Hackers roven met malware grootschalig creditcardgegevens

Het Amerikaanse bedrijf Heartland, dat creditcardtransacties verwerkt, heeft bekendgemaakt dat onbekenden er met behulp van malware in geslaagd zijn de gegevens van mogelijk miljoenen creditcards te onderscheppen.

Creditcards Heartland Payment Systems verwerkt maandelijks honderd miljoen transacties, afkomstig van 250.000 Amerikaanse bedrijven. Naar schatting 40 procent van de verwerkte gegevens zijn afkomstig van kleine tot middelgrote horecabedrijven. De Amerikaanse betalingsverwerker was getipt door Visa en Mastercard, die de afgelopen maand veel verdachte transacties signaleerden. Heartland besloot direct de Amerikaanse geheime dienst en twee forensische onderzoeksbureaus in te schakelen. Na enig speurwerk werd vorige week malware op het interne netwerk van het bedrijf ontdekt. Onduidelijk is hoe lang de malware al op het netwerk aanwezig was, hoe het er terecht is gekomen en hoeveel betalingsgegevens exact zijn onderschept.

Heartland benadrukt dat er geen pin-codes, sofi-nummers of andere persoonlijke gegevens zijn gestolen. De onderschepte betalingsgegevens bevatten echter wel de data die op de magneetstrip van creditcards is opgeslagen, waaronder namen, creditcardnummers en de verloopdatum. Hierdoor is het voor criminelen relatief eenvoudig om met behulp van de gegevens van de accounthouder een creditcard na te maken. Omdat ze echter geen adresgegevens buitgemaakt hebben, zou het aanmerkelijk lastiger zijn om online te shoppen met de gestolen gegevens, zo meldt Robert Baldwin, directeur en CFO van Heartland, aan The Washington Post.

Deskundigen vinden dat Heartland lang met de openbaarmaking van de kraak heeft gewacht; die openbaarmaking is in de VS wettelijk verplicht. De bekendmaking viel bovendien samen met de inauguratie van president Obama. Creditcardgebruikers krijgen het advies om de komende tijd nauwgezet hun afschriften in de gaten te houden en eventuele verdachte transacties direct te melden. Gedupeerden zullen naar alle waarschijnlijkheid worden gecompenseerd.

De grootschalige kraak van Heartland toont opnieuw de kwetsbaarheid aan van bedrijven die creditcardtransacties centraal verwerken. In maart vorig jaar werden de servers van de Amerikaanse supermarktketen Hannaford Brothers gekraakt. Ook bij deze zaak werd malware gebruikt om de gegevens buit te maken. In 2007 werd de retailer T.J. Maxx het slachtoffer van creditcarddiefstal. Daarbij werden de gegevens van ten minste 45,7 miljoen kaarthouders gestolen, een zaak die tot nu toe te boek stond als de grootste roof van creditcard-gegevens ooit.

IT-banen

Reacties (40)

Loekie

21 januari 2009 17:52

CC's zijn zo brak als wat, het enige prettige is dat een CC-maatschappij garandeert dat jij geen (directe) schade lijd door misbruik. m.a.w. als je pas gekopieerd is en misbruikt wordt doet de CC-maatschappij onderzoek en als jij bezwaar maakt vergoeden ze jou de onterechte kosten. Maar verder is het systeem om met CC te betalen zo lek als een mandje en gebaseerd op een onterecht vertrouwen.

Daarnaast is het super-eenvoudig online te shoppen met een 'gekraakte' CC, je hoeft nl lang niet altijd een correct adres op te geven. Met andere woorden: de CC< - > adres check is ook maar schijn.

cire @Loekie • 21 januari 2009 20:40

Daarom hebben de meeste creditcards tegenwoordig een chip en is de chip ook al ingeburgerd in veel Europese en Aziatische landen. Daarmee is het mogelijk een flink deel van de fraude te voorkomen, of in elk geval focussen de frauders nu op iets anders

Verwijderd @cire • 22 januari 2009 07:48

Volgens mij voorkomt deze chip dit soort fraude als je een internet betaling doet.

Puur omdat je hiervoor alleen:
Credit card number
Expiry date
Card Verification Value/Code 2
Naam kaarthouder

Dit zijn allemaal gegevens die malware kan loggen en opsturen.

Umbrah 21 januari 2009 17:24

En dan moet ik zeggen dat ik heel blij ben met het Nederlandse Debet gebaseerde PIN systeem. Het ergste wat hier gebeurt is dat je pinpas geskimmed wordt, maar zelfs daar zijn banken vrij accuraat bij. Voorbeeld: Mijn pas was ineens geblokkeerd, postbank nam contact met me op, en legde me uit dat ik in de afgelopen maand bij een automaat heb gepint (zal wel Groningen CS zijn) die gemanipuleerd was. Als voorzorgsmaatregel alle passen die daar door zijn gegaan geblokkeerd, en een nieuwe (oranje ING) pas thuisgestuurd gekregen. Kosteloos. Ze wisten me zelfs te vertellen dat er nog geen opname in Boekarest was gebeurt, gelukkig.

Maurits van Baerle @Umbrah • 21 januari 2009 17:43

En wat maakt dat dan beter? Liever dat de PIN van de credit card onderschept wordt dan die van je debet card.

Bij debet cards ligt de bewijslast meestal bij de houder van de kaart én is het geld bovendien direct verdwenen terwijl een credit card maatschappij je meestal niet aansprakelijk stelt voor onderschepte PIN. Die moeten het namelijk veel meer van vertrouwen hebben.

TD-er

@Maurits van Baerle • 22 januari 2009 07:31

Die moeten het namelijk veel meer van vertrouwen hebben.

Dat was tot een paar jaar geleden misschien zo.
Nu is het in deze tijd van kredietcrisis zo dat ook de gewone bank vertrouwen moet uitstralen.

Sukeltje @Maurits van Baerle • 22 januari 2009 10:06

Als je pinpas geskimt word dan krijg je gewoon ALLES terug van de bank hoor. als jij om 2 uur ergens pint, en om 5 uur word in pole je hele rekening leeggetrokken dan moet je toch wel erg hard hebben gereden om dat zelf te doen he

TDeK

Cybercrime

@Sukeltje • 22 januari 2009 10:20

Hoe doen die skimmers dat dan?

Bij creditcards heb je voldoende aan het nummer + naam + vervaldatum, dat kun je nog SMSen als het moet. Maar bij PIN passen zul je toch echt die strip op een lege kaart moeten kopieëren (al zul je dat ook vast binair door kunnen sturen).

Ze werken volgens mij gewoon met 'high risk' landen. Als daar spontaan betalingen gedaan worden die voldoen aan bepaalde criteria (transactie àla 'haal die rekening zsm leeg'), dan gaat het slot erop.

Van dit [klik] soort acties wordt ik eerder bang. Ga jij als consument maar eens aan een bank vertellen dat hun eigen systeem niet meer veilig is. "Maar natuurlijk meneer."

[Reactie gewijzigd door TDeK op 23 juli 2024 03:45]

Sukeltje @TDeK • 23 januari 2009 08:58

In principe is het altijd de schuld van de winkel (er van uit gaande dat je in een winkel word geskimt, wat meestal wel het geval is).

Wat er haast altijd word gedaan is een kastje over de pin apparatuur plaatsen die er al staat, dit is te herkennen doordat het pinapparaat opeens "groter" is dan normaal (scheelt ongeveer 3 centimeter). verder zitten meestal op de toetsen voor blinden niet de bobbeltjes (uit me hoofd de 5, de ok en de stop knop). En waar het het makkelijkst aan te herkennen is, is dat er een 2e barcode lezer in zit. kijk maar eens in de gleuf van een pinapparaat, hier zie je dan een soort bobbel zitten, dat is de barcodescanner, wanneer een apparaat geskimt is zijn er dus 2.

Wat er dan gebeurt is dat ze je magneetstrip uitlezen, en de ingetoetste toetsen (in juiste volgorde) daarbij opslaan. dan hebben ze dus alles wat ze nodig hebben.

Vervolgens halen ze of later op de dag het apparaat weer op, of word er 's avonds ingebroken en het apparaat weer meegenomen. En het enige wat ze dan nog hoeven te doen is de gegevens doorsturen naar land X in het Oostblok of waar dan ook, daar worden gewoon pasjes gemaakt met de gegevens en word de rekening leeg getrokken.

Het lastige is dat winkel personeel hier niet op let, en alle betalingen gewoon worden verwerkt, maar ondertussen dus ook de gegevens worden opgeslagen (waar je niets van merkt). Bij het bedrijf waar ik werk zijn kaartjes om de grote te controleren, en is er iets opvallends op de pin apparatuur geplakt waardoor het dus snel te zien is als er iets overheen is geplaatst.

tweaktubbie @mashell • 21 januari 2009 17:51

tja, maar de omschakeling naar pin/creditcardbetaling via chip vergt ook aanpassing/vervanging van betaalautomaten. dat kostenplaatje komt deels bij ondernemers, deels bij banken. ook erg omvangrijk; als ik zie dat ik al jaren een visa met chip heb, en pas mondjesmaat met chip moet betalen als ik 'm door de magneetstrip lezer haal.

je zou gewoon touchscreen moeten hebben, waarbij getallen op wisselende plek staan. zie je bij toegangsbeveiliging ook steeds vaker.

Bloodshot @tweaktubbie • 21 januari 2009 20:57

Met als nadeel dat je moet KIJKEN wat je typt in plaats van dat je eenmalig je middelvinger op de 5 legt en je motorisch geheuren zorgt voor het intypen van je PIN-code met je ene hand terwijl je het toetsenbord met je andere hand afdekt.

knabbelaar @tweaktubbie • 21 januari 2009 21:39

Eerst en vooral: kan je eens uitleggen hoe touchscreen het ding minder gevoelig maakt voor kopieren? Mi kan skimming net zo goed met een magneetstrip/touchscreen.

Heel intrigerend trouwens, dat in Nederland de omschakeling van magneetstrip naar chip nog niet doorgevoerd is. In Belgie is het leeuwendeel van de transacties via chip. De bankautomaten zijn al jaren omgeschakeld, het meerendeel (misschien zelfs alle?) kaartlezers in winkels ook. Ik kan me niet meer herinneren wanneer 'k voor het laatst een kaartlezer met enkel magneetstrip heb gebruikt. Zijn chips in Belgie goedkoper?

bouwfraude @knabbelaar • 21 januari 2009 22:24

De chip op de chipknip is anders gevoeliger voor storingen dan het magneetstrip bij het pinnen... Het chippen gaat bij mij vaker niet goed dan het pinnen.

Sukeltje @bouwfraude • 22 januari 2009 10:05

het gaat hier niet om de chipknip, maar om de chip van het "nieuwe betalen"

(weet niet of je dat bedoelt, maar ik heb iig vaak dat me chipknip het niet doet, en gewoon de magneetstrip wel)

Simkin @mashell • 21 januari 2009 17:49

Het blijft een afweging; heel veilig en daardoor gebruiksonvriendelijk maken of minder veilig maar wel gebruiksvriendelijk. Tevens zijn de kosten van vergoeding van fraude vele malen minder dan de kosten om je betalingssysteem extreem veilig te maken.
Geloof me, dit systeem is zo gek nog niet, heus wel over nagedacht.

TD-er

@Simkin • 22 januari 2009 07:27

Geloof me, dit systeem is zo gek nog niet, heus wel over nagedacht.

Het is inderdaad een kosten-afweging. Maar wat als het skimmen dusdanige vormen aanneemt dat de bank gaat overwegen wat de kosten zijn van ontevreden klanten of het vergoeden van de geplunderde rekeningen? Is het dan nog steeds niet zo'n gek systeem?

Verwijderd @Simkin • 22 januari 2009 08:35

Ik heb het gevoel dat het ook een prestige kwestie is. Het aantal fraude gevallen is vele malen hoger sinds en online betalingen met de credit card gedaan worden.

Ik hoop dat dit mede door de krediet crisis de andere kant op doorslaat en dat een een systeem komt vergelijkbaar met het Nederlandse systeem.

Ik zie heel vaak van bestellingen af omdat ik er perse een credit card voor moet gebruiken. (Ik heb een credit card maar deze gebruik ik allen in het uiterste geval).

RRRobert @Verwijderd • 22 januari 2009 14:04

Het aantal fraude gevallen is vele malen hoger sinds en online betalingen met de credit card gedaan worden

Onzin. De meeste fraude met creditcards gebeurt nog altijd bij real life transacties, waar dus de pas fysiek gescand wordt achter een balie.

Het enige verschil tussen real life fraude en online fraude is dat indien een transactieserver wordt gehacked, er gelijk een hele database aan gegevens op straat ligt, i.p.v. één individueel nummer.

Daarnaast is het ook nog eens zo dat in de algemene voorwaarden van creditcards de betaler in eerste instantie de bescherming geniet; het is aan de ontvanger om aan te tonen dat een betaling legitiem is. Daar hoef je dus bij de Nederlandse banken niet mee aan te komen.

Dientgevolge heb ik, na twee serieuze hackpogingen op m'n Postbankrekening, internetbankieren maar vaarwel gezegd en betaal ik online alleen nog per creditcard, al dan niet met PayPal als intermediair. Toegegeven, de Postbank was er gelukkig als de kippen bij om een verdachte actie te ondervangen en te blokkeren, maar laat tot op heden na mij te kunnen garanderen dat dit niet nog een keer gebeurt.

Data-base @mashell • 21 januari 2009 18:51

Jij hebt duidelijk geen kaas gegeten van security en de afwegingen die daarbij komen kijken.

Volledige veiligheid is totaal niet bruikbaar en duur. Niemand wil zoiets.

Je moet altijd een afweging maken tussen bruikbaarheid, kosten van je security en kosten wanneer je security gebroken wordt.

Veel veiliger dan pin zal het op korte termijn niet worden ben ik bang.

PolarBear @Umbrah • 21 januari 2009 17:49

Creditcard maatschappijen zijn net zo alert op misbruik hoor. En daarbij zijn Nederlandse banken lang niet altijd zo coulant.

Verwijderd @PolarBear • 21 januari 2009 18:21

Leuk, alert op misbruik... maar het probleem zat em intern bij de maatschappij. Gaat wel even verder dan een simpele skimactie op het station of iets dergelijks. Vind hun alertheid dan nogal tegenvallen als je het artikel leest

Maar ja... dit soort dingen zul je altijd houden, dat ligt aan de techniek en methoden die gebruikt worden, en daar kun je niet omheen.

Maurits van Baerle @Verwijderd • 21 januari 2009 18:25

Dit was geen credit card maatschappij maar een payment processor waar het lek zat. Die hebben geen inzicht in het gebruik of saldo van gebruikers en kunnen dus ook niet alert zijn op ongebruikelijke transacties of patronen.

Credit card maatschappijen zijn daar over het algemeen vrij alert op, soms zelfs op het vervelende af dat je een telefoontje van ze krijgt als je op vakantie bent in een vreemd land en ineens een groot bedrag pint en dergelijke.

Verwijderd @Umbrah • 21 januari 2009 17:54

Kostenloos? Zit gewoon bij je lidmaatschap in hoor.

Shal-Ziar @Umbrah • 21 januari 2009 23:07

Ik wil niet veel zeggen, maar in zembla http://zembla.vara.nl/Voo...id]=1974&cHash=08d8d52ce4 hebben ze toch echt aangetoond dat nederlandse gegevens ook niet veilig zijn.

Verwijderd @Shal-Ziar • 22 januari 2009 07:40

De link die je geeft betreft ook credit card, die is in ieder land even onveilig.
En niet de bankpas die je in Nederland gebruikt om online betalingen te doen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:45]

Verwijderd 22 januari 2009 08:27

Hoe kan het dat deze systemen gekraakt kunenn worden door malware?

Houdt dit in dat dit soort systemenn op Windows-rommel draaien?

Zo ja, is het dan niet verstandig om bedrijven te verplichten dat systemen die dit soort gvoeilige gegevens verwerken geen Windows-systemen zijn maar.....?

Of zijn voor andere systemen ook volop malware ed aanwezig om gegevens te jatten ed.?

Verwijderd @Verwijderd • 22 januari 2009 08:39

Het systeem wordt niet gekraakt. De malware is een intelligente logger. Die alle informatie logt en doorstuurt die nodig is om credit card betalingen te doen.

Houdt dit in dat dit soort systemenn op Windows-rommel draaien?

De malware draait op het systeem van de gebruiker niet op de server.

(IMO is malware momenteel een grotere bedreiging dan virussen, ondanks dat op de laatste meer nadruk gelgd word).

De ideale manier om malware te distriburen is om het te piggy backen aan een stuk software dat illegaal gedownload wordt. Vooral het type waar een crack op uitgevoerd moet worden waarbij de virusscanner uitgeschakeld moet worden. De gene die het illegaal gedownload heeft zal zeker geen contact opnemen met de leverancier van de originele software waardoor deze pakketten lang kunnen blijven bestaan.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:45]

Verwijderd @Verwijderd • 22 januari 2009 12:47

Je geeft aan dat de mailware draait op het systeem van de gebruiker en niet op de server (ik neem aan dat je de server van dat bedrijf bedoelt?).

In de tekst staat echter:
Na enig speurwerk werd vorige week malware op het interne netwerk van het bedrijf ontdekt.

Dus.... nogmaals mijn vraag.

Verwijderd 22 januari 2009 00:41

"De grootschalige kraak van Heartland toont opnieuw de kwetsbaarheid aan van bedrijven die creditcardtransacties centraal verwerken". Dat is niet het enige dat aangetoond wordt. Wat m.i. aangetoond wordt is dat al het elektronisch betalingsverkeer per definitie onveilig is. Het blijven maar nulletjes en eentjes (vaak beheerd door eendjes)

Bulls 22 januari 2009 02:29

Gewoon geen creditcards gebruiken, het is eigenlijk alleen maar overbodige luxe en je kan best zonder. iDeal werkt ook prima online.

blouweKip @Bulls • 22 januari 2009 06:20

Alleen jammer dat iDeal nog niet overal werkt (sterker nog, alle betalingen die ik afgelopen maand gedaan heb via internet waren niet via iDeal te betalen, dus een CC is helaas nog bittere noodzaak)

Verwijderd @Bulls • 22 januari 2009 07:36

Je kunt meestal zonder maar als je een bestelling in bijvoorbeeld de VS wil doen heb je deze helaas nog nodig als ze geen paypal accepteren.

Verwijderd 22 januari 2009 07:33

Hopelijk dat de krediet crisis er voor zorgt dat de huidige credit card vervangen wort door een systeem vergelijkbaar met het Nederlandse systeem.

Doordat de credit card zo onveilig is zijn, wordt deze heel vaak misbruikt.

Tot aan de krediet crisis was het allemaal geen probleem ze namen aan aantal fraudes voor lief en betaalde de kant het geld terug. Dit kost allemaal geld en in het oog van de krediet crisis zou het zo kunnen zijn dat het compenseren van de klant te duur gaat worden.

bat266 @Verwijderd • 22 januari 2009 07:43

De creditcard met chip is niet onveiliger dan een pinpas zelfs veiliger voor non-online winkelen. Voor het online winkelen is het noodzakelijk dat er een oplossing komt die anders is dan alleen wat nummertjes die je in moet vullen. Een soort randomreader / ander kastje zou het een stuk veiliger maken, maar weer een stuk minder gebruiksvriendelijk

Verwijderd @bat266 • 22 januari 2009 08:12

Deze post gaat over online winkelen dat is ook de plaats waar de meeste credit card fraude gevallen plaats vinden.

Als je een random reader krijgt kan het nog steeds een credit card genoemd worden. Maar dan lijkt het meer op de Nederlandse bankpas dan op de huidige credit card.

sys64738 Moderator F&V 22 januari 2009 10:43

Jammer dat de term hacker hier weer in negatieve zin wordt gebruikt.... Ooit probeerde men nog onderscheid te maken tussen computernerds met goede en kwade bedoelingen door de termen Hacker en Cracker te gebruiken. Helaas is dit nooit echt aangeslagen....

In the early days was het dus cool om hacker te zijn maar door dit gebruik heeft een hacker een negatieve bijsmaak... jammer genoeg.

damanseb 22 januari 2009 13:35

Dit heeft toch ook niets te maken met de veiligheid van creditcards, pincodes of betalingsmethoden?
Dat bedrijf moet dan ook gewoon zijn systeembeheerder op staande voet ontslaan.

Als je geen aandacht besteed aan interne security zoals je werkstations en lokale servers terwijl er zoveel belangrijke gegevens over het interne netwerk gaan ben je gewoon dom bezig.

Dit is hetzelfde als een dikke vette firewall opzetten en dan vervolgens een van je medewerkers met een ongepatchte Windows 95 PC met IE4 het internet opsturen.

Verwijderd 22 januari 2009 17:43

Wel weer jammer dat de auteur hier abuisievelijk spreekt over de Amerikaanse geheime dienst. Het stuk gaat namelijk over de U.S. Secret Service, die belast is met fraude en valsmunterij. De geheime dienst van de U.S. is de C.I.A., en die hebben niets met CC fraude en Carding van doen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (40)

Sorteer op:

Weergave: