'Open source' criminaliteit: na de Nigerianen de Russen en Roemenen

Uiterst flexibel opererende virtuele 'bendes' waarbinnen de spelers nauwelijks bekend zijn maar voortdurend elkaar de bal toespelen voor criminele doeleinden: zie hier de aard van wat privé-detective Frank Engelsman van Ultracan betitelt als 'open source criminele netwerken'.

Een goed jaar geleden spraken we Engelsman uitgebreid rond een rechtszaak van Nigerianen in Haarlem. Ze zijn uiteindelijk veroordeeld voor de '419-fraude'. Hij waarschuwde toen al voor de komst van Roemeense bendes die hadden georganiseerd rond het skimmen van bankpassen. En zie, afgelopen weken 'oogste' Engelsman, met onder meer gisteren een interview bij een reportage van Netwerk van de EO.

statistisch verslag over 2006. Het gaat hier om hoge bedragen, bijvoorbeeld 368 miljoen dollar buitgemaakt vanuit Nederland en ruim 70 miljoen dollar aan schade bij Nederlandse slachtoffers. Het zijn onofficiële en ook oncontroleerbare cijfers, maar volgens Engelsman betrouwbare benaderingen.

Feit is dat in Nederland door Engelsman en het bovenregionale Amsterdamse team Apollo grote successen zijn geboekt bij het bestrijden van de Nigeriaanse fraude. Echter, Engelsman vertelde ons toen al: Je pakt en veroordeelt er hier honderd en elders staat een veelvoud op die zich nog flexibeler organiseert en de methoden nog sneller en moeilijker te traceren inzet en uitwisselt.

Open netwerken

Toen al sprak hij van 'open source' criminaliteit in navolging van de manier waarop internet wordt gebruikt voor open source softwareontwikkeling. Strikt genomen is een vergelijking op grond van de definitie van open source niet eenvoudig. Bij open source software draait het om vrije beschikbaarheid en rechten; om vrijheid van verkeer en van personen om bij te dragen.

Bij open source criminaliteit liggen de principes wat anders: het gaat om beweeglijkheid, flexibiliteit en anonimiteit. De meritocratie die de open source software tekent, dat wil zeggen zachte beloning in de vorm van respect en voldoening, zijn in criminele netwerken uiteraard niet aan de orde: het is vervangen door eens stelsel van beloning in geld, aanzien en de daaraan verbonden positie in netwerken.

Engelsman heeft getracht om in een notitie een beeld te schetsen van dergelijke netwerken, als basis voor een heldere filosofie op basis van praktijkervaring in criminaliteit:

Het is een, vanuit zichzelf, vernieuwende structuur, die resulteert in besluitvormingcycli die, significant korter zijn dan die van overheidsdiensten.

Omdat deze groeperingen geen zwaartepunt hebben - een leiderschapstructuur of een ideologie - zijn zij bijna immuun voor de toepassing van conventionele machtsmiddelen. De overheid treft hier geen gelijkwaardige tegenstander aan, maar een zichzelf aanpassend los netwerk van Open-Bron criminelen.

Engelsman traceerde de netwerken nauwkeurig met Apollo inzake de Nigeraanse 419-fraude, maar verklaart ze ook van toepassing op modern grensoverschrijdend terrorisme en criminaliteit zoals handel in drugs, vrouwen, wapens en plagiaatgoederen.

Creditcardfraude

De waarschuwing van Engelsman: Onvermijdelijk zal er een serie van aanvallen met grensoverschrijdende gevolgen binnen onze westerse samenleving gaan plaatsvinden. Hij krijgt gelijk: na de Nigerianen met 419-fraude, de Roemenen en Bulgaren met het stelen van pinpasdata zijn er dan de Russen die vaardig zijn in de handel van creditcarddata.

Gegevens van vele creditcardhouders, ook Nederlandse, zijn te koop op Russische criminele sites, zo toonde tv-programma Zembla afgelopen weekend samen met detective Frank Engelsman van Ultrascan.

Voor vijf dollar per stuk kochten ze van acht willekeurige 'personages': hun namen, huisadressen, e-mailadressen, telefoonnummers en creditcard-gegevens. Met die gegevens heeft Zembla probleemloos aankopen gedaan. Die werden betaald door de bezitters van de creditcard.

Samen met thrillerschrijver Charles den Tex ging Zembla na hoe veilig persoonsgegevens bij overheid en bedrijfsleven zijn. De meeste bedrijven wilden daar liever niet op antwoorden en harde gegevens blijken er maar weinig te zijn. Identiteitsfraude hoeft in Nederland namelijk niet te worden gemeld, met als gevolg dat ook de slachtoffers er vaak pas veel later achterkomen dat hun gegevens zijn gestolen.

Met behulp van veiligheidsexperts blijkt het vrij eenvoudig te zijn om op Russische sites te komen waar creditcardgegevens worden verkocht. Gegevens die blijkbaar niet goed beveiligd waren en door criminelen konden worden onderschept.

In één geval deed Zembla een kleine aankoop, die vervolgens bij de eigenaar van de creditcard werd bezorgd. In andere gevallen kocht Zembla spullen die wel door de eigenaren van de creditcards werden betaald, maar op andere adressen werden afgeleverd.

De banken en creditcardmaatschappijen doen geen uitspraken over de grootte van fraude met creditcard-gegevens. Net als verschillende internetwinkels verklaren zij dat ze er alles aan doen om de veiligheid van de gegevens te beschermen.

Creditcardgegevens worden vooral via skimmen, het hacken van webshops en data lekken verkregen. De gestolen gegevens worden vervolgens via het internet, in zogenaamde carding fora en databases, aangeboden. De prijzen per creditcard variëren van 50 cent tot 5 euro, afhankelijk van de hoeveelheid geleverde data.

Ondergrondse waarden

Deze wereld wordt volgens Engelsman beheerst door zogenaamde Open Source Criminele Netwerken (OSCN).

Criminelen verkrijgen de gegevens vaak via 'skimmen', waarbij de creditcardkaartlezer is gekraakt. De criminelen wisselen de kaartlezer om, of plaatsen een zogenaamd skimapparaat op de lezer. Vanaf dat moment kopieert de kaartlezer tijdens het afrekenen creditcard- of pingegevens. Deze worden opgeslagen in de kaartlezer. Na een bepaalde periode halen de criminelen de gegevens weer op en verkopen de zo verkregen gegevens via internet.

Nog een methode: Bij zogenaamd Card Not Present transacties, internetaankopen, verlangt de webshop dat kopers creditcardgegevens intikken, inclusief CVC code eventueel secure code, naam en (aflever-)adres. Kopers worden ongemerkt naar een criminele website geleid waar ze al hun gegevens intikken. Kopers denken af te rekenen maar de criminelen hebben net de identiteit buitgemaakt.

Soms ook wordt de database van de webshop of bank gekraakt inclusief betaalgegevens. Engelsman: Een paar maanden geleden werden er bij Best Western hotels van 8 miljoen gasten alle betaalgegevens gestolen. In augustus werden bij T-Mobile de kaartgegevens van 30 miljoen klanten gestolen en in het voorjaar bij de Amerikaanse winkelketen T.J. Maxx de kaart gegevens van 40 miljoen klanten. In de Arabische Emiraten was er tussen februari en augustus 2008 sprake van een netwerk hack bij de verwerkers van betalingen.

Nu begint de handel. De gestolen gegevens worden via het internet via beveiligde webshops aangeboden. Hier kunt u per land, per bank, per kaartsoort uw bestelling plaatsen en afrekenen. Voor 50 cent levert men creditcardnummer en CVC code, voor 5 euro ook het volledige adres en secure code. Alsof men een boek op Bol.com koopt.

Het misbruiken van de gestolen gegevens vindt hoofdzakelijk op twee manieren plaats:

1. De crimineel koopt met gestolen creditcardgegevens goederen op het internet en laat die, vaak via handlangers, zogenaamde mules, bij zich afleveren.

Kaartgegevens worden gebruikt voor het aankopen van kinderporno of wapens. Engelsman: Er zijn vele gevallen bekend waar het leven van mensen volledig geruïneerd is, omdat hun creditcardgegevens opdoken in politie onderzoeken.

2. De crimineel maakt een nieuwe fysieke creditcard op basis van de data. Vervolgens wordt een banksaldo op de creditcard afgenomen bij een geldmachine. Engelsman: Wie is er verantwoordelijk? Dat is de kaarteigenaar. Tot nu toe is het zo dat je moet bewijzen dat je niet degene was die de aankopen heeft gedaan.

Kenmerken open source 'crimi'

Het stelen van kaartgegevens wordt volgens Engelsman gedaan door criminelen in wat hij noemt 'Open Source Criminele Netwerken (OSCN). Open Source Criminele Netwerken hebben een aantal kenmerken:

1. OSCN hebben vrije of zeer goedkope toegang tot alle benodigdheden om hun misdaden te plegen. De belangrijkste benodigdheid, het internet, is bijna overal ter wereld toegankelijk, voor weinig geld, zeker in verhouding tot de mogelijke criminele opbrengsten.

2. De criminelen en slachtoffers bevinden zich in verschillende jurisdicties. Dit bemoeilijkt het berechten.

3. De criminelen opereren anoniem en spelen data onderling snel door. Dat bemoeilijkt het opsporen.

In Amerika wordt identiteitsfraude, zegt Engelsman, en andere internet gerelateerde criminaliteit via OSCN als nationaal risico aangemerkt, omdat dit soort criminele netwerken in staat zijn om vitale publieke systemen te ondermijnen. FBI, geheime diensten en zelfs het Defense Inteligence Agency proberen dit te bestrijden. Barack Obama krijgt het advies om de bestrijding van 'cybercrime' opnieuw op te zetten teneinde die effectiever te maken.

Engelsman: In Nederland worden internet gerelateerde criminaliteit en de grote anonieme criminele netwerken nog steeds zwaar onderschat en door de overheid vooralsnog afgedaan als een persoonlijk probleem of een probleem van banken en creditcardmaatschappijen. Er is geen sprake van enige urgentie bij de overheid, laat staan dat het als een nationaal risico wordt behandeld.

Volgens de banken is het een probleem van creditmaatschappijen, wat vreemd is, omdat het dezelfde criminele netwerken zijn die internet bankieren en debit kaarten als doelwit hebben. Het resultaat is dat iedereen naar elkaar blijft wijzen. Sommigen dringen aan op internationale samenwerking bij opsporing, maar tegelijkertijd staat privacywetgeving een noodzakelijke gegevensuitwisseling in de weg. Er wordt dus niets aan onderzoek en bestrijding gedaan en identiteitsfraude en OSCN blijven explosief groeien.

Volgens Engelsman moeten er veel meer budgetten voor onderzoek en bestrijding worden vrijgemaakt zodat de politie tijd en mankracht heeft om deze vormen van grensoverschrijdende criminaliteit aan te pakken.

De overheid moet het zich volgens Engelsman mogelijk maken om, desnoods met terugwerkende kracht, inzicht te krijgen in alle datalekken, of dit nu de persoonsgegevens van 50 werknemers gaat of om verlies van miljoenen gegevens van een belastingdienst. Deze datalekken en de mogelijke consequenties moeten in een continu 24/7 multinationaal overleg behandeld kunnen worden om zo te allen tijde een adequaat risicoprofiel te hebben.

Verder moet de overheid grootschalige onderzoeken naar grensoverschrijdende OSCN mogelijk maken: Volgens de weinige opsporing autoriteiten met real time kennis over de materie zijn ze al te laat voor preventie en is het meer een zaak van wat te doen tijdens en na incidenten. De open source criminele netwerken zijn flexibeler dan overheden en lopen constant meerdere stappen voor met het bedenken en uitvoeren van criminele handelingen.

Infiltratie nodig

Volgens Engelsman is inzet van technologie niet afdoende: Het mag duidelijk zijn dat techniek niet geleid heeft tot identificatie en opsporing van de sleutelfiguren. Ook aangeboden hulp vanuit de netwerken van spijtoptanten en informanten heeft niet tot successen in opsporing geleid, eerder het tegendeel.

Dit duidt volgens Engelsman de noodzaak aan van inzet van 'Human Intelligence' ofwel rechercheurs en opgeleide infiltranten om de netwerken in kaart te brengen en te bestrijden. Volgens Engelsman moet bovendien wetgeving worden verruimd. De noodzakelijke opsporingsmethoden zijn echter volgens Engelsman niet toegelaten voor politiediensten. Hij noemt als groot probleem ook de privacywetgeving die grensoverschrijdend uitwisselen van persoonsinformatie in de weg staat.

Engelsman weet zeker: De OSCN zijn te ontwikkeld en niet meer door de politie te bestrijden. Er moet veel flexibeler en grensoverschrijdend worden gewerkt en je moet het publiek ook inzetten om te helpen. Dat moet veel alerter worden gemaakt op signalen van criminaliteit. Die moeten ze eenvoudig kunnen melden en de recherche moet er a la seconde mee aan de slag kunnen.

Volgens Engelsman wordt het gat tussen de slagvaardigheid van de open source criminele netten en de bestrijding momenteel eerder groter dan later: Internationale afspraken voor grensoverschrijdende bestrijding hiervan laten echt veel te lang op zich wachten.

'Business case scenario' van cybercriminaliteit van Frank Engelsman

Het is vrijdag nacht 2 december 2005, in een Zuideuropese kustplaats. Peter is een 17 jaar oude IT-gaststudent en mag voor de eerste keer met zijn vrienden mee om skimapparatuur te plaatsen op bank automaten in de buurt. De voorgaande maanden was hij met chatten en mailen al ingewijd in 'the carding business' op het internet. Hij wist dus al waar apparatuur en kaartgegevens werden verhandeld.

Ze plaatsen de skimmers met camera's voor één dag en twee nachten. Voor ze vertrekken controleren ze nog de verbinding tussen de camera en de laptop die ze in de geparkeerde auto achterlaten. Tot zondagochtend moeten ze afwachten of hun skimmers een goede buit binnenhalen.

Peter heeft tijdens zijn kennismaking wel heel hoge bedragen gehoord maar is voor deze eerste keer 'meelopen' 500 euro toegezegd als de operatie slaagt. Voor Peter is dat een behoorlijk bedrag, meer dan hij met, zijn bijbaantje, het schoonmaken van jachten in de haven verdient...

En er is hem beloofd dat er geen enkel risico aan kleeft. Na het plaatsen van de apparatuur nemen zijn vrienden hem mee naar een club en trakteren hem op drank, drugs, 'vriendinnen' en sterke verhalen. Ze feesten tot zondagochtend vroeg.

Het zijn twee druk bezette bankautomaten in een doorgaande straat met veel zakelijke passanten en toeristen. De jongens hopen op veel kaartverkeer met minimaal 500 kaartgegevens. Met liefst enkele tientallen uit het hogere segment, kaarten met hoge limieten en saldo's.

De jongens halen zondagmorgen even na vijven de skimapparatuur en camera's van de cash machines en rijden snel naar de campus, waar ze de kaartgegevens uit de skimmer en codes van 603 kaarten combineren. Er zitten 12 kaarten tussen met zeer hoge limieten en daarvan houden ze er vijf voor eigen gebruik. 598 nummers worden via het internet gecodeerd verstuurd naar Roemenie, Italië en Engeland.

De jongens krijgen via veel omwegen e-banking, money mules en money transfers van in totaal 556.140 euro binnen. De kosten aan hun kant waren ongeveer 8.000 euro voor apparatuur inclusief twee laptops, software telefoons en een weekend feest. De vrienden van Peter betalen naar eigen zeggen van hun netto opbrengst ook nog 30 procent protectiegeld aan een lokale maffiabaas. De totale schade voor de banken en klanten bedraagt meer dan 1,2 miljoen euro.

Peter ontvangt de woensdag daarna zijn 500 euro en zijn vrienden vragen of hij nog een rondje skimmen wil meelopen in een naburige plaats. Peter is echt geschrokken van de resultaten en de contacten met de lokale maffiabaas: hij zegt dat hij dat soort contacten niet in zijn toekomst passen.

Twee weken later begint de criminele carrière van Peter. Hij vindt anoniem zijn contacten via de bij hem nu bekende internetforums en bestelt, om te beginnen, één bankautomaat skimmer, en betaalt met een Western Union transfer aan een Chinese dame in Maleisië die hij niet kent.

De volgende morgen ontvangt hij van de verkoper een bevestiging en identificatienummer waarmee hij de spoedzending kan volgen via de website van de transporteur. Hij monteert zelf een mini camera in een strip die onopvallend op 'zijn' bank machine past.

Op vrijdagochtend 23 december 2005 leent hij een auto en plaatst de skimmer en de camera op een passende bankautomaat bij een winkelcentrum. Zijn eerste skim actie levert met wat horten en stoten in de eerste week van 2006 al 179.200 euro op.

In de periode 2006 en 2007 verdient Peter meer dan 8 miljoen euro in zeven Europese en één Noord-Afrikaans land, Zijn handel word met slechts enkele maanden arrest onderbroken, kort vanwege de betaling van 100.000 aan een corrupte ambtenaar.

Peter reist nu tussen de mondaine ligplaatsen van zijn plezierjachten. Reizen heeft hij altijd al gewild want zijn grote familie is verdeeld over twee landen. Wanneer hij zijn oude carding vrienden uit het milieu ontmoet dan is dat meestal op luchthavens en vaak komt hij een paar dagen of soms weken te laat om zo zijn activiteiten te verhullen, zijn vrienden wachten graag.

Hij is nu een held van een schare anonieme deelnemers aan zijn criminele virtuele netwerk. Hij weet zelf niet of er anderen in zijn netwerk beter of rijker zijn en dat interesseert hem ook niet want er is genoeg voor iedereen…

Peter Olsthoorn

Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0