt wordt doet de CC-maatschappij onderzoek en als jij bezwaar maakt vergoeden ze jou de onterechte kosten. Maar verder is het systeem om met CC te betalen zo lek als een mandje en gebaseerd op een onterecht vertrouwen.

Daarnaast is het super-eenvoudig online te shoppen met een 'gekraakte' CC, je hoeft nl lang niet altijd een correct adres op te geven. Met andere woorden: de CC< - > adres check is ook maar schijn.
Daarom hebben de meeste creditcards tegenwoordig een chip en is de chip ook al ingeburgerd in veel Europese en Aziatische landen. Daarmee is het mogelijk een flink deel van de fraude te voorkomen, of in elk geval focussen de frauders nu op iets anders ;)
Volgens mij voorkomt deze chip dit soort fraude als je een internet betaling doet.

Puur omdat je hiervoor alleen:
Credit card number
Expiry date
Card Verification Value/Code 2
Naam kaarthouder


Dit zijn allemaal gegevens die malware kan loggen en opsturen.
"De grootschalige kraak van Heartland toont opnieuw de kwetsbaarheid aan van bedrijven die creditcardtransacties centraal verwerken". Dat is niet het enige dat aangetoond wordt. Wat m.i. aangetoond wordt is dat al het elektronisch betalingsverkeer per definitie onveilig is. Het blijven maar nulletjes en eentjes (vaak beheerd door eendjes)
Gewoon geen creditcards gebruiken, het is eigenlijk alleen maar overbodige luxe en je kan best zonder. iDeal werkt ook prima online.
Alleen jammer dat iDeal nog niet overal werkt (sterker nog, alle betalingen die ik afgelopen maand gedaan heb via internet waren niet via iDeal te betalen, dus een CC is helaas nog bittere noodzaak)
Je kunt meestal zonder maar als je een bestelling in bijvoorbeeld de VS wil doen heb je deze helaas nog nodig als ze geen paypal accepteren.
Hopelijk dat de krediet crisis er voor zorgt dat de huidige credit card vervangen wort door een systeem vergelijkbaar met het Nederlandse systeem.

Doordat de credit card zo onveilig is zijn, wordt deze heel vaak misbruikt.

Tot aan de krediet crisis was het allemaal geen probleem ze namen aan aantal fraudes voor lief en betaalde de kant het geld terug. Dit kost allemaal geld en in het oog van de krediet crisis zou het zo kunnen zijn dat het compenseren van de klant te duur gaat worden.
De creditcard met chip is niet onveiliger dan een pinpas zelfs veiliger voor non-online winkelen. Voor het online winkelen is het noodzakelijk dat er een oplossing komt die anders is dan alleen wat nummertjes die je in moet vullen. Een soort randomreader / ander kastje zou het een stuk veiliger maken, maar weer een stuk minder gebruiksvriendelijk
Deze post gaat over online winkelen dat is ook de plaats waar de meeste credit card fraude gevallen plaats vinden.

Als je een random reader krijgt kan het nog steeds een credit card genoemd worden. Maar dan lijkt het meer op de Nederlandse bankpas dan op de huidige credit card.
Hoe kan het dat deze systemen gekraakt kunenn worden door malware?

Houdt dit in dat dit soort systemenn op Windows-rommel draaien?

Zo ja, is het dan niet verstandig om bedrijven te verplichten dat systemen die dit soort gvoeilige gegevens verwerken geen Windows-systemen zijn maar.....?

Of zijn voor andere systemen ook volop malware ed aanwezig om gegevens te jatten ed.?
Het systeem wordt niet gekraakt. De malware is een intelligente logger. Die alle informatie logt en doorstuurt die nodig is om credit card betalingen te doen.
Houdt dit in dat dit soort systemenn op Windows-rommel draaien?
De malware draait op het systeem van de gebruiker niet op de server.

(IMO is malware momenteel een grotere bedreiging dan virussen, ondanks dat op de laatste meer nadruk gelgd word).

De ideale manier om malware te distriburen is om het te piggy backen aan een stuk software dat illegaal gedownload wordt. Vooral het type waar een crack op uitgevoerd moet worden waarbij de virusscanner uitgeschakeld moet worden. De gene die het illegaal gedownload heeft zal zeker geen contact opnemen met de leverancier van de originele software waardoor deze pakketten lang kunnen blijven bestaan.

[Reactie gewijzigd door worldcitizen op 22 januari 2009 09:20]

Je geeft aan dat de mailware draait op het systeem van de gebruiker en niet op de server (ik neem aan dat je de server van dat bedrijf bedoelt?).

In de tekst staat echter:
Na enig speurwerk werd vorige week malware op het interne netwerk van het bedrijf ontdekt.

Dus.... nogmaals mijn vraag.
Jammer dat de term hacker hier weer in negatieve zin wordt gebruikt.... Ooit probeerde men nog onderscheid te maken tussen computernerds met goede en kwade bedoelingen door de termen Hacker en Cracker te gebruiken. Helaas is dit nooit echt aangeslagen....

In the early days was het dus cool om hacker te zijn maar door dit gebruik heeft een hacker een negatieve bijsmaak... jammer genoeg.
Dit heeft toch ook niets te maken met de veiligheid van creditcards, pincodes of betalingsmethoden?
Dat bedrijf moet dan ook gewoon zijn systeembeheerder op staande voet ontslaan.

Als je geen aandacht besteed aan interne security zoals je werkstations en lokale servers terwijl er zoveel belangrijke gegevens over het interne netwerk gaan ben je gewoon dom bezig.

Dit is hetzelfde als een dikke vette firewall opzetten en dan vervolgens een van je medewerkers met een ongepatchte Windows 95 PC met IE4 het internet opsturen. 8)7
Wel weer jammer dat de auteur hier abuisievelijk spreekt over de Amerikaanse geheime dienst. Het stuk gaat namelijk over de U.S. Secret Service, die belast is met fraude en valsmunterij. De geheime dienst van de U.S. is de C.I.A., en die hebben niets met CC fraude en Carding van doen.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Tablets Luchtvaart Crash Smartphones Laptops Microsoft Apple Games Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013