AFP

De criminele groepering die de betaalgegevens van 380.000 British Airways-klanten buitmaakte, zat eerder achter de hack bij Ticketmaster. Dat blijkt uit onderzoek van het Amerikaanse beveiligingsbedrijf RiskIQ.

British Airways en Ticketmaster zijn geen uitzonderingen: eerder waren de Britse boekenuitgever Faber and Faber, sportmerk Everlast en modemerk Rebecca Minkoff slachtoffer van dezelfde aanvallers. Volgens het beveiligingsbedrijf wisten de aanvallers toegang tot vele honderden webwinkels te verkrijgen.

Digitaal skimmen

De aanvallers gebruiken een methode die neerkomt op digitaal skimmen. Bij skimmen kopieert een aanvaller de pinpas als een klant hem in een pinautomaat steekt, bijvoorbeeld door een opzetstuk op een pinautomaat te monteren.

In dit geval deden de aanvallers datzelfde, maar dan met programmeercode op de website en in de mobiele app. Ze plaatsen een programmaatje op de webpagina en in het deel van de app waar klanten hun betaalgegevens moesten invoeren. Daardoor konden ze een kopie maken van die gegevens en die in hun eigen systemen opslaan.

Eerder zei British Airways dat de informatie op zijn systemen was "versleuteld" en dat de criminelen "verfijnde inspanningen hebben gedaan om de data in handen te krijgen".

Dat lijkt te kloppen: de aanvallers deden hun best om zo lang mogelijk onopgemerkt te blijven. RiskIQ vermoedt bovendien dat ze al langer toegang hadden tot de systemen van British Airways.

Russisch

Waar de aanvallers vandaan komen, is niet duidelijk. "De aanvallers spreken van oorsprong Russisch", zegt Yonathan Klijnsma van RiskIQ. "Maar dat kan in Rusland en alles eromheen zijn."

Hoeveel geld ze op deze manier hebben buitgemaakt, is ook onduidelijk, maar zeker is wel dat ze grote hoeveelheden privégegevens in handen kregen. Wel kan het lastig zijn om de buitgemaakte betaalgegevens te gelde te maken.

"Nu de inbraak bekend is, moeten ze snel alle privégegevens verkopen of op een andere manier cashen", zegt Klijnsma. De bewuste creditcards kunnen namelijk worden geblokkeerd, en als dat niet gebeurt zijn de eigenaars waarschijnlijk extra alert.

Rechtstreeks

Hoe de aanvallers toegang kregen tot de systemen van British Airways, is nog niet bekend. Bij eerdere aanvallen hackte de groep, door RiskIQ MageCart gedoopt, programmacode van toeleveranciers. Dat was in dit geval niet zo: de aanvallers braken rechtstreeks bij de luchtvaartmaatschappij in.

RiskIQ voorspelt dat de groep met meer aanvallen komt. "Ze zijn actief sinds 2015 en zijn sindsdien niet gestopt", aldus het bedrijf in een rapport. "Ze richten zich nu op specifieke merken en passen hun aanvallen aan voor specifieke sites."

STER reclame