Cyberdreigingen in de financiële wereld: creditcardfraude
— 11 december 2018Creditcardgegevens vormen de levenslijn van het cybercriminele ecosysteem. Er zijn verschillende technieken waarmee cybercriminelen bank- en creditcardgegevens buitmaken, zoals virussen en phishing-campagnes. Deze aanvallen vormen echter slechts de eerste stap. Bij creditcardfraude komt nog veel meer kijken. Hierbij de drie stappen die cybercriminelen ondernemen om munt te slaan uit gestolen creditcardgegevens.
Stap 1: De laatste aanvalstechnieken bestuderen
De mechanismen van financiële instellingen ter voorkoming van creditcardfraude worden steeds beter. Cybercriminelen reageren hierop door hun tactieken aan te passen om zo hun slagingskansen te vergroten. Er zijn diverse manieren waarop fraudeurs op de hoogte blijven van de laatste trends en aan tips komen voor het uitvoeren van cyberaanvallen. Vorig jaar ontdekten we nog professionele e-learning cursussen voor creditcardfraudeurs, compleet met webinars, instructies en links naar naslagmateriaal. Geïnteresseerden moeten ongeveer 1.000 dollar neertellen voor deelname aan de cursus, die diverse leermodules beslaat. Zij leerden o.a. op welke soort creditcards en geografische regio’s zij zich het beste kunnen richten. De groeiende professionalisering en vindingrijkheid van fraudeurs is slecht nieuws voor creditcardbedrijven, webwinkels en consumenten. Banken kunnen dit soort trainingen echter bestuderen om zo de technieken van fraudeurs te leren kennen en na te gaan of hun klanten een populair doelwit zijn voor fraudeurs.
Stap 2: koop of verkoop van creditcardgegevens
Hoewel het heel goed mogelijk is dat cybercriminelen gestolen creditcardgegevens zelf voor frauduleuze doeleinden gebruiken, komt het vaker voor dat ze de verkregen informatie aan een distributeur verkopen. Automated Vending Carts (AVC’s) zijn webwinkels die een cruciale rol spelen bij de verkoop van gestolen creditcardgegevens. Ze kopen grote partijen creditcardgegevens in en verkopen die mondjesmaat aan iedereen die creditcardfraude wil plegen. AVC’s in de Verenigde Staten zijn met afstand het populairst (zie afbeelding 1).
Cybercriminelen nemen het zekere voor het onzekere. De meeste AVC’s hebben een ‘checker’. Dit is een functie die het rekeningsaldo bepaalt en controleert of de creditcardgegevens nog steeds geldig zijn. Als aspirant-fraudeurs creditcardgegevens aanschaffen bij een website zonder checker, kunnen zij de geldigheid daarvan ook laten controleren bij een Internet Relay Chat (IRC)-ruimte tegen een bedrag van 0,15 dollar per creditcard. Uit dit lage tarief blijkt duidelijk dat het cybercriminelen niet veel kost om winst te halen uit creditcardfraude. Banken kunnen websites op het dark web bezoeken om te kijken of daar bankidentificatienummers (BIN’s) worden vermeld, zodat ze fraude in een vroegtijdig stadium kunnen detecteren.
Stap 3: Fraude plegen en cashen
Na het inwinnen van de laatste technieken en/of aanschaffen van geldige creditcardgegevens maken fraudeurs deze informatie te gelde. Er zijn die veelvoorkomende technieken die zij hanteren:
- Directe aanschaf van goederen. Fraudeurs maken gebruik van websites die ‘cardable’ zijn. Dat betekent dat ze vanwege hun gebrekkige beveiligingsmechanismen vatbaar zijn voor aankopen met gestolen creditcardgegevens. Criminelen wisselen zelfs lijsten vol cardable websites met elkaar uit. Fraudeurs kunnen daar goederen aanschaffen en die vervolgens tegen een aantrekkelijke prijs aan derden aanbieden om het geld wit te wassen.
- Intercedentfraude. Hierbij geven fraudeurs zich uit voor een vertegenwoordiger van een hotel of luchtvaartmaatschappij. Ze maken een reservering op naam van de eigenaar van de kaart, wachten totdat de kaart is geverifieerd en wijzigen vervolgens de naam waaronder de reservering werd gemaakt.
- Valse bedrijven. Sommige cybercriminelen richten valse bedrijven op en zoeken naar werklozen en andere kwetsbare personen om hen voor ogenschijnlijk legitieme functies zoals ‘goederenbeheerder’ aan te nemen. Hun taak is vervolgens om de op illegale wijze verkregen goederen te verzenden. De websites van de valse bedrijven moeten er overtuigend genoeg uitzien om mensen over te halen om in dienst te treden.
Creditcardfraude weren: en carde!
Er zijn gelukkig diverse maatregelen die financiële instellingen kunnen treffen om deze vorm van fraude te detecteren gedurende alle stappen in het proces. Zo zijn er drie manieren waarop zij meer inzicht kunnen krijgen:
- Gebruik een benchmark om na te gaan hoe goed uw organisatie het doet ten opzichte van branchegenoten. Dit is bijvoorbeeld mogelijk door na te gaan welke creditcards criminelen afraden om te gebruiken.
- Bewaak IRC-kanalen voor het verifiëren van de geldigheid van creditcardgegevens op bankidentificatienummers (BIN’s) en ID’s van kaartverstrekkers (Issuer Identification Numbers; IIN’s) die erop duiden dat een cybercrimineel iemands creditcardgegevens aan het verifiëren is.
- Wees beducht op BIN’s en IIN’s die via AVC’s te koop worden aangeboden. Vaak is het mogelijk om de AVC op basis van vrije tekstinvoer te doorzoeken en de resultaten te filteren op BIN-nummer.
Cybercriminelen worden steeds slinkser, maar je kunt ze een stap voorblijven. Houd het openbare, deep én dark web in de gaten om te voorkomen dat frauders met jouw creditcards aan de haal gaan. Als je de crimineel snel genoeg spot, kun je het gevecht winnen!
Lees in dezelfde reeks, verzorgd door expert in digitaal risk management Digital Shadows, ook hoe banking trojans de financiële wereld bedreigen.