6 oktober 2016 12:00·

3 MIN

Hoe jouw creditcardgegevens in Rusland terecht komen als je een Trump-petje koopt

10 Connecties

Wie onlangs in de webshop van de Republikeinse senaatsfractie een ‘Never Hillary’-sticker of een pro-Trump petje gekocht heeft, zal even contact op moeten nemen met zijn creditcardmaatschappij. Tenminste sinds maart worden alle creditcard-betalingen op die website onderschept en doorgestuurd naar een server in Rusland. De hack werd ontdekt door beveiligingsonderzoeker Willem de Groot, die zijn vondst deelde met Follow the Money. Deze gehackte gegevens zijn op de zwarte markt naar schatting 600.000 dollar waard.

Petjes, stickers, t-shirts, mokken — in de Amerikaanse presidentsverkiezingen wordt geen middel geschuwd om de voorkeur voor een kandidaat zichtbaar te maken. Ook het National Republican Senatorial Committee laat zich niet onbetuigd: zij heeft een eigen webshop voor politieke merchandise. Aan de webshop van de Republikeinse senaatsfractie is op het oog niks vreemds te zien, maar schijn bedriegt. ‘De online winkelsoftware is gekraakt. Er is een stukje extra code toegevoegd, die praktisch onzichtbaar werkt, maar alles doorstuurt wat bezoekers intypen,’ vertelt Willem de Groot. De Groot is medeoprichter van hostingbedrijf Byte en als IT-veiligheidsexpert adviseert hij webshops over de beveiliging van onder meer hun creditcard-gegevens. In deze video laat zien hij zien hoe de hack in elkaar steekt.

‘De meer gangbare hacks van websites zijn eenmalige inbraken,’ legt De Groot uit. Hackers breken in, en nemen de gegevens mee, zoals je naam en adres, emailadres en in het ergste geval je creditcardgegevens. Maar in de webshop van de Republikeinen is er volgens De Groot iets anders aan de hand. ‘Deze hack loopt continu door. Telkens als een klant zijn of haar creditcard-gegevens intoetst, stuurt de website deze data automatisch door. Het is eigenlijk de online versie van het skimmen van een pinpasje.’

Via Rusland en Belize naar Oekraïne

De Groot stuitte op de hack dankzij een scanner die een alert geeft bij bepaalde types inbraak. De hackers doen goed hun best om zich te verschuilen. Uit stukken die Follow the Money heeft ingezien, blijkt echter dat er toch een spoor te volgen is. Dat loopt van de Republikeinse website in de VS, naar een Russische server, via een brievenbusmaatschappij in Belize en eindigt in Oekraïne. De op de website geïnfiltreerde code stuurt de creditcard-gegevens in dit geval door naar een in Sint Petersburg geregistreerde server. Dat betekent volgens De Groot vrijwel zeker dat de server daar ook echt staat. ‘Een dergelijke registratie is bijna niet te vervalsen.’

De stukken die Follow the Money heeft ingezien wijzen duidelijk naar Oekraïne

De server in Rusland staat geregistreerd op naam van Dataflow, een bedrijf met een Russischtalige website. Maar het bedrijf zelf staat geregistreerd in Belize op een adres dat voorkomt in de Panama Papers. Het is een postadres waar verschillende brievenbusfirma’s zijn gevestigd. Op hetzelfde adres staat bijvoorbeeld ook een trustkantoor geregistreerd, Alpha Offshore.

De stukken die Follow the Money heeft ingezien wijzen duidelijk naar Oekraïne. Dat lijkt het land te zijn van waaruit Dataflow opereert. Ondanks het feit dat de sporen in de eigendomsgegevens van RIPE zijn uitgewist, geanonimiseerd of gelinkt zijn naar de postbus in Belize. ‘De servers en IP-adressen zijn zeker van Dataflow,’ zegt De Groot. ‘Dit bedrijf lijkt te worden gerund vanuit Oekraïne. Oudere bestanden wijzen naar een klein dorpje in de buurt van de Oekraïense hoofdstad Kiev. Een andere aanwijzing is het Skypeaccount van de support desk van Dataflow, dat Oekraïne als locatie toont. En het Dataflow netwerk maakt aantoonbaar verbinding met internet via twee andere netwerken: Telia uit Zweden en RETN uit Oekraïne.’

Het aantal creditcard-gegevens dat via de Republikeinse webshop ontvreemd is, is niet bekend, maar wel in te schatten. De website Archive.org bewaart de geschiedenis van websites en daaruit blijkt dat de webshop sinds maart 2016 gehackt is. De Groot vermoedt echter dat de kraak al eerder is gezet. ‘Op Traffic Estimates is te zien dat de webshop de afgelopen maanden ongeveer 350.000 bezoekers per maand telde. Het aantal bezoekers van de webshop dat iets aanschaft is niet bekend. Maar stel dat één procent van de bezoekers iets koopt, dan kom je gerekend vanaf maart uit op 21.000 gestolen creditcard-gegevens. Eén ding is zeker, het gaat om een groot aantal creditcards.’

Gestolen creditcard-gegevens worden online verkocht, bijvoorbeeld bij website Gold Bank Cards. Daar levert een eenvoudige Duitse creditcard 15 dollar op, en een Visa Black Card 120 dollar. Gerekend met een gemiddelde van 30 dollar per stuk, schat De Groot de potentiële totale opbrengst van de diefstal via de Republikeinse webshop op circa 600 duizend dollar.

De Groot zegt dat hij de toegevoegde code gevonden op 5800 websites heeft aangetroffen.

De Groot vermoedt dat niet alleen de webshop van de Republikeinse Senaatsfractie gehackt is, maar dat de schaal van dit type fraude veel groter is. Hij gebruikt een scanner waarmee hij op wereldniveau verdachte signalen kan oppikken. De Groot zegt dat hij de toegevoegde code op 5800 websites heeft aangetroffen.

Follow the Money heeft de Republikeinse partij op de hoogte gesteld van de bevindingen van De Groot en gevraagd om commentaar. Vooralsnog heeft de partij niet gereageerd, maar zo gauw de reactie binnen is, zullen we daar melding van maken. De Groot heeft ons deze ochtend gemeld dat de hack in de nacht van 5 op 6 oktober lijkt te zijn verholpen.

***** Update 7 oktober, 15:00 uur *****

Ondanks herhaalde verzoeken om commentaar hebben wij geen reactie ontvangen van de Republikeinse Senaatscommissie (NRSC). Het Amerikaans persbureau Reuters nam het nieuws van Follow The Money over. NRSC stond Reuters wel te woord. Woordvoerder Andrea Bozek bevestigt dat de website was getroffen door een "skimming operatie" en dat de website om die reden op donderdag offline is gehaald.

Deel dit artikel, je vrienden lezen het dan gratis

Auteur: Krijn Schramade

Krijn Schramade (1980) krijgt een jaar na de val van Lehman Brothers (2008) de tegenwoordigheid van geest om zijn veilige lev...

Gevolgd door 289 leden Je volgt deze auteur

33 Bijdragen

Alleen leden van Follow the Money kunnen bijdragen plaatsen.

Wil je meepraten?

Word lid Inloggen

Je tip wordt rechtstreeks verstuurd naar de auteur(s) van dit artikel.

Wil je dat FTM contact met je opneemt, stuur dan je contactgegevens mee.

Matthijs 11

6 oktober 2016 15:14

Laat maar weer zien hoe gevaarlijk het is om online je credit card in te vullen, op welke website dan ook. Als het maar even kan op een andere manier betalen. Als er Paypal of iDeal oid aangeboden wordt die weg kiezen.

Frans

Matthijs 6 oktober 2016 23:25

Nee, het toont niet aan dat online je credit card gegevens niet veilig zijn, het toont alleen aan dat de webshop van de republikeinen gehackt kon worden.

Toont ook aan dat FTM liever een clickbait title gebruikt door Trump en Rusland in de titel met elkaar te verbinden dan bijv een titel als "Webshop republikeinen gehackt, credit card gegevens door gesluisd" of kan de onderzoeker hard maken dat de gegevens alleen worden doorgestuurd als je iets met Trump erop koopt?

Jan Willem de Hoop

6 oktober 2016 17:06

Chapeau, mooie onthulling van FTM en Krijn Schramade. Een onthulling die je duidelijk maakt voorzichtig te zijn op internet en dat je daar ook met criminaliteit rekening moet houden. Een onthulling ook met het vermoeden dat het probleem structureel en grootschalig is. Hopelijk met een vervolg.

Onthulling FTM past in lijn van onderstaand nieuws van vandaag.

'Volgend kabinet moet investeren in ict-beveiliging'

"Nederland moet "met spoed" meer doen tegen digitale bedreigingen, aldus een rapport dat is opgesteld in opdracht van de Cyber Security Raad, een adviesorgaan van het kabinet. Een volgend kabinet zou daarom een actieplan moeten opstellen om daarin te investeren, zo luidt het advies. ................................."

http://nos.nl/artikel/2136299-volgend-kabinet-moet-investeren-in-ict-beveiliging.html

Pubben

Jan Willem de Hoop Bewerkt 6 oktober 2016 20:54

De techneut is erger dan de econoom daarom stapte ik naar de rechter in de zorg en er gaat een moment komen dat ik ga zwijgen, zelfs hier. Ook al ben ik de enigste in dit land die nooit een zwijgplicht ondertekend heeft.

Lydia Lembeck 12

Pubben 7 oktober 2016 13:47

Maar wat bereik je ermee? Kan het jou innerlijke vrede brengen? Dan snap ik het wel.

Krijn Schramade 1

Jan Willem de Hoop 6 oktober 2016 21:27

Follow the money

Dank voor de complimenten, Jan Willem. En ja het past in de lijn van het nieuws van vandaag. Het is echter de vraag wat de overheid nou echt gaat (en kan) doen in dit domein. Inge Philips (die voorheen het cybercrimeteam bij de politie leidde en nu bij Deloitte werkt) heeft daar weinig vertrouwen in: Veilig internet? Dan heb je weinig aan de overheid http://www.nrc.nl/nieuws/2016/10/04/veilig-internet-dan-heb-je-weinig-aan-de-overheid-4640429-a1524850

Vriendelijke groet,
Krijn

MvdB

6 oktober 2016 17:22

Aha, Telia (voorheen TeliaSonera). Die kennen we hiervan: www.ftm.nl/artikelen/oezbeekse-presidentsdochter-cash-cow-om
Wat is de wereld toch klein en FTM groot(s) ;-)

Krijn Schramade 1

MvdB 6 oktober 2016 21:23

Follow the money

En wat een scherp geheugen! Die Telia link had ik nog niet gezien. In dit verhaal vervult Telia echter geen schimmige rol, voor zover ik weet.

Vriendelijke groet,
Krijn

MvdB

6 oktober 2016 18:43

Beste mensen, ALLES wat je tegenwoordig in of met behulp van ICT gebruikt, is potentieel gevaarlijk.
Ik heb gezien wat je met een telefoon kunt die iemand aan iemand cadeau deed. Ietwat later lagen ze in scheiding.
Monitorsoftware, volledig onzichtbaar, legaal te verkrijgen voor elke telefoon, pc of tablet.
Hier te zien voor telefoons: http://www.toptenreviews.com/software/privacy/best-cell-phone-monitoring-software/

Lydia Lembeck 12

MvdB 7 oktober 2016 13:49

Brrr.... Doordenkend kan je dan verwachten dat een overheid zoiets wettelijk laat inbouwen in deze apparaten, nog voordat ze in de winkel komen. 1984?

MvdB

Lydia Lembeck 7 oktober 2016 16:37

En als 't niet ingebouwd is, wordt vrijgeven wel afgedwongen. Is bij Apple tot nu toe niet gelukt.
Saillant detail is dat wat Apple niet lukte op hun eigen telefoon, Israël wél kon. https://en.wikipedia.org/wiki/FBI%E2%80%93Apple_encryption_dispute
Heb jij een slimme meter? Een voorbeeld: misschien valt het de sociale dienst wel op dat er bij een alleenstaande 's morgens altijd tweemaal achter elkaar wordt gedoucht. Ik zeg niet dat 't gebeurt maar het kán.

Lydia Lembeck 12

MvdB 13 oktober 2016 15:19

Gelukkig kwamen ze niet binnen in die tijd. En nu ook niet (Soc.Verz.Bank), want als ze komen is het om uit te zoeken, waarom ik zo weinig stroon, gas en water gebruik... LOL

2 Uitklappen

Fred Raaks 5

Bewerkt 6 oktober 2016 20:33

begrijp het even niet; de kop zegt dat de creditcard gegevens in Rusland terechtkomen, maar even verder staat dat de fraudeur Dataflow vanuit de Oekraine werkt, is dat niet een beetje tendentieuze header? Een server in Rusland kan prima vanuit Oekraine of waar dan ook gebruikt worden.

Overigens uitstekend forensisch werk!

Krijn Schramade 1

Fred Raaks Bewerkt 6 oktober 2016 21:17

Follow the money

Ik kan me de verwarring voorstellen, maar de server staat in Rusland, dus de credit card gegevens komen feitelijk terecht in Rusland.

Dank voor het compliment!
Vriendelijke groet,
Krijn

Fred Raaks 5

Krijn Schramade 7 oktober 2016 10:15

Beetje halfhartig antwoord. Waar komt de Oekraine in beeld? Want daar zitten toch de uiteindelijke boeven? Ik blijf erbij, een tendentieuze header. Clinton had er ook zo'n handje van.

geen ook geen 1

6 oktober 2016 20:32

Ik zou genoegzaam kunnen zeggen: I told you so.

Pubben

6 oktober 2016 20:46

Hoe durft FTM zo te manipuleren met zijn badges?
Wie leest mijn trage reactie nog dat de techneut erger is dan de econoom?

Krijn Schramade 1

Pubben 6 oktober 2016 21:18

Follow the money

Beste Pubben,

Ik begrijp uw reactie niet. Wat manipuleert FTM in uw ogen?

Vriendelijke groet,
Krijn

Pubben

Krijn Schramade 6 oktober 2016 22:32

De titel van dit artikel manipuleert!

Als leidinggevende in de zorg simpel en van een heel andere orde. Uw data liggen ook overal.
Besloot al in 2010 naar de rechter te stappen voor de misstanden in het EPD-LSP, niet je vak neem ik aan, hier gaat het over creditcardgegevens, maar toch waarschuw ik op deze site al een aantal jaren om journalisten de ogen te openen over de zorg. Uw zorggegevens liggen ook overal en veel mensen in onze organisaties hebben een zwijgplicht, lastig om ze daarop te bevragen, ik probeer systeemvragen aan onze techneuten te stellen. Simpel gezien heb ik het over die overeenkomsten en vind dat ze op de politieke agenda moeten, waar anders?

Waarom die titel en gekoppeld aan een Trump-petje? Wat suggereer jij daarmee en komen jouw creditcard gegevens daar dan niet terecht of heb je geen creditcard? Dat dedain, waarom de Trump stemmers? Ban-Opticum aan het werk? Mocht jij geïnteresseerd zijn in die nieuwe machtstechnieken, filosoof B.C. Han, heeft daar goede woorden voor.

(Voor mij in combinatie met de badges, heb nog geen goede woorden voor dat intuïtieve weten.)

Krijn Schramade 1

Pubben 6 oktober 2016 22:51

Follow the money

In een eerdere reactie heb ik het al toegelicht, maar ik zal het voor u nog iets specifieker uiteenzetten.
Feit 1: Op de website van NRSC kun je Trump petjes kopen.
Feit 2: De website is een half jaar lang gehackt, waardoor alle credit card gegevens van aankopen (zoals Trump-petjes) naar een server in Rusland zijn gestuurd.

Wij schrijven niet over aanhangers van Trump, wij geven alleen een feitelijke weergave van wat er gebeurd is. Waar haalt u vandaan dat dit artikel met dedain spreekt over aanhangers Trump?

Vriendelijke groet,
Krijn Schramade

Pubben

Krijn Schramade 6 oktober 2016 23:29

Krijn, jij hebt helemaal gelijk!
Feit is dat ik ook zo naar al onze zorggegevens cure en care kijk al een decennia.

Neem het onze bestuurders kwalijk dat ze zwijgen als ze zouden moeten spreken.
Hippocrates is van een andere orde dan een Trump petje en je creditcard.
Mijn persoonlijke omgang, sinds mijn kijken naar de zorgtechneut achter de schermen, met ICT zal zelfs nooit meer hetzelfde zijn.

Ernest Jacobs 6

Pubben 7 oktober 2016 7:26

Daarom is het werk van ftm zo belangrijk. En van bits of Freedom. Privacy is de laatste twintig jaar zo ongelooflijk te grabbel gegooid dat het misschien al veel te laat is. Ik zie inderdaad het digitaliseren van de zorg als een heel penibel punt. Daarnaast de ov chipkaart die alle reizen registreert, camera's boven de weg die je auto registreren en als de belasting zelfs de gegevens van parkeergarages mag gebruiken.... Om over dit voorbeeld maar niet te spreken. Banken zijn al aan het praten over het delen van gegevens uit hun systemen dus dit soort onthullingen kunnen er niet genoeg zijn. Want als er ooit een minder gezellig regime de baas wordt is er geen ontkomen aan.

MvdB

Pubben 7 oktober 2016 16:49

De techneut doet wat hem wordt opgedragen volgens de specificaties die hij krijgt. Als het ontwerp niet deugt, deugt het resultaat ook niet.
Dus inderdaad, bij de bestuurders moet je zijn.
http://amweb.nl/partners-722743/dirkzwager/britse-privacywaakhond-cyber-security-not-an-it-issue-it-is-a-boardroom-issue

Pubben

MvdB 7 oktober 2016 17:13

Behalve ik, ik doe niet wat de techneut mij opdraagt als het niet deugt dan bewandel ik alle wegen, zeer principieel.

MvdB

Pubben 7 oktober 2016 17:40

Ik denk dat wij een verschillend beeld hebben over "techneut". Dat kan.

Pubben

Krijn Schramade 7 oktober 2016 16:09

Krijn, mooi die update, goed zo!

8 Uitklappen

line

7 oktober 2016 14:56

Er staan een aantal verschillende stukken in het verhaal. Mijn dank. Zoals ik het begrijp: Een haker plugt in,in creditcart gegevens in dit geval Trump.De server staat in Rusland, de eigenaar/het bedrijf is in handen van iemand in OekraÏne ( let wel kan ook iemand anders zijn die het in handen heeft).Maar het bedrijf staat geregistreed in Belize (weet even niet waar dat ligt) maar dat terzijde.De haker krijgt de opdracht/of doet dat vanuit zich zelf en sluist de gegevens door.De wie o wie uit eindelijke eigenaar verkoop het! Is fraude is geschreven in het verhaal. Maar wie zijn de kopers????Van deze fraude?.Zoals ook in deze tekst staat van Men Krijn Schramade dat hij (de Groot) 5800 sites heeft gevonden die dit doen. Er staat ook in de tekst dat het op de zwarte markt 600,000 dollar waard is. Dus hoe kan het zo zijn dat het op de zwarte markt zoveel waard is. In geval van fraude. En waarom geeft De Groot geen waarschuwing of aanmelding aan de politiek dat dit gebeurd.Het kan zijn dat hij dat heeft aangegeven. Maar de gegeven paard niet in eigen bek kijken, want gebeurd ook in Nederland.Vermoed ik.En hoe op te lossen.
Line

MvdB

line 7 oktober 2016 20:40

Line, de uitleg in de video van Willem de Groot en de daarbij horende tekst geeft antwoord op je vragen. Overheden en politiek weten dat dit -en nog veel meer- gebeurt. Zowel de overheid als bedrijven zijn aangesloten bij wereldwijde waarschuwings- en beveiligingsnetwerken.
Zie www.ncsc.nl maar bijv. ook www.security.nl

Joost Versteegh 3

Bewerkt 7 oktober 2016 23:15

5800 websites en op één ervan worden gegevens van 21.000 creditcards weg-gesniffed.

Als dit gemiddelde cijfers zijn, heeft de hackersgroep inmiddels gegevens van meer dan 100.000.000 cards. Als de limiet op elke card gemidddeld 5000 euri bedraagt, kan je de economie een duw van 500 miljard geven.

Ernest Jacobs 6

Joost Versteegh 8 oktober 2016 8:58

Dat wordt een brij aan transacties. De houders van de cards hebben het mogelijk niet eens door. Wat is verzekerd en wat niet; er komt zo een luchtbel van 500 miljard in de economie. Het toont eens te meer aan dat het digitaliseren van geld vragen meebrengt waar nog geen sluitend antwoord op is. De oude goudstandaard met uitgifte van cash had zijn nadelen maar luchtbellen op zo'n schaal lijken me onwaarschijnlijk.

MvdB

Ernest Jacobs 8 oktober 2016 13:42

Je hebt gelijk.
De "halfwaardetijd" van de bruikbaarheid van de gestolen gegevens ligt hoog zoals te zien in de belendende artikelen bij de video. Bovendien zijn CC firma's zeer alert op ongebruikelijke bestedingen (locatie, bestedingspatroon, limieten). Zo'n vaart zit er dus inderdaad niet in.
Men is druk bezig met eye -, face - en voice recognition. Dit soort fraude sterft dan een stille dood maar er komt ongetwijfeld iets anders de kop opsteken.

Ernest Jacobs 6

MvdB Bewerkt 9 oktober 2016 11:14

Voor die identificatiemethoden geldt hetzelfde. Wanneer die kunnen worden onderschept worden ze opgeslagen en misbruikt. Uiteindelijk blijft het een stroom bits en bites in een bepaalde vorm waarop een computer concludeert dat er een ja of nee (0 of 1) komt op de vraag 'transactie laten plaatsvinden'. Die stroom is, moeilijker of niet met verloop van tijd, te manipuleren. Net zoals vroeger het beter maken van biljetten door watermerken etcetera.

Dus je hebt gelijk:-)

2 Uitklappen

MvdB

Bewerkt 14 oktober 2016 20:35

Nog een nabrander (van dezelfde Willem de Groot).
'250 NEDERLANDSE WEBSHOPS BESMET MET ONLINE SKIMMING'
http://www.bnr.nl/radio/bnr-internet-ochtend/10312002/250-nederlandse-webshops-besmet-met-online-skimming

Edit: lijsten met besmette shops (eerst verwijderd, daarna weer beschikbaar): https://gwillem.gitlab.io/2016/10/14/github-censored-research-data/

Onderwerpen

Personen

Organisaties

Via Rusland en Belize naar Oekraïne

Gerelateerde artikelen

33 Bijdragen

Je bijdrage is verstuurd