Reportage

'Hebt u zojuist gewinkeld in Letland, Singapore en Australië?'

Jaarlijks gaan miljarden verloren door zwendel met creditcards. De afdeling fraudedetectie van kaartuitgever ICS betrapt dieven op heterdaad. Bij ongewone betalingen wordt de klant gebeld: 'Hebt u zojuist gewinkeld in Letland, Singapore en Australië?'

null Beeld Kaj van Ek
Beeld Kaj van Ek

Jeffrey Henn is nog niet zover als de politiemannen in Minority Report, de sciencefictionfilm uit 2002 waarin Tom Cruise boeven in de kraag vat voor ze hun misdrijf hebben begaan. Maar Henn betrapt misdadigers wel met een snelheid die de politie zelden haalt: op heterdaad. Hij hoeft er niet eens met gillende sirenes op af. Henn klikt gewoon op een computerscherm.

Kaarthouders

'We zien op dit moment transacties die er ongewoon uit zien', legt de fraudebestrijder van International Card Services (ICS) in Diemen per telefoon uit aan een klant. 'Heeft u het afgelopen uur bestellingen gedaan op internet? Bij webwinkels in Singapore? In Letland? Australië? Nee, dat vermoeden hadden wel al. Uw creditcard is vrijwel zeker gebruikt voor fraude. We gaan de kaart blokkeren en de afgeboekte bedragen terugstorten.'

Henn werkt op de afdeling fraudedetecie van ICS, de grootste uitgever van creditcards van Nederland. Een van de taken van ICS is voorkomen dat zijn drie miljoen kaarthouders door oplichting het schip ingaan. Bij uitzondering mocht de Volkskrant een blik werpen achter de schermen.

De vriendelijke ober in dat restaurant op Molyvos die bij het afrekenen met de creditcard stiekem een extra sales slip maakt, een ouderwets papieren betaalbewijs, zal een keer tegen de lamp lopen. Uiteindelijk bij André IJbema, een voormalige wijkagent en rechercheur van de Utrechtse politie. Hij leidt niet alleen de fraudebestrijding bij ICS, maar ook de afdeling die kaarthouders helpt als goederen niet worden geleverd. 'Maar als ik me ermee moet bemoeien, hebben we iets niet goed gedaan', zegt IJbema. Zijn afdeling - een kleine veertig mannen en vrouwen sterk - vertrouwt op sterke computers, slimme software en een grote berg historische data om schurken de pas af te snijden.

Digitale zeef

Elke transactie - 75 miljoen per jaar - gaat bij ICS door een digitale zeef. Een computerprogramma trekt aan de bel als een afboeking er verdacht uitziet. ICS beschikt over een gedetailleeerd profiel van elk van zijn klanten, inclusief betalingspatroon. Als daarin afwijkingen ontstaan, geeft de computer een seintje.

Zo'n melding kan bijvoorbeeld binnenkomen bij een betaling in Brazilië door een klant die met zijn creditcard nooit verder is geweest dan Frankrijk en er alleen benzine tijdens de zomervakanties mee afrekent. Een afboeking van een dure computer bij een klant die zijn creditcard normaal alleen gebruikt voor internetabonnementen? Even checken. Een betalingsakkoord dat om 13.05 uur wordt gevraagd door een internetloket in Duitsland en weer een half uur later een afboeking bij een webshop in China? Dat stinkt.

'De computer bekijkt elke transactie aan de hand van 150 rules', zegt Sascha de Cocq. Zij zit in een team van vijf analisten dat continu de software aanpast waarmee de computer het kaf van het koren scheidt. Het recherchewerk van Henn na een fraudemelding is daarom cruciaal voor haar werk. 'We leren van elke alert, of-ie terecht was of niet. Zo kunnen wij de software fijner afstemmen.'

Daarbij moet vooral worden voorkomen dat de computer het betaalgemak van de consument hindert door te veel onterechte fraudemeldingen. 'Om die redenen hanteren we het beleid dat er minimaal twee paar ogen naar een rule kijkt voor we die invoeren', zegt De Cocq. 'Je wilt ook niet hebben dat door een verkeerde komma de boel in het honderd loopt.'

André IJbema wil niet zeggen hoe veel fraudegevallen ICS in een jaar voor zijn kiezen krijgt. 'Bij een op de tienduizend transacties slaat de computer aan. Maar dat wil niet zeggen dat er ook daadwerkelijk iets mis is. Het gaat om een fractie daarvan.'

Volgens sommige schattingen gaat er wereldwijd jaarlijks rond de 13 miljard dollar (ongeveer 12 miljard euro) verloren door zwendel - de helft daarvan in de Verenigde Staten. Dat lijkt veel, maar alleen al de Amerikanen rekenen per kwartaal bijna 520 miljard dollar af met hun kredietkaart.

Van magneetstrip naar chip

Het geknoei met creditcards is aanzienlijk afgenomen na 2003. In dat jaar gingen creditcarduitgevers kaarten voorzien van een EMV-chip waarop de klantengegevens versleuteld staan opgeslagen en die betalingen met pincode mogelijk maakte.

Voordat de chip standaard werd, stond de klantdata op een magneetstrip die gemakkelijk te kopiëren was en zonder veel moeite op een valse pas viel over te brengen. Ook op de nieuwe passen zit nog altijd een mag-neetstrip; niet overal is men al op de chip- en pin-kaart overgestapt. Nota bene in het geboorteland van de creditcard, de VS, eisen Visa en Mastercard pas sinds begin deze maand dat banken alleen kaarten uitgeven met een chip en eisen ze van winkels dat ze een chiplezer hebben. In de VS zijn 1,2 miljard creditcards in omloop (van de 2 miljard wereldwijd).

Internet

Vanwege de komst van de chip-enpinkaart hebben de oplichters hun werkterrein verplaatst. '70 procent van de fraudegevallen vindt plaats op internet', zegt IJbema. In het jargon wordt zo'n virtuele transactie aangeduid met card not present: de winkelier kan de chip- of magneetkaart niet uitlezen en hij kan ook niet de identiteit van de klant checken met handtekening, rijbewijs of paspoort.

Webwinkels vragen daarom om de veiligheidscode van drie cijfers op de achterzijde van de kaart. Als ze extra controle willen, kunnen ze de 3D Secure Code toepassen die Visa en Mastercard een kleine tien jaar geleden introduceerden. Daarbij moet de klant een extra beveiligde digitale transactie goedkeuren met een uniek wachtwoord, een e-code die ze op hun smartphone genereren of een selfie, waarmee onlangs een experiment is begonnen. Lang niet alle bedrijven die online zakendoen hebben deze extra beveiliging aangebracht.

Phishing

IJbema: 'Winkeliers maken een afweging. Als het om kleine bedragen gaat en het financiële risico is te overzien, wil je klanten er misschien niet mee lastigvallen.' Schade door fraude komt in veel gevallen volledig voor de rekening van de winkel of het bedrijf dat creditcards accepteert.

Omdat er relatief zo weinig voor nodig is - het nummer van de kaart, naam, adres, woonplaats en CVC-code - is de creditcard gewild bij fraudeurs en hackers. Een populair middel om kaarthouders die gegevens af te troggelen, is een goed nagemaakte e-mail waarin de bank of ICS de klant vraagt zijn 'gegevens te verifiëren' op een vervalste website.

In Diemen heeft Wouter Boerema een dagtaak aan het checken van dit soort phishing mails, die oplettende klanten naar ICS sturen. 'Soms zie je in een oogopslag dat het bedrog is. Andere keren gaan de hackers veel geniepiger te werk.' Op een gemiddelde dag haalt Boerema in overleg met providers zo'n 25 zwendelsites uit de lucht.

'Wouters computer heeft als enige in het bedrijf een eigen verbinding met internet. Hij staat volledig losgekoppeld van ons bedrijfsnetwerk', vertelt IJbema. 'Voor de zekerheid wissen we ook elke dag de harde schijf en zetten er alle software opnieuw op.'

Tips bij fraude
- Shop vooral op betrouwbare, gerenommeerde websites.

- Kijk of een webwinkel een van de logo's 'Verified by VISA' of 'MasterCard SecureCode' draagt.

- Check of het adres van de website begint met https://, of dat er rechtsonderin een pictogram van een slotje staat

- Controleer regelmatig uw afschrijvingen

- Geef nooit persoonlijke gegevens af in een telefoongesprek of e-mail.

- Wantrouw telefoontjes van uw bank of creditcarduitgever die uw gegevens willen verifiëren. Vraag om naam en telefoonnummer van de beller en check of dat overeenkomt met het nummer van de servicedesk (staat op achterzijde van de kaart).

- Wantrouw mails waarin wordt gevraagd een nieuwe creditcard aan te vragen via een website, omdat de oude 'verlopen' of 'geblokkeerd' is.

- Gebruik aparte kaarten voor online gebruik en voor in winkels, hotels, restaurants

- Stel een 'Card Alert' in, waarbij de bank een sms stuurt bij betalingen boven een bepaald bedrag.

Handel in gestolen gegevens weinig lucratief

Op internet wordt volop illegaal gehandeld in gestolen creditcards en nog meer in de gegevens van kaarthouders. Voor een betaalmiddel waarmee de eigenaar in de meeste gevallen tot 2.500 euro op de pof kan kopen, leveren die gegevens relatief gezien weinig op, constateerden onderzoekers van Intel Security twee weken geleden: 5 tot 30 dollar (4,5 tot 28,50 euro). De prijzen dalen al jaren gestaag. Ruim twee jaar geleden rekenden hackers nog gemakkelijk het drievoudige van de huidige prijzen.

De 'tarieven' hangen af van de 'versheid' van de gegevens, het land van uitgifte en hoeveel data er voorhanden is. Op de ondergrondse markt maken handelaren grofweg onderscheid tussen drie typen.

Een 'CVV'-bestand bevat verschillende gegevens, zoals de naam van de kaarthouder, het nummer van de kaart, de vervaldatum en de CVV-code (de drie cijfers op de achterzijde van een creditcard of pinpas). Een Amerikaanse CVV is al te koop voor 3 dollar, een Europese versie voor het drievoudige.

Overledenen

Een DUMP is meer waard: hier gaat het om gegevens die met een gekraakt leesapparaat van de magneetstrip van een creditcard zijn gehaald (skimming). Criminelen kunnen die gegevens naar een blanco kaart kopiëren. De opbrengst is in potentie hoger. De prijs voor een DUMP varieert van 20 tot 60 dollar.

Het lucratiefst is een FULLZ, waarbij de kaartgegevens worden aangevuld met persoonlijke gegevens als geboortedatum, bankrekening- en sofinummer (social security number in de VS). De prijs voor zo'n profiel kan oplopen tot 125 dollar. Op zwarte markten wordt ook gehandeld in de data van overledenen. Die brengen aanzienlijk minder op: 1 tot 3 dollar.

Voor de verkopende partij zijn CVV's en FULLZ van overledenen toch de moeite waard: ze verkopen ze meestal in grote partijen. Bij grote computerinbraak maken hackers vaak bestanden buit van miljoenen klanten.

Tot nu toe konden afnemers van gestolen gegevens alleen terecht op het dark web, een deel van internet dat alleen met speciale software valt te bezoeken (zoals de TOR-browser). Maar steeds vaker adverteren de datadieven op gewone websites en zelfs op YouTube, aldus Raj Samani, technisch directeur van Intel Security.

Meer over