Direct je persbericht verspreiden onder journalisten, social-media en zoekmachines.
Startpunt voor de verspreiding van nieuwswaardige content.
Datum: zondag 10 augustus 2014
Bron: Actueel Nieuws
Vandaag meldt NRC Handelsblad dat de website OV-chipkaart.nl door technische problemen reisgegevens van OV-chipkaart gebruikers tonen aan andere chipkaartgebruikers. Door de technische problemen worden ook rekeningnummers, namen, woonadres en woonplaats soms zichtbaar en deze kunnen deels ook gewijzigd worden.
Crimescene.PRO kreeg onlangs informatie dat OV-oplaadpunten al langdurig worden gemanipuleerd door criminelen om op deze manier bank- en andere benodigde gegevens van OV-chipkaart gebruikers te kunnen verkrijgen. De manier hoe de OV-oplaadpunten door deze, inmiddels naar het buitenland vertrokken, cybercriminelen is onduidelijk gebleven.
De redactie heeft samen met een IT-specialist een aantal vragen voorgelegd aan een tussenpersoon maar daarover bleven de criminelen onduidelijk. Feit is echter dat ze geen bestaande OV-oplaadpunten manipuleerden maar OV-oplaadpunten die regelrecht van een leverancier lijken te komen. Alle OV-oplaadpunten die een redactrice heeft kunnen zien, zaten in plastic boxen (zie bovenstaande foto) en waren allemaal nieuw.
Evenals tientallen nieuwe pinautomaten die in de originele dozen van VeriFone en Ingenico zaten. De redactrice heeft de OV-oplaadpunten en POS pinautomaten op een onbekende locatie kunnen zien. Waarschijnlijk werden de originele OV-oplaadpunten vervangen door de gemanipuleerde OV-oplaadpunten om aan de bank- en creditkaart gegevens te kunnen komen. De beveiligingsfout in de website van ov-chipkaart.nl zal waarschijnlijk dinsdag met een update zijn verholpen.
'Door een bug in de software kunnen persoonlijke gegevens van OV-chipkaarthouders met een online-account zichtbaar zijn voor anderen', aldus een woordvoerster van Trans Link Systems. Het bedrijf Trans Link Systems (TLS) is speciaal opgericht om het nationale OV-chipkaartsysteem voor het openbaar vervoer te realiseren.
Trans Link Systems is verantwoordelijk voor de integraliteit van het gehele nieuwe systeem en voor de uitgifte van de OV-chipkaart, die nodig is om van het nieuwe betaalsysteem gebruik te kunnen maken. Cybercriminelen hielden zich eerder bezig met het zogenaamde skimmen van POS (point of sale) terminals oftewel de pinapparatuur waarmee klanten kunnen betalen bij winkels en bedrijven.
Op deze pinautomaten, van voornamelijk VeriFone en Ingenico, werd een datalogger geïnstalleerd die de gegevens van de credit- of bankkaart opslaat en deze vervolgens via email, sms of wifi naar de cybercriminelen doorstuurt. Deze 'schrijven' de gegevens vervolgens met een speciale reader/writer, zoals de MRS206, op blanco bankpassen en gingen vervolgens pinnen met de nagemaakte bank- of creditkaart.
Door nieuwe beveiligingsmaatregelen gaan de betalingen tegenwoordig niet meer via de magneetstrip op de bank- of creditcard maar via de chip. Dat is de reden dat skimmen nauwelijks meer voorkomt in Nederland. Nu worden er regelmatig Roemeense verdachten van skimmen aangehouden in landen zoals Mexico, Thailand of de Verenigde Staten waar het nog mogelijk is te skimmen op deze manier.
Op 9 april werden bijvoorbeeld twee Roemenen aangehouden met 795 nagemaakte credit- en bankkaarten in Bangkok (Thailand). Op 27 juli werd een 44-jarige Roemeen aangehouden met skimapparatuur bij de Banco Santander in het Mexicaanse Reynosa.
Crimescene.PRO heeftop 15 oktober 2013 een artikel geschreven dat skimapparatuur eenvoudig te verkrijgen is via internet. Programmeurs laten zich inhuren om de datalogger te programmeren op het POS-apparaat en de MSR-206 is verkrijgbaar bij een Nederlandsbedrijf en via eBay. Blance credit-en bankkaarten kosten op internet bij een Nederlands bedrijf ongeveer 50 eurocent.
De groep cybercriminelen die zich hiermee bezighielden zijn zoals gezegd, inmiddels vertrokken naar het buitenland en de identiteit van deze personen is ons onbekend. Via een informant en zijn bemiddeling is de redactie in contact gekomen met de groep. De Roemenen zouden pas weer contact opnemen via de tussenpersoon wanneer ze gestopt waren in Nederland.
Het is de redactie onbekend of er momenteel nog andere groepen cybercriminelen zich bezighouden met het verkrijgen van bank- en creditkaart gegevens op deze manier. Duidelijk is wel dat alle apparatuur zoals OV-oplaadpunten en de POS pinautomaten rechtstreeks afkomstig waren van de leverancier danwel fabrikanten. De cybercriminelen moeten medewerking hebben gekregen van werknemers bij de desbetreffende bedrijven en waarschijnlijk ook van personen die werkzaam zijn op de locaties waar de OV-oplaadpunten werden vervangen.
Bron: Crime scene.Pro