Men schat dat er momenteel 24 miljard illegaal verkregen gebruikersnamen en wachtwoorden op de dark web circuleren (24 billion illegally obtained usernames and passwords). De meest gevraagde zijn de kaartgegevens, die vervolgens in bulk door fraudeurs worden gekocht om ermee identiteitsfraude te plegen.
In landen die chip- en PIN-systemen (EMV) hebben ingevoerd, is het een uitdaging om deze gegevens om te zetten in gekloonde kaarten. Ze worden dan meestal online gebruikt in ‘card-not-present’ (CNP)-aanvallen. Deze worden gebruikt om luxe artikelen te kopen voor doorverkoop of om cadeaubonnen in bulk te kopen – een andere manier om illegaal verkregen geld wit te wassen.
De grootte van de markt in deze kaarten is moeilijk in te schatten. Maar de beheerders van ’s werelds grootste ondergrondse marktplaats gingen onlangs met pensioen nadat ze, naar , 358 miljoen dollar hadden verdiend (making an estimated US$358m).
De 5 meest voorkomende wijzen waarop hackers je gegevens verkrijgen – en hoe ze te stoppen:
1. Phishing
Phishing is een erg populaire techniek om gegevens te stelen. De hackers doen zich voor als een legitieme entiteit (bank, e-commerceprovider, technologiebedrijf) om je te misleiden en je persoonlijke gegevens te verkrijgen of onbewust malware te downloaden. Ze moedigen je aan om op een link te klikken of een bijlage te openen. Soms wordt je naar een phishing-pagina geleid, waar je persoonlijke en financiële informatie invoert. Phishing zou in Q1 2022 een record hebben bereikt.
Deze oplichtingen zijn nu geëvolueerd. In plaats van een e-mail kan je een kwaadaardige sms ontvangen van hackers die zich voordoen als leveringsbedrijf, overheidsinstantie of een andere vertrouwde organisatie. Ze kunnen je bellen, zich voordoend als een vertrouwde bron, met als doel je kaartgegevens te verkrijgen. SMS phishing (smishing) is in 2021 jaar-op-jaar meer dan verdubbeld, terwijl vishing (voice phishing) naar schatting (one estimate)ook sterk toenam.
2. Malware
De ondergrondse cybercriminaliteit is een reuze marktplaats, en voor gegevens en voor malware. Verschillende soorten malware zijn ontworpen om informatie te stelen. Sommige registreren je toetsaanslagen, bijvoorbeeld wanneer je kaartgegevens intypt op een e-commerce- of banksite. Hoe komen deze tools op je toestel?
Phishing mails of sms’jes zijn populair. Kwaadaardige online advertenties zijn het ook. Soms kunnen ze populaire sites infecteren en wachten tot gebruikers deze bezoeken. Zodra je de geïnfecteerde webpagina bezoekt, wordt dit malware geïnstalleerd. Malware die informatie steelt, is vaak verborgen in legitiem ogende maar kwaadaardige mobiele apps.
3. Digital skimming
Soms installeren hackers ook malware op de betaalpagina’s van e-commercesites. Onzichtbaar voor de gebruiker, zullen ze je kaartgegevens afromen als ze ingevoerd worden. Gebruikers kunnen weinig doen om veilig te blijven, afgezien van slechts winkelen bij grote merken en sites die wellicht veiliger zijn. Detecties van digitale skimming (Detections of digital skimming) zijn tussen mei en november 2021 met 150% gestegen.
4. Data breaches
Soms worden kaartgegevens gestolen van de bedrijven (are stolen direct) waarmee je zaken doet – zorgverlener, e-commerce winkel of reisorganisatie. Voor hackers is dit een goedkope manier omdat ze in één aanval toegang krijgen tot een enorme hoeveelheid gegevens. Anders moeten ze die bij phishing-campagnes één voor één van individuen stelen, hoewel deze aanvallen meestal geautomatiseerd zijn. Het slechte nieuws: 2021 was een recordjaar voor datalekken in de VS.
5. Publieke Wi-Fi
Soms is het verleidelijk om gratis te surfen op publieke wifi-hotspots (public Wi-Fi hotspots) – in luchthavens, hotels, cafés en andere gedeelde ruimtes. Zelfs als je moet betalen om lid te worden van het netwerk is het misschien niet veilig als hackers dit reeds hebben gedaan. Ze kunnen deze toegang gebruiken om je gegevens te bespioneren terwijl je ze invoert.
Hoe je kaartgegevens veilig houden
Er zijn gelukkig tal van manieren om het risico te beperken dat je kaartgegevens worden gestolen:
· Wees alert: beantwoord en klik nooit op links in open bijlagen van ongevraagde mails. Ze kunnen geladen zijn met malware en je naar legitiem ogende phishing-pagina’s leiden waar je je gegevens zou kunnen invoeren.
· Geef geen details via telefoon, ook niet als de persoon overtuigend klinkt. Vraag van waar ze bellen en bel die organisatie terug om te controleren, maar gebruik geen telefoonnummers die ze je geven.
· Gebruik het internet niet op openbare wifi, als je geen virtueel particulier netwerk hebt. Als het toch moet, doe dan niets waarvoor je kaartgegevens moet invoeren (online winkelen).
· Sla geen kaartgegevens op, op sites voor online winkelen of andere sites, zelfs niet als je zo tijd bespaart bij toekomstige bezoeken. Dit beperkt de kans dat je kaartgegevens gestolen worden mocht dat bedrijf wordt gehackt of als je account wordt gekaapt.
· Download anti-malware, inclusief anti-phishing-bescherming, van een gereputeerde beveiligingsleverancier zoals ESET naar alle laptops en toestellen (telefoons, tablets).
· Gebruik tweefactoren authenticatie (two-factor authentication) op alle gevoelige accounts. Dit beperkt de kans dat hackers ze openen met gestolen/phishing-wachtwoorden.
· Download enkel apps van legitieme winkels (Apple App Store, Google Play).
· Shop je online, doe dit dan alleen op sites met HTTPS (met een slotje in de adresbalk van de browser naast de URL). Zo is er minder kans dat je gegevens worden onderschept.
Het is een goede gewoonte om al je bank- en kaartrekeningen in de gaten te houden. Merk je verdachte transacties op, neem dan onmiddellijk contact op met het fraudeteam van je bank/kaartaanbieder. Met sommige apps kan je alle uitgaven op specifieke kaarten “bevriezen” tot je kunt vaststellen of er een beveiligingsinbreuk was. Er zijn tal van manieren waarop criminelen onze kaartgegevens kunnen krijgen, maar we kunnen ook veel doen om hen op afstand te houden.
