Woensdag 08/04/2020

Hackers stelen gegevens van 130 miljoen kredietkaarten

Hoofdverdachte Albert Gonzalez (28) brak met de diefstal zijn eigen record. In 2005 zou hij aan de haal zijn gegaan met de gegevens van 40 miljoen kredietkaarthouders, nadat hij de database van retailketen TJX had gekraakt. Twee jaar eerder was Gonzales ironisch genoeg nog ingeschakeld door de Amerikaanse geheime dienst in de strijd tegen hackers.

Volgens de aanklacht begon Gonzalez in oktober 2006 met het hacken van verschillende servers, waaronder die van warenhuis 7-eleven, supermarktketen Hannaford Brothers en Heartland Payment Systems, de op vier na grootste verwerker van kredietkaartbetalingen. Op twee jaar tijd slaagde hij er, samen met twee Russische kompanen, in om 130 miljoen gegevens van kredietkaarthouders te verzamelen. De aanklagers spreken van de grootste internetroof in de Amerikaanse geschiedenis.De hackers wisten via een ingewikkeld kluwen van hackingtechnieken de antivirusprogramma’s van de getroffen computers te omzeilen. Ze konden een programma in het interne systeem binnenloodsen, waardoor de kredietkaartnummers werden overgeheveld naar servers in Californië, Illinois, Letland en Nederland. Het drietal maakte daarbij gebruik van een zogenaamde SQL-injectie. “Een veelgebruikte aanval onder de hackers”, weet Eddy Willems, beveiligingsexpert bij Kaspersky. “Het is een vrij eenvoudige techniek. Sommige databanken van bedrijven tonen plots alle gegevens als je in plaats van correcte inloggegevens een reeks vreemde karakters ingeeft. Alleen moet je er wel eerst in slagen om in te breken in het interne computersysteem van een bedrijf. In dit geval hebben de hackers de SQL-aanval dan ook gecombineerd met een heleboel andere, complexe technieken, onder meer om hun sporen uit te wissen.” Dat de hackers twee jaar lang hun gang konden gaan, heeft volgens Yves Van Seters, woordvoerder van IBM, ook te maken met het feit dat veel Amerikanen over meerdere kaarten beschikken: “Daar zitten ‘slapende’ kaarten tussen, die niet vaak worden gebruikt.”Hoofdverdachte in de zaak, de 28-jarige Albert Gonzalez, was niet aan zijn proefstuk toe. De man wacht momenteel in een gevangenis in New York zijn proces af in de Dave & Busters-zaak, waarbij belangrijke gegevens uit de databank van de restaurantketen werden gestolen. In 2005 zou hij eveneens aan de haal zijn gegaan met de gegevens van 40 miljoen kredietkaarthouders die bij retailketen TJX hadden geshopt. Ironisch genoeg werd Gonzalez in 2003 nog door de Amerikaanse geheime dienst ingeschakeld in de strijd tegen hackers. Hij zou toen één crimineel op de hoogte hebben gesteld dat die gezocht werd. Hij zal waarschijnlijk terecht staan in 2010 en riskeert wellicht 20 jaar cel. Zijn twee Russische kompanen zijn nog spoorloos.

Geen Belgische gedupeerden

Een aantal van de gestolen gegevens werd door het drietal online verkocht, en vervolgens gebruikt om geld af te halen of aankopen te verrichten. Toen Atos Wordline, een bedrijf dat het betalingsverkeer in België regelt, in augustus 2008 door Visa en Mastercard op de hoogte werd gesteld van de grootschalige internetfraude, besloot de firma meteen enkele kaarten van Belgen te blokkeren die in één van de getroffen bedrijven hadden betaald. “Een preventieve maatregel”, legt woordvoerder Jean-Michel Dasnoy uit. “Echte gedupeerden waren er bij mijn weten niet. We hebben wel iedere dag kleinere aangiftes. Mogelijk zat er daar eentje tussen. Gek genoeg waren veel van de gestolen gegevens afkomstig van kredietkaarthouders die aan de kassa van zo’n warenhuis hadden betaald. De gegevens werden blijkbaar opgeslagen in het systeem van de ondernemingen. In ons land komt zoiets normaal gezien niet voor.” Zelfs zonder pincode zijn kredietkaartnummers erg gegeerd op de Amerikaanse zwarte markt. “Uit eigen ervaring weet ik dat winkeliers in de VS zelden vragen om een handtekening of pincode als je er met creditcard betaalt”, zegt Graham Cluley, hoofdanalist bij beveiligingsbedrijf Sophos. “Het valt ons op dat het aantal feiten van computermisdaad toeneemt. Niet enkel in de VS, het is een wereldwijd probleem.” Volgens Yves Van Seters werd de totale omzet van cybercriminelen in 2007 door het Amerikaanse ministerie van justitie geraamd op 100 miljard dollar. “Kredietkaartgegevens worden in pakketjes van 200 of 500 op bepaalde sites aan de man gebracht tegen 1 dollar per kaartnummer”, aldus Van Seters.

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234