Hoe jouw creditcardgegevens in Rusland terecht komen als je een Trump-petje koopt
Wie onlangs in de webshop van de Republikeinse senaatsfractie een ‘Never Hillary’-sticker of een pro-Trump petje gekocht heeft, zal even contact op moeten nemen met zijn creditcardmaatschappij. Tenminste sinds maart worden alle creditcard-betalingen op die website onderschept en doorgestuurd naar een server in Rusland. De hack werd ontdekt door beveiligingsonderzoeker Willem de Groot, die zijn vondst deelde met Follow the Money. Deze gehackte gegevens zijn op de zwarte markt naar schatting 600.000 dollar waard.
Petjes, stickers, t-shirts, mokken — in de Amerikaanse presidentsverkiezingen wordt geen middel geschuwd om de voorkeur voor een kandidaat zichtbaar te maken. Ook het National Republican Senatorial Committee laat zich niet onbetuigd: zij heeft een eigen webshop voor politieke merchandise. Aan de webshop van de Republikeinse senaatsfractie is op het oog niks vreemds te zien, maar schijn bedriegt. ‘De online winkelsoftware is gekraakt. Er is een stukje extra code toegevoegd, die praktisch onzichtbaar werkt, maar alles doorstuurt wat bezoekers intypen,’ vertelt Willem de Groot. De Groot is medeoprichter van hostingbedrijf Byte en als IT-veiligheidsexpert adviseert hij webshops over de beveiliging van onder meer hun creditcard-gegevens. In deze video laat zien hij zien hoe de hack in elkaar steekt.
‘De meer gangbare hacks van websites zijn eenmalige inbraken,’ legt De Groot uit. Hackers breken in, en nemen de gegevens mee, zoals je naam en adres, emailadres en in het ergste geval je creditcardgegevens. Maar in de webshop van de Republikeinen is er volgens De Groot iets anders aan de hand. ‘Deze hack loopt continu door. Telkens als een klant zijn of haar creditcard-gegevens intoetst, stuurt de website deze data automatisch door. Het is eigenlijk de online versie van het skimmen van een pinpasje.’
Via Rusland en Belize naar Oekraïne
De Groot stuitte op de hack dankzij een scanner die een alert geeft bij bepaalde types inbraak. De hackers doen goed hun best om zich te verschuilen. Uit stukken die Follow the Money heeft ingezien, blijkt echter dat er toch een spoor te volgen is. Dat loopt van de Republikeinse website in de VS, naar een Russische server, via een brievenbusmaatschappij in Belize en eindigt in Oekraïne. De op de website geïnfiltreerde code stuurt de creditcard-gegevens in dit geval door naar een in Sint Petersburg geregistreerde server. Dat betekent volgens De Groot vrijwel zeker dat de server daar ook echt staat. ‘Een dergelijke registratie is bijna niet te vervalsen.’
De stukken die Follow the Money heeft ingezien wijzen duidelijk naar Oekraïne
De server in Rusland staat geregistreerd op naam van Dataflow, een bedrijf met een Russischtalige website. Maar het bedrijf zelf staat geregistreerd in Belize op een adres dat voorkomt in de Panama Papers. Het is een postadres waar verschillende brievenbusfirma’s zijn gevestigd. Op hetzelfde adres staat bijvoorbeeld ook een trustkantoor geregistreerd, Alpha Offshore.
De stukken die Follow the Money heeft ingezien wijzen duidelijk naar Oekraïne. Dat lijkt het land te zijn van waaruit Dataflow opereert. Ondanks het feit dat de sporen in de eigendomsgegevens van RIPE zijn uitgewist, geanonimiseerd of gelinkt zijn naar de postbus in Belize. ‘De servers en IP-adressen zijn zeker van Dataflow,’ zegt De Groot. ‘Dit bedrijf lijkt te worden gerund vanuit Oekraïne. Oudere bestanden wijzen naar een klein dorpje in de buurt van de Oekraïense hoofdstad Kiev. Een andere aanwijzing is het Skypeaccount van de support desk van Dataflow, dat Oekraïne als locatie toont. En het Dataflow netwerk maakt aantoonbaar verbinding met internet via twee andere netwerken: Telia uit Zweden en RETN uit Oekraïne.’
Het aantal creditcard-gegevens dat via de Republikeinse webshop ontvreemd is, is niet bekend, maar wel in te schatten. De website Archive.org bewaart de geschiedenis van websites en daaruit blijkt dat de webshop sinds maart 2016 gehackt is. De Groot vermoedt echter dat de kraak al eerder is gezet. ‘Op Traffic Estimates is te zien dat de webshop de afgelopen maanden ongeveer 350.000 bezoekers per maand telde. Het aantal bezoekers van de webshop dat iets aanschaft is niet bekend. Maar stel dat één procent van de bezoekers iets koopt, dan kom je gerekend vanaf maart uit op 21.000 gestolen creditcard-gegevens. Eén ding is zeker, het gaat om een groot aantal creditcards.’
Gestolen creditcard-gegevens worden online verkocht, bijvoorbeeld bij website Gold Bank Cards. Daar levert een eenvoudige Duitse creditcard 15 dollar op, en een Visa Black Card 120 dollar. Gerekend met een gemiddelde van 30 dollar per stuk, schat De Groot de potentiële totale opbrengst van de diefstal via de Republikeinse webshop op circa 600 duizend dollar.
De Groot zegt dat hij de toegevoegde code gevonden op 5800 websites heeft aangetroffen.
De Groot vermoedt dat niet alleen de webshop van de Republikeinse Senaatsfractie gehackt is, maar dat de schaal van dit type fraude veel groter is. Hij gebruikt een scanner waarmee hij op wereldniveau verdachte signalen kan oppikken. De Groot zegt dat hij de toegevoegde code op 5800 websites heeft aangetroffen.
Follow the Money heeft de Republikeinse partij op de hoogte gesteld van de bevindingen van De Groot en gevraagd om commentaar. Vooralsnog heeft de partij niet gereageerd, maar zo gauw de reactie binnen is, zullen we daar melding van maken. De Groot heeft ons deze ochtend gemeld dat de hack in de nacht van 5 op 6 oktober lijkt te zijn verholpen.
***** Update 7 oktober, 15:00 uur *****
Ondanks herhaalde verzoeken om commentaar hebben wij geen reactie ontvangen van de Republikeinse Senaatscommissie (NRSC). Het Amerikaans persbureau Reuters nam het nieuws van Follow The Money over. NRSC stond Reuters wel te woord. Woordvoerder Andrea Bozek bevestigt dat de website was getroffen door een "skimming operatie" en dat de website om die reden op donderdag offline is gehaald.
