Fraudepreventie doen we met elkaar

Fraude met cadeaukaarten

Kwaadwillende personen of partijen zoals hackers, fraudeurs en (beroeps)criminelen zijn dagelijks op zoek naar methodes om op een illegale manier aan inkomsten te komen en om deze inkomsten te besteden. Dit doen zij dan het liefst zo anoniem en niet-traceerbaar mogelijk.
Grofweg zijn er twee fasen te onderscheiden:

1 het ontvreemden van financiële middelen en
2 het besteden van de ontvreemde financiële middelen.

Intersolve krijgt de laatste tijd signalen dat de cadeaukaart inmiddels een geliefd middel is voor (cyber)criminelen tijdens de cash-out fase.

In dit artikel worden deze twee fasen nader toegelicht. Tevens beschrijven we een aantal maatregelen die een verkopende of accepterende partij van cadeaukaarten kan treffen. Het is zaak dat iedereen een bijdrage levert om dit probleem gezamenlijk aan te pakken en zo de schade te beperken.

Ontvreemden

De afgelopen decennia heeft een belangrijke verschuiving plaatsgevonden op het gebied van criminaliteit; van fysieke criminaliteit naar digitale criminaliteit, ook wel cybercrime genoemd. Zo werden vroeger bijvoorbeeld veel fietsen en auto’s gestolen en wordt anno 2022 vooral gejaagd op bankrekening- en persoonsgegevens. En deze methodes worden iedere dag geavanceerder

Nietsvermoedende consumenten of bedrijven worden steeds vaker benaderd met als doel om bank-  en of persoonsgegevens te stelen. Dit gebeurt via spam (email) en zelfs hele websites (van o.a. banken) worden nagebouwd. Een andere veelvoorkomende methode is betaalpas fraude.

Awareness campagnes hebben een goede preventieve werking om te voorkomen dat mensen slachtoffer worden van deze vormen van fraude. Het lastige is helaas dat met deze awareness campagnes nooit alle inwoners van Nederland kunnen worden bereikt. Daarnaast verbeteren de cybercriminelen dagelijks hun werkmethodes zodat het steeds lastiger wordt om deze te herkennen.

Cash-out

Wanneer het de cybercriminelen lukt om hun slag te slaan, willen zij deze buit zo snel mogelijk gebruiken ofwel witwassen [1]. Stel dat cybercriminelen zich hebben voorgedaan als bankmedewerker en inmiddels in het bezit zijn van een pinpas inclusief pincode, dan willen zij direct het geld van de rekening halen. Dit kan door bijvoorbeeld naar een geldautomaat te gaan maar ook door op grote schaal cadeaukaarten te kopen die of makkelijk verhandelbaar of inwisselbaar zijn voor luxe goederen zoals elektronica en kleding. Deze goederen kunnen vervolgens ook weer worden verkocht. Op deze manier creëren criminelen een rookgordijn en is het financiële spoor moeilijker te traceren. Hetzelfde gebeurt met gephishte bankgegevens. Hiermee worden online cadeaukaarten gekocht bij partij A, die worden ingewisseld voor andere cadeaukaarten bij partij B en uiteindelijk worden verzilverd bij partij C.

[1] https://www.amlc.nl/witwassen/

Wet- en regelgeving

Wanneer een klant 70 cadeaukaarten van € 150,– (> € 10.000,–) wil afrekenen is dit verdacht en is de verkoper verplicht hiervan een melding te maken bij de FIU (Financial Intelligence Unit). Veel partijen zijn zich echter niet bewust van deze verplichting maar dit is zo wel opgenomen in de Wwft (Wet ter voorkoming van Witwassen en Financieren van Terrorisme). Het Bureau Toezicht Wwft van de Belastingdienst houdt toezicht op deze zogeheten ’handelaren van grote waarde’. Naast enkele vastgestelde indicatoren kunnen bij de FIU ook meldingen worden gemaakt over andere ‘ongebruikelijke situaties’ zoals grote sommen cashgeld met kleine coupures (maar minder dan € 10.000,–) die worden gebruikt om cadeaukaarten aan te schaffen of ander opvallend gedrag in een winkel. Naast de mogelijke verplichtingen uit de Wwft kan het een strafbaar feit zijn wanneer je betrokken bent bij dergelijke transacties.

Maatregelen (fysiek)

Zoals eerder aangegeven kan iedereen slachtoffer worden van cybercrime. Het is dan ook zaak om indien mogelijk maatregelen te treffen tegen cybercrime en witwassen. Een verkopende partij van cadeaukaarten kan bijvoorbeeld limieten per klant instellen, dit kan op bedrag maar ook op het aantal kaarten. Ook kan worden gedacht aan limieten bij cashbetalingen of, wanneer personen zich verdacht gedragen, te besluiten om de cadeaukaarten niet te verkopen. Een acceptant van cadeaukaarten kan overwegen om dezelfde limieten als voor de verkopende partij te hanteren. In geval van een ongebruikelijke transactie of verdachte situatie kan en/of moet de acceptant ook altijd besluiten de cadeaukaarten niet te accepteren. Verder kan worden gevraagd naar de herkomst van de kaarten en indien dit verhaal niet plausibel klinkt, alsnog besluiten de cadeaukaarten niet te accepteren. Tot slot kan worden gecontroleerd wanneer de kaarten zijn geactiveerd. Doorgaans worden de kaarten namelijk geactiveerd en verzilverd op dezelfde dag en vaak zelfs binnen één uur.

Maatregelen (digitaal)

Wanneer cybercriminelen online cadeaukaarten bestellen, maken ze vaak gebruik van hetzelfde IP-adres of e-mail adres. PSP’ers maar ook e-commerce platformen bieden vaak fraudemodules aan die controleren of orders mogelijk frauduleus zijn. Neem daarom contact op met de leverancier om hierover in gesprek te gaan. Verder kunnen online ook limieten worden ingesteld. Bijvoorbeeld op het aantal cadeaukaarten of het totaal bedrag aan cadeaukaarten per klant of per tijdseenheid. Ook zijn er vanuit Intersolve mogelijkheden om kaarten te versturen met een tijdelijke blokkade of vertraagd te versturen.

Tot slot kunnen rapportages vanuit Intersolve inzicht bieden. Controleer deze daarom regelmatig en ga na of het logisch is dat bepaalde winkels bijvoorbeeld significant meer cadeaukaartomzet draaien ten opzichte van andere vergelijkbare winkels. Het valt niet uit te sluiten dat de cybercriminelen een voorkeur hebben voor een bepaalde winkel of samenwerken met een medewerker van een bepaalde winkel.

Externe druk

Dat cadeaukaarten een steeds geliefder middel zijn onder (cyber)criminelen blijft ook niet onopgemerkt buiten de ‘cadeaukaart wereld’. Er vinden daarom regelmatig gesprekken plaats tussen Intersolve, banken en politie om dit probleem te analyseren en om gezamenlijk doeltreffende maatregelen te nemen. Ook in het televisieprogramma ‘Opsporing verzocht’ zijn meerdere cases behandeld waarbij met gestolen bankpassen grote hoeveelheden cadeaukaarten worden gekocht. Helaas worden slachtoffers niet altijd gecompenseerd en zij blijven mogelijk achter met een geplunderde bankrekening. Het is daarom de verantwoordelijkheid van ons allen om de cadeaukaartmarkt gezond en veilig te houden.

Ondersteuning

We zien dat het cadeaukaartenlandschap snel groeit en daarmee ook de kans op fraude. Tegelijk is het voor jou als uitgever, distributeur of acceptant van de kaart een behoorlijke lastige materie om fraude op te sporen of te beperken.

Intersolve kan  hierin met kennis ondersteunen en zo nodig extra onderzoeken verrichten of beperkende maatregelen voor jou treffen. Zo wordt erger voorkomen en zorg je met ons dat de fraude plegen met jouw kaart of in jouw winkel moeilijker wordt.

Wil je hier meer over weten? Neem dan contact op met Chiel Wijntjes, Risk- & Security Officer bij Intersolve.