beveiligingswereld.nl - Gisteravond kwam Zembla met een uitzending over creditcardfraude en hoe eenvoudig het is om die gegevens te misbruiken, tot grote schrik en verbazing van de politiek en het OM.
Zo gaat D66 Tweede Kamerlid Alexander Pechtold vragen stellen en wil het OM dat er een meldplicht voor gehackte websites en bedrijven komt. De gestolen gegevens werden via besmette machines en gehackte websites bemachtigd en kwamen daarna in handen van Zembla. De informatie kan echter ook via skimming worden verkregen, zo waarschuwt fraudebestrijder Ultrascan. De prijzen per creditcard variëren van 50 Eurocent to 5 Euro, afhankelijk van de hoeveelheid geleverde data.
De handel in gestolen identiteitsgegevens wordt beheerst door zogenaamde Open Source Criminele Netwerken (OSCN). Open Source Criminele Netwerken hebben een aantal kenmerken. Ten eerste hebben OSCN vrije of zeer goedkope toegang tot alle benodigdheden om hun misdaden te plegen. De belangrijkste benodigdheid, het internet, is bijna overal ter wereld toegankelijk, voor weinig geld, zeker in verhouding tot de mogelijke criminele opbrengsten. Ten tweede, bevinden de criminelen en slachtoffers zich in verschillende jurisdicties. Dit bemoeilijkt het berechten. Ten derde, opereren deze criminelen anoniem. Dat bemoeilijkt het opsporen.
Met name In Amerika en Groot-Brittannië komt identiteitsfraude veel voor, wat in het geval van de VS door het gebruik van het social security nummer wordt vergroot. Volgens de fraudebestrijder wordt internet gerelateerde criminaliteit en grote anonieme criminele netwerken nog steeds zwaar onderschat door de Nederlandse overheid en doet men dit vooral af als een persoonlijk probleem of een probleem van banken en creditcardmaatschappijen. "Er is geen sprake van enige urgentie bij de overheid, laat staan dat het als een nationaal risico wordt behandeld."
"Volgens de banken is het een probleem van creditcardmaatschappijen, wat vreemd is, omdat het dezelfde criminele netwerken zijn die internet bankieren en debit kaarten als doelwit hebben. Het resultaat is dat iedereen naar elkaar blijft wijzen. Sommigen dringen aan op internationale samenwerking bij opsporing, maar tegelijkertijd staat privacywetgeving een noodzakelijke gegevens uitwisseling in de weg. Er wordt dus niets aan onderzoek en bestrijding gedaan en identiteitsfraude en OSCN blijven explosief groeien."
Ultrascan merkt op dat dat er nauwelijks budgetten voor onderzoek zijn, laat staan voor de bestrijding ervan. Het gevolg is dat de politie geen tijd en mankracht heeft om deze vormen van grensoverschrijdende criminaliteit aan te pakken. Ook de fraudebestrijder ziet graag dat er een meldingsplicht voor gehackte bedrijven komt. "De overheid moet het mogelijk maken (met terugwerkende kracht) inzicht te krijgen in alle data lekken, of dit nu de persoonsgegevens van 50 werknemers gaat of om verlies van miljoenen gegevens van een belastingdienst." Verder zou de overheid grootschalige onderzoeken naar grensoverschrijdende OSCN mogelijk moeten maken. Het is de vraag in hoeverre dit nog helpt. Experts zijn ervan overtuigd dat "we al te laat zijn."
Meldplicht
Het College Bescherming Persoonsgegevens wil dat er een meldingsplicht voor gehackte sites en bedrijven komt: "Ik vind dat er een meldingsplicht zou moeten komen. Waardoor bedrijven die zien, of weten of kunnen weten dat er uit hun databases spullen zijn ontvreemd, dat die dat centraal zullen moeten melden, en openbaar moeten melden." Ook fraude-officier van Justitie mr. F. Speijers wil een meldingsplicht: Het bedrijf waar dat gebeurt is, behoort al die klanten te informeren Dan voorkom je voor een belangrijk deel dat ik geweldig verrast word dat er met mijn identificerende gegevens misbruik wordt gemaakt. Vergelijk het met normale diefstal en nu zijn het elektronische gegevens. En daar word ik dan niet over geïnformeerd? Ik vind dat dat ook zou moeten."
Eigenaren van een Mastercard Secure Code werden ook tijdens de uitzending gewaarschuwt. Wie zich in Nederland voor de kaart aanmeldt "om zich beter te beveiligen bij internet transacties" accepteert een eigen risico van 150 euro. De kaart blijkt echter helemaal geen extra veiligheid te bieden. Iedereen kan de door gebruiker zelf bedachte code laten resetten naar een nieuwe code en de betaling laten goedkeuren. Mocht de gebruiker een geldig kaartnummer invoeren, gecombineerd met een verkeerde naam, dan geeft het Secure Code systeem de correcte naam weer. Als laatste controleert het systeem alleen op de geldigheid van de kaart. In de uitzending bevestigt een ING-fraude medewerker de kwetsbaarheid van de kaart.
Examples of case research into various topics and alerts from the Ultrascan group and associates
Ultrascan HUMINT have primary sources, extensive experience with identifying, locating, mapping, monitoring, analysing and predicting perpetrators of money laundering and the planning, funding, communications and support of terrorism.
Ultrascan FIU Financial Intelligence Unit - A mixture of intelligence gathering, investigations, reputational risk mitigation and Innovative Technology in line of objectives. Focused on external information and stakeholder engagement, to detect exposure to financial crime risk.
Intelligence and Analysis. Wander Around in our Detailed Global Interactive Research - Criminal and financial relationships visualized - Non-linear - visualizes knowledge like you've never seen before - AML KYC FIU - Business Solutions - Innovative Technology