Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 50, views: 31.310 •

Dieven zijn er eind vorig jaar met behulp van prepaid betaalkaarten in geslaagd om in totaal 11 miljoen dollar buit te maken. Door het verwijderen van de opnamelimiet die voor dergelijke kaarten gelden, konden zij het gestolen geld binnen een dag opnemen.

De diefstal werd in ten minste twaalf landen gepleegd en vond plaats op kerstavond vorig jaar. Daarbij slaagden de criminelen erin om binnen enkele uren met slechts een klein aantal prepaid betaalkaarten 9 miljoen dollar op te nemen. Op oudjaarsdag sloegen de dieven opnieuw toe, maar namen dit keer 'slechts' 2 miljoen dollar uit de pinautomaten mee.

Kort na de eerste geldroof uit de pinautomaten bleek de Amerikaanse betalingsverstrekker Visa al op de hoogte te zijn, zo blijkt uit een document dat online is gezet door Krebs on Security. Het voorval werd echter toen niet publiekelijk gemaakt.

Het is nog onduidelijk hoe de dieven er precies in slaagden om de opnamelimiet van de betaalkaarten te verwijderen. Normaalgesproken is er een limiet ingebouwd die ervoor zorgt dat er niet meer dan een bepaald bedrag opgenomen kan worden binnen een tijdsbestek van 24 uur, om misbruik te voorkomen. Ook is nog onduidelijk wie er precies slachtoffer zijn geworden van de geldroof.

Reacties (50)

Dat is dan makkelijk verdiend. Als Visa ervan op de hoogte was, moeten andere banken dat ook zijn. Je zou toch verwachten dat een bank een limiet instelt en dat je niet automatisch meer mag opnemen op een kaart dan dat, niet alleen op het pasje, maar ook in het interme systeem. Het klinkt als een enorme blunder en ik ben bang dat dit vaker gebeurd - alleen kwam het nu naar buiten.
Dat dit eerder is gebeurd is absoluut niet waar.

Ik heb een tiental jaren met oa Mastercard en Visa systemen gewerkt, alsook Nederlandse bankverkeerssystemen. Voor de creditcards en betaalpassen zit er een limiet in die niet overschreden kan worden dmv een online authorisatie (3e gea trx wordt standaard afgewezen evenals een overschrijding van de opnamelimiet, cashopnamelimiet of gea-limiet (het apparaat).

Ik ken deze prepaid kaarten niet, dit systeem is ongetwijfeld gerelateerd aan het systeem voor chip(knip)kaarten en bijvoorbeeld oplaadbare interne betaalkaarten voor kantines, deze hebben min of meer hetzelfde probleem, deze systemen werken nu eenmaal anders... Maar goed, ze waren er al lang van op de hoogte dat dit probleem zich zou gaan voordoen want dat wisten we (ons bedrijf) destijds al met de chipknip...

Tsja, ik weet natuurlijk nog veel meer, maar kan dat echt niet allemaal gaan schrijven natuurlijk ;) Het is in ieder geval nooit eerder gebeurd.
Behalve als je je Nederlandse pas in Engeland bijv. gebruikt. Normaal kun je maar een keer per dag pinnen, maar als je in de UK naar een cash-machine gaat, er een bedrag uithaalt en binnen 10 minuten hetzelde doet bij een ander apparaat kan het wel. Er lijkt een vertraging in te zitten voor dit geregistreerd word.
Leuk kerstcadeautje voor hun. Is aan de andere kant ook weer raar dat die betaalautomaat geen check heeft ingebouwd zitten om te controleren wat de totale uitgifte is. Lijkt me toch niet zo slim om een klant een miljoentje te laten opnemen?
Volgens visa ging dit samen met een hack:
These attacks result from hackers gaining access to issuer authorization systems and card parameter information. Once inside, the hackers manipulate daily withdrawal amount limits, card balances and other card parameters.

Hackers have been able to penetrate an internal network through the following exploits:
• Web-based vulnerabilities, such as SQL injection
• Establishing continuous remote access to the internal network through a “back door”
• Compromising internal systems passwords using a password-cracking program
• Mapping the internal network infrastructure
Als je de opnamelimiet en het saldo kunt aanpassen, is deze buit niet zo vreemd meer.
SQL injection bij een bank, anno 2013, ongelooflijk. Je moet heden ten dage bijna moeite doen om je inputs niet te sanitizen :X

[Reactie gewijzigd door Petervanakelyen op 7 februari 2013 21:48]

Dat een bedrijf als Visa web apps heeft draaien die blijkbaar gevoelig zijn voor SQL injections is te schandelijk voor woorden. Om over de rest maar te zwijgen.
De fout zit niet bij Visa. Visa doet juist alles om partijen over SQL injections te informeren.
Maar informeren lijkt me in het geval van een bank simpelweg niet genoeg. Security audits uitvoeren bij derde partijen kan toch niet meer kosten dan de bedragen die het ze jaarlijks aan fraude kost?
kosten baten analyses en verzekeringsmaatschappijen enz.... .

De dieven hebben dat goed voor elkaar. 9M dollar daar kan ik van gaan rentenieren :+
Establishing continuous remote access to the internal network through a “back door”
Dit vind ik een heel erg opvallende! Een back door impliceert namelijk altijd opzet. Niet per se opzet van Visa of vergelijkbare partij, het kan ook door een virus aangebracht zijn. Maar als een back door eenmaal bestaat, slaat dit gelijk een krater in je beveiliging. Mijns inziens is een back door, op fysieke toegang na, de meest gevaarlijke soort.
Volgens mij zijn die hacks niet toevallig (in die volgorder) hoor. Eerst een lek slaan in de beveiliging met een SQL injection: je hebt plots toegang tot het netwerk. Dan plaats je een back door voor "continuous remote access to the internal network". Daarna wil je admin access dus je brute-forced een van de servers - als je de credentials van een administrator hebt kan je overal binnen dus ga je op zoek naar de servers waar je die kaart-parameters kan aanpassen. Is die beveiligd met een ander wachtwoord? Je kan op het netwerk wel gegevens vinden die je toegang geeft tot ofwel een admin account van dat andere systeem ofwel tot een manier om een nieuwe user aan te maken.

Wel belachelijk dat het allemaal kan natuurlijk :/
Ik kan me uit de tijd van het ParkAdammertje herinneren dat je de prepaid parkeerkaarten op simpele wijze kon opladen, als in, in 10 sekonden weer 100 euro saldo erop.....insteken en uithalen.
Ik heb zelfs gehoord dat versleten veelvuldig opgeladen kaarten gewoon vol ingeleverd werden toen het systeem er uit ging, en dat dat saldo gewoon uitbetaald werd door parkeerbeheer....
Zo`n opladerkastje, ter grootte van een 2,5"HDD behuizing, kostte toen iets van 150 euro geloof ik......

Ik kan me voorstellen dat je dat ook met (anonieme) prepaid creditcards zou kunnen en dat gelijk het nummer gewijzigd wordt. (geen idee of daar ook zo`n chip op zit)
Max opnemen>opladen+ ander prepaidnr>Max opnemen>etc.
Niet alles op één nummer maar bijvoorbeeld 100 opnames van 1000 euro, met verschillende nummers, geen haan die daar naar kraait.
Supersimpel en even zorgen dat je niet met je toetje op camera komt.

Dat de banken daar dan een heel verhaal omheen bouwen dat ze én gehackt, én..., én..., én...., én.... vóórdat dit mogelijk was lijkt me eerder zelfbescherming en FUD dan realiteit.
Imo zit alles dan wel heel zwak in elkaar als je op 5 manieren tegelijk moet hacken, zonder dat ergens een belletje af gaat.
Als je al die systemen kunt penetreren en manipuleren met slechts één man bij een flappentapper die slechts één kaart erin steekt en hem leeghaalt, in 12 landen tegelijk, dan ben je geniaal......

Ik droom alleen maar van een flappentapper die op hol slaat en blijft uitkeren. _/-\o_

[Reactie gewijzigd door Teijgetje op 8 februari 2013 02:32]

9 miljoen dollar uit de pinautomaat. Das toch een knap logistieke operatie geweest dan, ik weet niet hoeveel er in een geldautomaat zit maar als dat 20.000 dollar is dan heb je dus wel 450 geldautomaten nodig om dit te bereiken.

Wat is dan een beperkt aantal passen vraag ik mij af gezien het korte tijdsbestek...
De diefstal werd in tenminste twaalf landen gepleegd
Nee, dit was niet kleinschalig inderdaad.

[Reactie gewijzigd door BeefHazard op 7 februari 2013 21:55]

Ik denk dat er beduidend meer in zo'n machine zit. Als ik naar een machine ga haal ik meestal 100 euro of meer. Bij de ING is er een voorkeuze van 70 euro, snel geld, en dat zal wel een gemiddelde zijn.
En als ik dan de rijen zie, de hele dag, zonder dat er wordt bijgevuld....

Maar het bedrag gaan ze nooit publiek maken, dat zou niet slim zijn.
Het is in ieder geval de moeite waard om de boel tot ontploffing te brengen en daarna snel weg te rijden met de buit.
De meeste automaten worden langs binnen gevuld (achterkant), zou al te gek zijn dat je de automaat gewoon zou kunnen openmaken langs voor
Een betaalautomaat bevat vaak tot 4 geldkoffers en per koffer kan je gemiddeld tot 100.000 euro laden, dus een gevulde automaat kan ongeveer 400.000 euro bevatten.

Tijdens de feestdagen worden de betaalautomaten dan ook dagelijks bomvol gevuld, dus als je dan 's nachts toeslaat heb je snel een vette buit te pakken.

Edit: typo.

[Reactie gewijzigd door dbonline op 7 februari 2013 23:40]

Ik geloof dat ik oud begin te worden.. :blush:

Wat zijn prepaid betaalkaarten in godsnaam, heb er nog nooit eerder van gehoord namelijk.. ik dacht dat betaalkaarten altijd op naam staan... 8)7
Volgens mij bedoelt men hiermee betaalkaarten waarmee men niet onder nul kan gaan. De gebruiker moet dus eerst geld op zijn rekening hebben, en kan het dan pas uitgeven (prepaid).
Deze zijn dan meestal ook van grote merken (Visa/Mastercard) zodat er wereldwijd mee betaalt kan worden.
Een prepaid kaart is een speciaal soort MasterCard/Visa/... kaart. In plaats gebruik makend van credit, heb je een prepaid tegoed. Dus je kunt niet meer besteden dan er op staat. Een verschil met je 'gewone' betaalpas, is dat de laatste aan een rekening is gekoppeld. Dat is bij een prepaid kaart niet het geval.

http://www.visaeurope.com/en/cardholders/prepaid.aspx

[Reactie gewijzigd door cire op 7 februari 2013 22:33]

De Visa prepaid is niet anoniem.
Die anonieme prepaids zijn wel oa op Schiphol te verkrijgen.

Eens kijken of ik daar ook zo`n anonieme prepaid zonder limiet kan krijgen voor weinig. :9~ `

Ik heb trouwens een prepaid Mastercard (ook als Visa verkrijgbaar) (voor Google, er kan dus nooit meer af dan er op staat, ondanks een eventuele hack) en die staat gewoon op naam en is gekoppeld aan mijn bankrekening ter verificatie. Er kan alleen niet direct geld van mijn bankrekening af en opwaarderen moet ik vanuit mijn bankrekening doen.

Niets anoniems aan verder.

Dat is ook zo met de Visa die jij in de link laat zien, die zijn gewoon op naam, alleen zijn ze niet direct gelinkt aan je bankrekening (net als mijne) zodat niet in één keer de rekening geleegd kan worden.

[Reactie gewijzigd door Teijgetje op 7 februari 2013 23:58]

Gewoon prepay creditcards.

In plaats van dat je de kaart gebruikt en dan aan het einde van de maand betaald wat je heb geleend in feite, betaal je bij deze kaarten vooruit een bedrag en dat bedrag word dan op de kaart gezet. Zo leen je geen geld dus geen rente, en toch kun je online alles wat je met een creditcard normaal ook kan. In mijn geval is de enige maar dat ik slechts ¤150 per keer erop kan zetten en dat gaat gepaard met ¤2 overboekingskosten.

Ik heb er een en het is vrij praktisch moet ik zeggen. Als je met Paypal moet werken via iDeal moet het via money2 en het is nog best een gedoe.
Ik weet het exacte bedrag niet meer waarmee de automaten gevuld worden, maar dit is afhankelijk van de locatie (drukke automaten in winkelcentra b.v.) en of er een weekeind of feestdag moet worden overbrugd.....
3x raden waarom er op een feestdag is toegeslagen ;)
Ik begrijp het so wie so niet, een prepaid credit card is volgens mij in feite een debit card.

Dus daar zou nooit meer mee mogen worden opgenomen dan er op die kaart staat.

Er is dus geen sprake van een limiet maar een saldo wat specifiek aan de kaart is gekoppeld en niet aan een rekening......

Ik denk er al een tijdje over om zo'n debit kaart aan te schaffen, lekker veilig dacht ik, niet dus.... :X
Inderdaad, normaliter kun je nooit meer opnemen dan er op staat. Echter als het centrale banksysteem dat dit controleert, wordt gehackt, kan er natuurlijk een heleboel...
Je gewone bankpas is eigenlijk ook een debitcard. Kijk maar, als het goed is staat er iets van Maestro of Mastercard op.
Een creditcard is wat het zegt, je kunt credits opnemen, tegoed dus.
Als je BKR het toelaat kun je naast je eigen bankkaart, waarmee je je rekeningtegoed op kunt nemen of overschrijden (=negatief saldo), geld lenen via de creditcard.
Wat dat betreft is een creditcard inderdaad eigenlijk een debitcard, je leent geld dat niet op je bankrekening hoeft te staan.

En dat is dus hun businessmodel, debet staan (rood) kost relatief een vermogen aan rente en daar verdienen ze dus lekker aan.
Bovendien wordt dat tekort vaak niet direct van je bankrekening gehaald als je loon (e.d.) gestort wordt, een maximale aanzuiveringstermijn is er echter vaak wel, met als gevolg dat je vaak veel langer in het rood blijft opnemen/aflossen/staan dan je op je bankrekening doet/zou doen.
En dat naast je bankrekening.....
Met dus altijd die hoge rentekosten...kassa.(niet voor jou dus).
De creditcardmaatschappijen hopen dus dat jij zo vaak mogelijk geld blijft lenen en/of het geleende bedrag niet snel aanzuivert. :P
Soms kan dat handig zijn, extra duur geld lenen zonder vragen, bv als je op je bankrekening je limiet al bereikt hebt, maar je bent goedkoper uit door je bankpas te gebruiken en alleen uit te geven wat je hebt.
Dus ook die creditcardmogelijkheid van je bankpas beter niet gebruiken.
Want voor je het weet sta je voortaan bij beide (of meer) altijd rood, zorgend dat het saldo op tijd even positief is door geld heen en weer over te maken.
The American Dream.....

Met een prepaid creditcard kun je dus nooit debet (rood) staan en is je creditcard dus ook echt creditcard omdat je er tegoed op moet hebben staan.
Je kunt dus niets lenen.

Ik zou dus gewoon voor de prepaid creditcard gaan..... ;)
En dat is gewoon veilig hoor.

[Reactie gewijzigd door Teijgetje op 8 februari 2013 01:31]

Ondanks de belerende toon waarin je het neerschrijft, heb je wel gelijk.

Echter waar ( in nederland) veel mensen over klagen is de bijkomende kosten van een prepaid kaart.

Ik gebruik een 3V van Visa, en elke opwaardering kost een bedrag.
gemiddeld 75ct per 10 euro ( en 10¤ per jaar als je de fysieke kaart wilt hebben )
Maar ik heb het er graag voor over, ik gebruik het in de appstore, market en voor mijn China bestellingen.

Geen hoge kosten, en duidelijk inzicht in het wel en niet hebben van saldo
( ik heb er zelfs mijn hotel in Parijs mee betaald, en de huurauto in Duitsland, geen beperkingen t.o. een "echte" Visa )
Als je BKR het toelaat kun je naast je eigen bankkaart, waarmee je je rekeningtegoed op kunt nemen of overschrijden (=negatief saldo), geld lenen via de creditcard.
Het is een lening, maar wanneer je geen extra contract afsluit om gespreid terug te betalen, moet je toch echt aan het einde van de maand deze lening al weer terugbetalen.
Wat dat betreft is een creditcard inderdaad eigenlijk een debitcard, je leent geld dat niet op je bankrekening hoeft te staan.
Klopt, dat kun je dus op je spaarrekening laten staan. Aan het eind van de maand boek je dit (automatisch) naar je betaalrekening en de automatische incasso zorgt er voor dat het bij de CC maatschappij terecht komt.
En dat is dus hun businessmodel, debet staan (rood) kost relatief een vermogen aan rente en daar verdienen ze dus lekker aan.
Dat heb je zelf in de hand, dat is de kunst.

De CC's hebben App's beschikbaar waarmee je direct kunt zien hoeveel je deze maand al hebt uitgegeven, je weet wanneer jouw salaris binnen komt en je weet wanneer je moet betalen voor de CC (al dan niet via automatische incasso).

Ik betaal alles met een CC, alleen daar waar CC niet wordt geaccepteerd, betaal ik nog met cash of debitcard. Mijn kosten voor het gebruik van een credit card zijn hiermee nihil, dankzij de rente op m'n spaarrekening.

Voordelen: Al m'n aankopen zijn verzekerd tegen verlies, diefstal en beschadiging.
Alleen levert deze actie nog wat op, het meeste tweaken kost alleen maar geld...
Het levert zeker wat op:

.....een mooie plek op de Wanted list van credit card maatschappijen, vervolging en als het meezit gevangenisstraf.

Komt nog bij dat die credit card toko's nogal vasthoudend zijn, dus ten minste kun je de rest van je leven over je schouder kijken....

Mijn tweakkunsten leveren dan wel geen 11 miljoen op (ook geen behoefte aan) maar ook geen gevangenisstraf in de VS + anale sex (ook geen behoefte aan) wanneer het ffe tegenzit.
Is zo'n kaart dan niet naams-gebonden? Moet toch aan een persoonlijke rekening hangen?
Is zo'n kaart dan niet naams-gebonden? Moet toch aan een persoonlijke rekening hangen?
Nee, veel van die systemen werken als "eenmalige" cadeaubonnen.
Je kan er niets op storten, alleen voorafbepaalde waarderingen aanschaffen.
In NL kennen we die niet, deels omdat Europa graag inzage heeft in iedereen, en zijn bestedingspatroon.
( onder het motto terrorisme bestrijding en illegale inkomsten, waar in Italië zelfs verboden is om contant te betalen boven de 1000 euro )
Het gaat om pre-paid debetkaarten. Een soort chipknip of ov-chipkaart. Alleen werken deze op het PIN systeem (Interpay in nederland). Je hebt ook pre-paid creditcards. Beide zijn niet populair in Nederland. Ik weet niet eens of ze wel te krijgen zijn.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013