'Soupnazi' overtreft zichzelf met superkraak

Amerikaan Gonzalez vast voor grootste creditcardfraude in geschiedenis VS...

Van onze verslaggever Ayolt de Groot

AMSTERDAM Albert Gonzalez, sinds maandag hoofdverdachte in de grootste creditcardfraude in de Amerikaanse geschiedenis, heeft zichzelf overtroffen. De 28-jarige hacker zit al sinds mei 2008 vast op verdenking van gegevensdiefstal. Maar waar het in die zaak gaat om ‘slechts’ 40 miljoen creditcards – tot deze week het record –, zijn het er nu 130 miljoen.

Het Amerikaanse Openbaar Ministerie bracht maandag de details van de fraude, die werd gepleegd tussen oktober 2006 en mei 2008, naar buiten. Samen met twee Russische handlangers zou Gonzalez, die zich op internet ‘Soupnazi’ noemt, hebben ingebroken op de computers van vijf grote winkelketens, waaronder Hannaford en 7-Eleven. Ook drong hij het systeem van Heartland Payment Systems binnen, een bedrijf dat creditcardtransacties verwerkt.

Hoewel de omvang van de fraude ongekend is, gaat het om een ‘reguliere’ creditcardfraude zoals die op internet vaker gebeurt, zegt Peter van Rossum, universitair docent computerbeveiliging aan de Radboud Universiteit Nijmegen.

‘Hackers komen binnen door misvormde berichten te sturen naar de computers die de creditcardgegevens verwerken’, legt hij uit. ‘De systemen raken daarvan in de war, waarna de hackers via de achterdeur naar binnen glippen, om hun eigen programmatuur te installeren, die de gegevens onderschept en doorstuurt.’

Deze informatie wordt vervolgens doorverkocht: ‘Daar zit een hele ondergrondse economie achter.’ Zelf doen de hackers meestal geen betalingen met de gestolen gegevens: ‘Dan lopen ze een te groot risico gepakt te worden.’

Bij de kraak waarvan Gonzalez wordt verdacht, werd gebruik gemaakt van computerservers op diverse plaatsen in de wereld. Naast onder meer Letland en Oekraïne, fungeerde ook Nederland als basis. Wat hiervoor de reden is, weet Van Rossum niet. ‘Blijkbaar is het in Nederland mogelijk om eenvoudig onder de radar door te vliegen.’

Gonzalez, die een gevangenisstraf van 25 jaar en een boete van 500 duizend dollar (355 duizend euro) boven het hoofd hangt, werd reeds in 2003 gearresteerd als een van de 26 leiders van een vierduizend leden tellende hackersclan. Hij werd echter niet vervolgd, maar trad in dienst van de Amerikaanse geheime dienst om te helpen computerkrakers op te sporen.

Gonzalez zette zijn illegale activiteiten echter voort. Hij wordt er verder van verdacht te hebben ingebroken op het netwerk van restaurantketen Dave & Buster’s. Ook zou hij via inbraken bij een aantal grote bedrijven de gegevens van 40 miljoen kaarthouders hebben ontvreemd. Een van die bedrijven is retailketen TJX, die 200 miljoen dollar schade opliep.

Meer over