Amerikaanse geheime dienst arresteert criminele hacker van kassasystemen

De Amerikaanse geheime dienst heeft een Rus opgepakt die verantwoordelijk zou zijn voor het kraken van kassasystemen in de VS in de periode oktober 2009 en februari 2011. Hij wist daarbij op grote schaal creditcardgegevens buit te maken en te verhandelen.

De verdachte, Roman Valerevich Seleznev geheten, heeft de Russische nationaliteit en zou onder het pseudoniem Track2 op ondergrondse fora in gestolen creditcardgegevens hebben gehandeld. Hij werd zaterdag opgepakt in Guam en wordt verdacht van onder andere diefstal, hacking en de verkoop van gestolen creditcardgegevens. Deze zou hij buit hebben gemaakt door kassasystemen van Amerikaanse winkelketens te kraken. De U.S. Secret Service wil echter niet zeggen of Track2 ook verantwoordelijk was voor een serie van geruchtmakende creditcardroven bij een aantal grote winkelketens, waaronder Target, vorig jaar.

Volgens de aanklacht heeft de verdachte betaalsystemen bij winkelketens nagelopen op eventuele zwakheden. Vervolgens installeerde hij malware op kwetsbare systemen. De Rus zou op die manier bij onder andere een horecaketen 32.000 creditcardnummers hebben buitgemaakt. Ook andere winkels werden slachtoffer van de crimineel. De autoriteiten stellen verder dat hij via twee fora miljoenen dollars verdiende met de verkoop van 140.000 creditcardgegevens.

Als de Rus wordt veroordeeld loopt hij de kans voor tientallen jaren achter de tralies te verdwijnen, zo schrijft The New York Times. Bovendien wordt de man ook in de staat Nevada verdacht van een aantal afpersingszaken, waardoor zijn uiteindelijke straf nog zwaarder kan uitpakken.

IT-banen

Reacties (47)

cosmo_roel 8 juli 2014 12:37

Nu nog de creditcard maatschappijen oppakken die überhaupt verantwoordelijk zijn voor het onnozele onveilige systeem dat ze gecreëerd hebben: Betalen op basis van enkel een naam en nummer die iedereen van een pasje (of uit zo'n kassasysteem) kan lezen...

Verwijderd @cosmo_roel • 8 juli 2014 12:41

Ik moet anders overal mijn pincode voor de credit card invoeren. Sommige banken beveiligen het geheel wat beter

cyberstalker @Verwijderd • 8 juli 2014 12:47

Dat heeft nog niet eens zozeer iets met de banken te maken. Ik heb ook een creditcard waarbij ik voor online betalingen een extra verificatiecode moet invoeren. Dit gaat dan op de site van de maatschappij en niet op de site van de webshop zodat zij dit nummer nooit zouden kunnen onderscheppen, vergelijkbaar aan hoe Ideal werkt.

Het probleem is dat webshops zelf kunnen kiezen of zij deze functionaliteit willen. Er zijn nog steeds genoeg websites die dit niet ondersteunen, dus daar is enkel je creditcardnummer en CCV voldoende. Als je deze hebt zou je dus elke andere site die niet de nieuwe authenticatie ondersteunt kunnen betalen.

bigbadbull @cyberstalker • 8 juli 2014 13:39

Persoonlijk verliest met die extra bank controle (waar ik een extra stuk hardware voor nodig heb) de bruikbaarheid van m'n Visa kompleet.
Zo iets sleur je echt niet overal mee en kan dus niet altijd en overal die CC gebruiken om dat ik dat niet overal mee sleur, het is een beetje van het goede teveel.

thefox154 @bigbadbull • 8 juli 2014 14:04

Andere bank nemen als de Rabo. Bij ABN heb je geen reader nodig voor een creditcard betaling. Bij de rabo... Wat is dan nog het voordeel.. Kan ik net zo goed ideal gebruiken dan heb ik die reader ook nodig.

Verwijderd @thefox154 • 8 juli 2014 14:23

Andere bank nemen als de Rabo. Bij ABN heb je geen reader nodig voor een creditcard betaling.

Sowieso... je kunt beter een kaart nemen waarmee je tegelijkertijd punten spaart (Bijenkorf, ANWB, KLM, etc.), dan ben je onafhankelijk van een bank en hebben alle partijen minder inzicht in waarvoor je je geld gebruikt. Bonus als je een kaart in het buitenland neemt die dan dus ook niet bij de BKR geregistreerd wordt.

Uiteraard wel elke maand netjes de complete rekening betalen.

freaky @Verwijderd • 8 juli 2014 16:05

die dan dus ook niet bij de BKR geregistreerd wordt.

Privacy of van de firma list en bedrog? Riekt aanzienlijk naar het laatste namelijk, ook al meld je netjes rekening betalen

.

En om de inzage in het BKR te verduidelijken: ING kan niet eens zien dat de 2500 euro krediet die bij het BKR open staat van hun eigen CC is. Dus moet eerst CC bij ING opzeggen, dan hypotheek bij ING afsluiten en dan weer CC aanvragen (CC krediet vrij laten zetten is ook mogelijk ben je verplicht af te lossen a/h einde van de maand en verdwijnt BKR registratie).

Ze hadden logischer wijs makkelijk kunnen deduceren dat ze het zelf waren overigens, maar 1+1 is te moeilijk voor ze ofzo.

Verwijderd @freaky • 8 juli 2014 16:35

Privacy of van de firma list en bedrog? Riekt aanzienlijk naar het laatste namelijk, ook al meld je netjes rekening betalen .

Het eerste natuurlijk, en dan vooral vanwege het scenario dat je zelf beschrijft. Verder is het natuurlijk een welkome bijkomstigheid van de SEPA en de Euro.

Ik moet altijd lachen als ik dat spotje van de SNS hoor over hoeveel je bankrekening kost. Ik weet heel zeker dat de mijne € 0 kost, en dat ik zelfs nog rente krijg op mijn rekening courant, om nog maar te zwijgen van rood staan tegen een goede 7%.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 22:58]

drdelta @Verwijderd • 9 juli 2014 11:44

Sowieso... je kunt beter een kaart nemen waarmee je tegelijkertijd punten spaart (Bijenkorf, ANWB, KLM, etc.), dan ben je onafhankelijk van een bank en hebben alle partijen minder inzicht in waarvoor je je geld gebruikt.

En wat staat er dan mooi onderop je kaartje? Wat zeg je? VISA/Mastercard? No way..

Verwijderd @drdelta • 9 juli 2014 12:27

En wat staat er dan mooi onderop je kaartje? Wat zeg je? VISA/Mastercard? No way..

VISA/MC zijn volgens mij beide geen banken, en er kan natuurlijk ook American Express onderaan een kaart staan (dat is zo in mijn geval), of Diners Club

Maar goed, ik zal mijn punt herformuleren:

'dan is je kaart niet direct gekoppeld aan een bankrekening (in de zin van dat je huisbank kan zien waar je je geld aan uit geeft'

drdelta @Verwijderd • 9 juli 2014 14:01

Een creditkaart(maatschappij) wordt altijd door een bank vertegenwoordigd. Ook American Express/Diners Club. Feitelijk heb je dan gewoon een 2e rekening bij een ander bank waar jij hebt over hebt.

Credit card - Parties involved

[Reactie gewijzigd door drdelta op 26 juli 2024 22:58]

Verwijderd @drdelta • 9 juli 2014 14:43

Ik weet niet wat je horen wilt, ik heb mijn eerste statement aangepast. Twee van mijn kaarten zijn niet uitgegeven door een bank, en al helemaal niet door mijn huisbank. Er is geen rekening anders dan dat ik aan het einde van de maand een overzicht krijg van mijn uitgaven (wat ik dan netjes betaal).

Voor de goede orde: onder een bank versta ik een geldscheppende financiële instelling waar je een rekening-courant kunt openen en waarmee je vrijelijk gebruik kunt maken van het giraal verkeer binnen de SEPA-zone.

Mocht jij er een afwijkende definitie van een bank op na houden, dan zou het kunnen zijn dan je gelijk hebt. Gefeliciteerd.

drdelta @Verwijderd • 9 juli 2014 15:02

Ik weet niet wat je horen wilt, ik heb mijn eerste statement aangepast. Twee van mijn kaarten zijn niet uitgegeven door een bank, en al helemaal niet door mijn huisbank. Er is geen rekening anders dan dat ik aan het einde van de maand een overzicht krijg van mijn uitgaven (wat ik dan netjes betaal).

Voor de goede orde: onder een bank versta ik een geldscheppende financiële instelling waar je een rekening-courant kunt openen en waarmee je vrijelijk gebruik kunt maken van het giraal verkeer binnen de SEPA-zone.

Mocht jij er een afwijkende definitie van een bank op na houden, dan zou het kunnen zijn dan je gelijk hebt. Gefeliciteerd.

Je hebt dus gewoon een rekening, maar geen toegang tot een (digitaal) overzicht van je betalingen anders dan je maandelijkse papiertje.

Onder bank versta ik een bedrijf/organisatie die financiële diensten levert, en daartoe toestemming heeft van een/de overheid (bankvergunning).

Dat jij vindt dat iets pas/alleen een bank is als je binnen de SEPA-zone kunt betalen, via een rekening-courant is natuurlijk enigsinds vreemd. Er bestaan ook gewoon (zakelijke) banken die alleen betaalrekeningen aan bedrijven verschaffen, zonder rekening courant, of alleen voor buiten de SEPA-zone. En ook niet per se geld-scheppend.

Verwijderd @drdelta • 9 juli 2014 15:21

Ik denk dat we wat ver van de oorspronkelijke discussie afraken, maar je hebt natuurlijk gewoon gelijk.

Het punt dat ik wilde aangeven is dat als je daar waarde aan hecht, het interessant kan zijn om een creditcard te gebruiken anders dan je huisbank.

Je zou er waarde aan kunnen hechten omdat je daarmee punten kunt sparen in een loyaliteitsprogramma, en/of omdat je denkt dat het handiger is om je eigen huisbank (waar je het leeuwendeel van de betalingen verricht) geen inzage te geven in je bestedingspatroon. Dat zou dan betekenen dat je slechter te profilen bent.

Ik hoop dat je dat met me eens bent.

Dat er allerlei soorten financiële instellingen zijn die niet onder door mij en in deze context gehanteerde definitie vallen is mij bekend, het is te moeilijk gebleken om dit zinvol in te grenzen. Ik probeerde (nogmaals) aan te geven dat een betaalinstelling naar mijn optiek geen bank is, ook staan ze als andere entiteiten in het register van de DNB.

Het is mij nu echter ook opnieuw bekend dat het versimpelen van bepaalde pointes niet altijd opgaat, en dat jij op dat vlak een gewaagde opponent bent. Ik hoop dat je dat laatste punt ook met me eens bent.

drdelta @Verwijderd • 9 juli 2014 16:30

Laten we het op een goed gespeelde 1-1 houden

Alcmaria @bigbadbull • 8 juli 2014 13:46

In principe heb je geen extra hardware nodig voor die extra verificatie.

Bij 3d secure krijg je een scherm voor je met een persoonlijke boodschap (die je ooit zelf hebt gekozen, dit om te bewijzen dat het een legitieme website is). En daaronder typ je dan je wachtwoord in. Waarmee jij bewijst dat je echt de kaarthouder bent. Dit gaat via third party systemen dus de winkelier weet jouw wachtwoord of jouw persoonlijke welkomstboodschap nooit.

Mastercard uitleg:
https://3dsecure.icscards...l/intro.html?locale=nl_NL
Visa uitleg:
https://3dsecure.icscards...l/intro.html?locale=nl_NL

Alcmaria @cyberstalker • 8 juli 2014 12:54

Dat klopt, de webshop kan daar voor kiezen om niet mee te doen met verified by visa of 3dsecure.. maar dan ligt het risico wel bij de webshop. Als je aan alle veiligheidseisen voldoet dan verplaatst het risico zich naar de creditcard issuer.

Blokker_1999

Politiek en recht
Verenigde staten

@Verwijderd • 8 juli 2014 12:45

Maar er gebeurd nog veel handel puur op kaartnummer met een creditcard. Gisteren bij mijn vader nog gezien dat de nummers die op de kaart stonden voldoende waren om online een booking te doen terwijl de meeste platformen je vandaag ook langs je bank kunnen sturen voor een extra bevestiging. Het hangt dus af van handelaar, de manier van verwerking, de mogelijkheden van de kaart, ...

Verwijderd @Blokker_1999 • 8 juli 2014 12:57

Aan de andere kant, leren ervaringen van de praktijk:dat Creditcardfraude vaker eerder door de CCmaatschappij dan gebruiker wordt opgemerkt.
Dat de creditcard maatschappijen er ook vaak zéér snel bij zijn, als er sprake is van mogelijke fraude.
De artikel over hoe ze dat doen, en met welke slimme systemen is hier te vinden.

Ik heb vertrouwen in het systeem, en hoef via mijn bank ook niet te betalen voor de credit card, betalen ermee is goedkoop, en je hebt kosteloos aankoopbescherming, ook in het internationaal.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 22:58]

enigmafan @Verwijderd • 8 juli 2014 14:31

Aan de andere kant, leren ervaringen van de praktijk:dat Creditcardfraude vaker eerder door de CCmaatschappij dan gebruiker wordt opgemerkt.

Op zich niet onlogisch, de gebruiker krijgt 1 keer per maand een overzicht, de CCMaatschappij op het moment dat de transactie plaatsvindt.

freaky @Verwijderd • 8 juli 2014 15:56

Ja betalen er mee is zo goedkoop dat als ik afding bij de Media Markt ik *niet* met creditcard mag betalen. Zo goedkoop is het. Geloof zo'n 3% van het bedrag voor de verkoper de laatste keer dat ik het navroeg - misschien inmiddels beter.

Vertrouwen in het systeem heb ik ook wel - al zou het systeem niet goed zijn verzekeren ze je daartegen. Hebt tevens extra verzekeringen op al je aankopen e.d. - vandaar gedeeltelijk ook de hoge kosten (die meestal op verkoper verhaalt worden). Kan bijv. TV kopen met creditcard en over drempel van de winkel vallen, vergoed CC maatschappij verzekering je TV. Gaat je met pin pas niet lukken.

drdelta @freaky • 9 juli 2014 11:41

Vertrouwen in het systeem heb ik ook wel - al zou het systeem niet goed zijn verzekeren ze je daartegen.

Creditcardmaatschappijen verzekeren je (betaling), omdat hun dienst inherent onveilig is. Een verzekering is wel het minste wat de creditcardmaatschappij dan kan doen.

Murfy

@Blokker_1999 • 8 juli 2014 13:29

Meestal is dat ook omdat de bookingsites daar zelf ook niks mee gaan doen op het moment dat jij boekt, zij geven die informatie gewoon door aan ofwel het hotel, of aan een andere partij die het dan op zijn beurt doorgeeft (channel managers en zo bijvoorbeeld) aan het hotel.

Ik sta in voor het operationeel gebeuren van zo'n channel manager, en je zou verbaasd staan waar je creditcard gewoonweg via een beetje XML's heen gaat. Wij gaan die data ook gewoon stockeren, tot de hotelier die dan gaat opvragen via hun backoffice.

Op die manier is je kaart bij gemakkelijk 3-4 partijen gepasseerd, die het gewoon telkens doorspelen aan de volgende, totdat de hotelier het dan op zijn kastje gaat invoeren (pre-autorisatie doen, of in geval van "no-show" geld van die kaart afhalen).
In het geval van de "no-refundable" of dus prepaid boekingen zoals je ze zou kunnen noemen is dat exact hetzelfde.

Er zijn uitzonderingen hoor - websites waar er dus wel onmiddellijk een bedrag wordt afgeschreven, dit gaat dan meestal wel via die 3DSecure en zo - maar de grootste aanbieders in de markt doen het in ieder geval niet.

In de regel moet het trouwens allemaal gebeuren volgens de PCI Security Standard, maar ik kan je verzekeren dat het bij vele bedrijven niet zo is; zelfs Booking.com voldoet nog maar max. 2 jaar aan die richtlijn.

[Reactie gewijzigd door Murfy op 26 juli 2024 22:58]

JivZ @Verwijderd • 8 juli 2014 12:52

In de US wordt normaliter geen pincode gebruikt maar wordt met alleen handtekeningen voldaan (of zelfs dat niet).

Overigens is de Secret Service geen geheime dienst!

hardwareaddict @JivZ • 8 juli 2014 15:17

Jawel hoor, ook daar heb je pincodes. Bijvoorbeeld op een Amerikaanse debitcard die ik hier heb zit wel een pincode

drdelta @hardwareaddict • 9 juli 2014 15:03

In de VS zijn verreweg de meeste betalingen met een credit card, en daar wordt eigenlijk bijna nooit om een pincode gevraagd, mocht die er al op zitten. Een afdruk en een handtekening zijn meestal voldoende.

Alcmaria @cosmo_roel • 8 juli 2014 12:47

Met een creditcard nummer en een naam kan je al tijden niks meer.. je heb dan nog de CVV2 of CVC2 waarden nog. Of (als het om de track 2 data in de magstripe gaat) nog de CVV1 of CVC1 waarde.

Online heb je nog te maken met 3d secure en overal in de wereld (en in mindere mate in amerika) moet je je pin al invoeren op een betaalterminal bij een Card Present transactie.

Verder ligt de bewijslast altijd bij de merchant, dus als kaarthouder loop je eigenlijk nooit risico, je krijgt direct je geld terug als je een transactie betwist op een creditcard transactie, moet je eens met je bankpas proberen.

sfc1971 @Alcmaria • 8 juli 2014 14:02

De extra cijfertjes zijn of waren dat in ieder geval tot 3 jaar terug, OPTIONEEL. Het is aan de handelaar of er wel of niet om wordt gevraagd. Er zit wel een risico aan om het niet te eisen, hogere transactie kosten, chargeback fees enz maar het is (of was tot voor kort) een KEUZE.

Deze keuze is NIET aan de klant, dus als ik jouw nummer heb, dan kan ik je account gewoon gebruiken bij de juiste sites.

drdelta @Alcmaria • 9 juli 2014 11:46

Nope. Amazon(.co.uk) accepteert bijvoorbeeld gewoon een creditcard nummer en een naam, geen CVV2 code vereist ! Het is aan de verkoper (de persoon die het geld dus accepteert) om een keuze/overweging te maken welke vormen van (extra) validatie zij willen gebruiken. Het is niet vereist.

Pat911 @cosmo_roel • 8 juli 2014 12:49

Plus nog een pincode tegenwoordig, en bij online betalingen een 3-cijferige code die achterop de kaart staat.
Visa heeft zelfs een wachtwoord wat je zelf moet opgeven voordat je online kan gaan betalen.

Blokker_1999

Politiek en recht
Verenigde staten

@Pat911 • 8 juli 2014 12:52

Maar een handelaar kan zelf bepalen welke beveiliging hij wenst te implementeren. Hij kan dus ook voor het gebruiksgemak van de klant kiezen en het risico vergroten door zo min mogelijk verificaties te vragen aan de klant. Enkel in geval van misbruik bestaat de kans dat hij fraudulente transacties moet terugbetalen.

drdelta @Pat911 • 9 juli 2014 11:48

Plus nog een pincode tegenwoordig, en bij online betalingen een 3-cijferige code die achterop de kaart staat.
Visa heeft zelfs een wachtwoord wat je zelf moet opgeven voordat je online kan gaan betalen.

Dus een gestolen kaart is voldoende om aanschaffen te doen! Er is geen (verplichtte) externe validatie, dat is dus juist het probleem (gevaar) van creditcards.

Verwijderd 8 juli 2014 12:41

Wat zijn die strafmaten hoog, maar overheden zijn altijd zeer sterk in het beschermen van essentiele infrastructuur als politiek, ambtenarij, energie en bijv. dit betalingssysteem.

Wat mij betreft goed dat dit soort mensen gepakt worden, fraude kost geld, uiteindelijk zit dat weer in de transactie prijzen.

Tegelijk is het gek, dat de bestuurders van creditcard maatschappijen die door kartelafspraken, de maatschappelijke kosten voor betalingsverkeer vééél meer beinvloeden, met slechts een fractie van hun 'buit', enkele miljarden, rechtzaken en vervolging kunnen afkopen.

Iblies @Verwijderd • 8 juli 2014 13:05

Wat je ziet is dat bij dergelijke instanties de risico's niet helemaal door de hele organisatie is doorgedrongen.
http://time.com/2857440/t...t-everyone-know-they-can/

But the boys were so polite that once they gained control of the machine, they didn’t steal any money — instead, they went inside to inform the bank about the little security problem. Staff members didn’t believe them, so they went back to the machine to get proof. They printed off documentation about withdrawals, and even changed the surcharge amount to one cent.

Het trieste is dat het een beetje wordt weggezet als een kwajongensstreek terwijl je een ernstige mailfunction hebt.

hardwareaddict @Verwijderd • 8 juli 2014 15:21

Dat hele betalingssysteem in USA is natuurlijk totaal verouderd al je 't vergelijkt met EU.

Veel te fraudegevoelig en de kosten per betaling veel te hoog in de US.

Herinner me nog hoe je met programmaatjes begin deze eeuw al van 1 CC-nummer al hele bende kon creeren, die dan prima werkten (volgens geruchten - ugh) op websites om dingen te bestellen.

Nog jaren later werkte dat. Eigenaren van die websites waren furieus, want die mochten dan 11 euro per teruggeboekte CC-transactie aan boete betalen.

Nog steeds zucht men onder die verouderde betalingssystemen daar...

demokert 8 juli 2014 13:12

Afgelopen maand in Amerika geweest, het verschilt per winkel en medewerker lijkt wel. Bij de ene winkel moet je met pincode betalen, in een andere weer niet (overigens dit jaar vaak op vertoon van paspoort). In restaurants is het altijd zonder pincode en gewoon het bonnetje tekenen.

Ik gebruik buiten vakanties zelden tot nooit de creditcard, maar als ik hem gebruik wordt mij altijd wel de security code die achterop de card staat gevraagd.

Verwijderd @demokert • 8 juli 2014 14:49

Veel zaken ondersteunen ook beide opties. Handig als je je pin code bent vergeten...

demokert @Verwijderd • 8 juli 2014 16:07

Dat klopt zeker! Maar wat ik dan weer opmerkelijk vind is dat men het niet afdwingt. Ik bedoel als wij hier in de winkels willen pinnen moet de pinpas onderin het apparaat gestoken worden en mogen we niet meer swipen... waarom dwingen ze mensen daar dan niet het voor altijd met pincode te doen

MrRobin 8 juli 2014 12:51

Er staat helemaal niks in het bronartikel dat de beste meneer is opgepakt in Guam, hoe komt Tweakers hier bij?

bluser86 @MrRobin • 8 juli 2014 13:04

Eerste alinea, tweede artikel.

uip @bluser86 • 8 juli 2014 18:25

Blijft natuurlijk de vraag .. wat doet een Rus in Guam? Het is niet dat hij er toevallig was, in transit ofzo...

BoumaBouma 8 juli 2014 13:07

Ik ben wel benieuwd hoe ze die Rus te pakken hebben gekregen. Aangezien het de secret service is moet ik gelijk aan afluister praktijken denken. Zijn die daar voor ingezet? Heeft dat zin gehad? Of is dit weer zo'n typisch geval waar al dat afluisteren niet bij heeft geholpen, was het gewoon weer old-school recherche werk?

hardwareaddict @BoumaBouma • 8 juli 2014 15:22

Om je betalingssysteem schoon te houden zet je letterlijk alles in wat je hebt.

Bomberman71 8 juli 2014 14:23

Mooi, in de USA weten ze tenminste met criminelen om te gaan ....

blouweKip 8 juli 2014 17:01

Het lijkt de zoon te betreffen van een russisch doema lid:
http://yro.slashdot.org/s...p-in-maldives-for-hacking

De russen klagen al over kidnapping, beetje ironisch natuurlijk.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (47)

Sorteer op:

Weergave: