Oplichters blijken een manier te hebben gevonden om betaaldiensten als Apple Pay en Google Pay te kraken, waardoor ze op kosten van hun slachtoffers aan het shoppen kunnen slaan.

Het blijkt voor criminelen mogelijk via malware toegang te krijgen tot verificatiecodes die nodig zijn om een creditcard of bankpas te koppelen aan een smartphone. Via deze weg kunnen ze andermans betaalkaart koppelen aan hun eigen telefoon, om vervolgens aankopen te doen zonder er zelf voor te betalen. Dit blijkt mogelijk bij de diensten van Apple, Google en Samsung. 

Techwebsite Motherboard maakt melding van de oplichting. Het gaat in het artikel om Amerikaanse banken, dus het is niet zeker wat dit betekent voor consumenten met een Nederlandse bank. Toch is het goed om in ieder geval op de hoogte te zijn van deze oplichtingsvorm. 

Bots onderscheppen verificatiecode

De oplichting gaat als volgt. Stel jij wil Apple Pay gebruiken op je telefoon. Om dit te kunnen doen zal je een betaalkaart moeten koppelen aan je apparaat. Het zou natuurlijk heel onveilig zijn als je alleen de bank- of creditcardgegevens hoefde in te vullen, dus om die reden moet je nog een extra verificatiestap doen. Dit kan soms via de app van de bank of bijvoorbeeld via een verificatiecode; het verschilt per bank welke opties je hebt. Zodra je deze stap hebt voltooid, is de betaalkaart gekoppeld aan je account. 

Het probleem: het blijkt dat oplichters via malwarebots in staat zijn om verificatiecodes te onderscheppen. Hiermee kunnen ze in theorie jouw betaalkaart aansluiten op hun eigen smartphone, als ze beschikken over bijvoorbeeld jouw bankgegevens (lees: deze gestolen hebben). 'Dit is voor criminelen de makkelijkste manier om geld te verdienen met creditcardfraude', zegt een fraudeur die zijn verhaal doet tegen Motherboard. 

De malware is zo geavanceerd dat de eigenaar van de betaalkaart niet op de hoogte wordt gesteld van de nieuwe koppeling. Normaal gesproken krijg je van je bank een bericht als Apple Pay is aangesloten op een nieuw apparaat, maar dit wordt dus onderschept. Zo kun je de koppeling op zijn vroegst pas merken na de eerste transactie. 

Cadeaukaarten aangeboden op Telegram

Motherboard laat gesprekken op berichtendienst Telegram zien waarin daders van deze oplichting zich mengen. Het blijkt dat ze vooral cadeaukaarten aanschaffen met de gestolen rekeningen, om deze vervolgens door te verkopen. Zo is er iemand die wel 20.000 euro aan cadeaukaarten aanbiedt. 

Omdat er wordt betaald met de contactloze betaaldiensten, blijft de oplichting onder de radar. Dit komt doordat er bij deze betalingen minder gegevens worden uitgewisseld, waardoor fraude minder snel aan het licht komt. Daarbij gaat het om relatief kleine bedragen per keer. Mochten er ineens enorme bedragen van een rekening verdwijnen, dan heeft een bank het wel door. Een aantal cadeaukaarten per keer valt een stuk minder op. 

Wat kun je zelf doen? 

Zoals gezegd, het is niet zeker dat Nederlandse banken ook doelwit zijn van de oplichting. En het verschilt daarbij per bank hoe de koppeling met deze betaaldiensten is geregeld. Toch is het goed om scherp te blijven. Check je afschriften regelmatig en maak gelijk melding bij de bank als je iets vreemds ziet. 

Houd verder je bankgegevens (zoals rekening- en creditcardnummers) alleen voor jezelf. Maak geen foto's van je kaarten en stuur ze ook niet door. Geef verder ook nooit verificatiecodes af. 

In een ander artikel van Opgelicht geven we je meer tips om te voorkomen dat je slachtoffer wordt van creditcardfraude

Lees ook:

Bron: Motherboard