Wat levert gestolen data op de zwarte markt op?

Een gestolen credit- of debitcard levert in de Europese Unie gemiddeld 20 tot 45 dollar op. Inloggegevens voor een bankrekening met 2.200 dollar krediet is te koop voor 190 dollar.

Dit blijkt uit onderzoek van Intel Security. Onderzoekers van McAfee Labs van Intel Security hebben de prijsstelling geanalyseerd voor gestolen credit- en debitcards, bank-inloggegevens, heimelijke overboekingsdiensten en inloggegevens voor online betalingsdiensten, premium contentdiensten, bedrijfsnetwerken, klantloyaliteitsprogramma’s in het hotelwezen (hospitality) en online veilingen.

Waardesysteem voor betaalpassen

Op internet blijkt een waardesysteem te worden gehanteerd voor gestolen betaalpassen. Een basisaanbod bevat een nummercombinatie van het bankpasnummer (Primary Account Number; PAN), een vervaldatum en een CVV2-beveiligingscode. De verkopers noemen zo’n nummercombinatie een ‘Random’. Software om dergelijke nummercombinaties aan te maken zijn online te koop en zijn zelfs gratis te vinden.

Naarmate het aanbod extra informatie bevat waarmee criminelen meer kunnen doen dan met uitsluitend financiële gegevens stijgt de prijs. Het gaat hierbij bijvoorbeeld om bankrekeningnummer van een slachtoffer zijn of diens geboortedatum. Informatie als een factuuradres, de PIN-code, het sofinummer (Burgerservicenummer), de meisjesnaam van de moeder en soms zelfs de gebruikersnaam plus wachtwoord om het bankaccount van een slachtoffer online te kunnen plunderen valt in de categorie ‘Fullsinfo’.

Aankopen doen of geld opnemen

“Een crimineel die het digitale equivalent bezit van een fysieke betalingspas kan daarmee aankopen doen of geld opnemen, net zolang tot het slachtoffer die afschrijvingen aanvecht bij de financiële instelling”, legt Samani uit. “Geeft zo’n crimineel ook uitgebreide persoonlijke informatie om de identiteit van de pasgebruiker te verifiëren en het risico van substantiële financiële schade voor het slachtoffer neemt enorm toe. Om nog maar te zwijgen van de gevolgen van directe toegang door criminelen tot bankrekeningen en de instellingen daarvoor.”

Online betalingsdiensten

De prijzen voor gestolen accountgegevens voor online betalingsdiensten lijken uitsluitend bepaald te worden door het tegoed dat zo’n account bevat. Intel Security vermoedt dat dit komt door de beperkte mogelijkheden om zo’n account te misbruiken. Inloggegevens voor accounts met tegoeden van 400 tot 1000 dollar kosten naar schatting tussen de 20 en 50 dollar. Inloggegevens voor accounts met toegang tot 5000 tot 8000 dollar leveren 200 tot 300 dollar op.

Bankgegevens

Met behulp van inloggegevens voor banken en financiële diensten kunnen cybercriminelen heimelijk overboekingen doen op internationaal niveau. Inloggegevens voor een tegoed van 2200 dollar blijkt ‘over de toonbank’ gaan voor 190 dollar. Inloggegevens voor rekeningen waar vandaan overgeboekt kan worden naar Amerikaanse banken kosten 500 dollar voor een tegoed van 600 dollar, tot wel 1200 dollar voor een tegoed van 20.000 dollar. Hetzelfde maar dan voor overboekingen naar Britse banken levert 700 dollar op voor een tegoed van 10.000 dollar, tot wel 900 dollar voor een tegoed met 16.000 dollar waarde.

Online contentdiensten

Intel Security heeft ook de zwarte marktprijzen voor inloggegevens voor online contentdiensten in kaart gebracht. Het gaat hierbij om videostreaming (0,55 tot 1 dollar), premium kabeldiensten (7,50 dollar), diensten voor digitale comic books (0,55 dollar) en professionele streamingdiensten voor sportwedstrijden (15 dollar). De prijzen voor deze inloggegevens zijn relatief laag, wat aangeeft dat cybercriminelen hun geautomatiseerde diefstal flink hebben verbeterd en uitgebreid om hun criminele businessmodellen winstgevender te maken.

Klantloyaliteitsaccounts en online veilingen

Sommige online diensten, zoals loyaliteitsprogramma’s van hotels en online veilingen, lijken op het eerste oog weinig waarde te hebben voor cybercriminelen. De onderzoekers hebben echter ontdekt dat ook inloggegevens voor deze diensten worden verhandeld op de zwarte markt. Kopers lijken via accountgegevens in staat te zijn om online aankopen te plegen uit naam van de eigenlijke accounthouders. Een account met 100.000 punten bij een grote hotelketen gaat voor 20 dollar van de hand. Inloggegevens voor een account met een hoge reputatie bij een online veiling kost wel 1400 dollar.