Brute force-aanvallen in Japan: Wat zijn ze en hoe kun je ze voorkomen?

Radar
Radar

Bestrijd fraude met de kracht van het Stripe-netwerk.

Meer informatie 
  1. Inleiding
  2. Wat is een brute force-aanval?
    1. De brute force-techniek
    2. Schade door brute force-aanvallen
  3. Welke gevolgen hebben brute force-aanvallen op ondernemingen in Japan?
    1. Hogere verwerkingskosten door groot aantal autorisatieverzoeken
    2. Verlies van verkoopkansen en klachten van klanten
    3. Opschorting van creditcardbetalingen
    4. Verlies van klantvertrouwen en verspreiding van schade
  4. Hoe kunnen ondernemingen in Japan brute force-aanvallen voorkomen?
    1. 3D Secure
    2. Bot-tools als tegenmaatregelen
    3. Systemen voor fraudedetectie
    4. Beperkingen op het invoeren van kaartgegevens
  5. Welke gevolgen hebben aanvallen van credit masters op kaarthouders?
    1. Niet-gedetecteerd frauduleus kaartgebruik
    2. Heruitgifte van betaalkaart
  6. Hoe kunnen kaarthouders brute force-aanvallen voorkomen?
    1. Brute force-aanvallen voorkomen
    2. Herstellen van een brute force-aanval
  7. Veelgestelde vragen over brute force-aanvallen
    1. Wanneer wordt het creditcardafschrift bijgewerkt?
    2. Is het mogelijk dat alleen het creditcardnummer wordt misbruikt?
    3. Wanneer wordt 3D Secure voor creditcards verplicht?
  8. Wat je moet weten over brute force-aanvallen
  9. Aan de slag met Stripe 

Een brute force-aanval is een criminele daad waarbij iemand illegaal de creditcardgegevens van een ander verkrijgt en gebruikt. Brute force-aanvallen nemen toe in Japan en hebben een aanzienlijke impact op ondernemingen en kaarthouders. Daarom is het noodzakelijk om maatregelen te nemen om brute force-aanvallen te voorkomen.

In dit artikel leggen we brute force-aanvallen uit, de schade die ze kunnen veroorzaken en tegenmaatregelen die ondernemingen en kaarthouders kunnen treffen om ze te voorkomen.

Wat staat er in dit artikel?

  • Wat is een brute force-aanval?
  • Welke gevolgen hebben brute force-aanvallen op ondernemingen in Japan? 
  • Hoe kunnen ondernemingen in Japan brute force-aanvallen voorkomen?
  • Welke gevolgen hebben brute force-aanvallen voor kaarthouders?
  • Hoe kunnen kaarthouders brute force-aanvallen voorkomen?
  • Veelgestelde vragen over brute force-aanvallen
  • Wat je moet weten over brute force-aanvallen

Wat is een brute force-aanval?

Een brute force-aanval is een methode voor creditcardfraude die de consistentie van cijfers in creditcardnummers gebruikt om illegaal kaartnummers te verkrijgen. Bij een brute force-aanval gebruikt de aanvaller een programma dat of software die automatisch willekeurige getallen genereert. Deze nummers worden vervolgens getest om geldige kaartnummers en beveiligingscodes te identificeren.

Aanvallers gebruiken de betaalpagina's van e-commercesites om te bepalen of deze door computers gegenereerde nummers al dan niet geldige creditcardnummers zijn. Als een betaalpagina een creditcardbetaling met deze nummers accepteert, worden het kaartnummer en de beveiligingscode als geldig beschouwd. Ze lopen dan het risico frauduleus te worden gebruikt op verschillende andere e-commercesites.

Hier volgt een gedetailleerde uitleg van de specifieke methoden die worden gebruikt bij een brute force-aanval:

De brute force-techniek

Een brute force-aanval omvat het automatisch genereren van nummers op basis van de regelmaat van creditcardnummers.

In overeenstemming met de internationale norm van de Internationale Organisatie voor Standaardisatie/Internationale Elektrotechnische Commissie (ISO/IEC) 7812 zijn creditcardnummers samengesteld uit:

  • Een identificatienummer van de verstrekker (IIN): Dit wordt soms ook wel het bankidentificatienummer (BIN) genoemd en bestaat uit de eerste zes cijfers.

  • Een lidrekeningnummer: Dit getal bestaat uit de zevende tot en met de voorlaatste cijfers.

  • Een controlecijfer: Dit is het laatste cijfer.

Met een speciaal algoritme bepaalt het controlecijfer of het kaartnummer correct is. De creditcardverstrekker bepaalt het IIN. Dit is openbare informatie die iedereen kan controleren. Rakuten-creditcards krijgen bijvoorbeeld het IIN '3584-03' toegewezen en EPOS Visa-creditcards krijgen het IIN '4897-83'.

Na het vaststellen van een startpunt door middel van wat giswerk, worden cijfers automatisch gegenereerd door een computer. Het uiteindelijke nummer wordt berekend door herhaaldelijk combinaties van de beveiligingscode en de vervaldatum te testen, naast het IIN, het ledenrekeningnummer en het controlecijfer.

Schade door brute force-aanvallen

Volgens de Japan Consumer Credit Association bedroeg de totale schade veroorzaakt door ongeoorloofd gebruik van creditcards in Japan tussen januari en december 2023 ¥ 54,1 miljard, het hoogste bedrag dat ooit is geregistreerd. Vergeleken met de totale schade van ¥ 43,7 miljard in 2022 betekent dit een stijging van meer dan ¥ 10 miljard in één jaar.

Wanneer het bedrag aan schade veroorzaakt door frauduleus gebruik van creditcards wordt uitgesplitst in categorieën, bedroeg het totale bedrag aan schade veroorzaakt door nummerdiefstal in 2023 ¥ 50,5 miljard. Dit vertegenwoordigt 93,3% van de totale schade veroorzaakt door frauduleus gebruik van creditcards.

Brute force-aanvallen vallen doorgaans in de categorie nummerdiefstal, maar niet alle aanvallen waarbij sprake is van nummerdiefstal maken gebruik van deze technieken. Volgens recente trends worden frauduleuze activiteiten met betrekking tot diefstal van creditcardnummers, inclusief brute force-technieken, echter elk jaar complexer en geavanceerder. Er zijn zorgen dat de verliezen zullen blijven toenemen.

Welke gevolgen hebben brute force-aanvallen op ondernemingen in Japan?

De gevolgen van deze aanvallen voor Japanse ondernemingen:

Hogere verwerkingskosten door groot aantal autorisatieverzoeken

Via de autorisatie van betaalkaarten (het proces van het krijgen van krediet of het ontvangen van goedkeuring voor krediet) kunnen ondernemingen bij de creditcardmaatschappij controleren of de klant voldoende geld of krediet beschikbaar heeft om voor een transactie te betalen. De onderneming moet de creditcardmaatschappij verwerkingskosten betalen voor elke autorisatie, meestal tussen de ¥ 1 en ¥ 5.

Als een e-commercesite het slachtoffer wordt van een brute force-aanval, wordt er doorgaans een groot bedrag aan autorisatiekosten in rekening gebracht omdat kaartnummers ter autorisatie worden ingediend. Hoewel de kosten voor elke autorisatiepoging klein zijn, kunnen de kosten van de autorisaties al snel oplopen tot een groot bedrag.

Zelfs als de creditcards niet rechtstreeks op die site frauduleus worden gebruikt, kan de onderneming nog steeds schade lijden door een groot aantal autorisaties en de bijbehorende kosten.

Verlies van verkoopkansen en klachten van klanten

Tijdens een brute force-aanval wordt een groot aantal toegangspogingen gedaan op één locatie. Dit kan het systeem overbelasten, de betalings- en orderverwerking vertragen en, in sommige gevallen, legitieme klanten de toegang tot de e-commercesite ontzeggen. Problematischer is dat creditcardbetalingen daardoor tijdelijk niet beschikbaar kunnen zijn.

Als deze situatie zich voordoet op een e-commercesite, zullen klanten zich waarschijnlijk ongemakkelijk en achterdochtig voelen. Soms gebruiken ze de site helemaal niet meer. Dit kan leiden tot een verlies van verkoopkansen voor de onderneming. Bovendien zal de site worden overspoeld met vragen en klachten van echte klanten die zich zorgen maken over de vraag of hun bestellingen en betalingen correct zijn verwerkt.

Opschorting van creditcardbetalingen

Creditcardmaatschappijen houden de omstandigheden rondom betalingen voortdurend in de gaten. Om deze reden kunnen creditcardmaatschappijen betalingen tijdelijk opschorten voor e-commercesites die het doelwit zijn geweest van een brute force-aanval.

De brute force-techniek maakt gebruik van een groot aantal willekeurige getallen die met elkaar in strijd zijn. Dit resulteert in het grote aantal hierboven genoemde autorisatieverzoeken, die als fraude kunnen worden gesignaleerd. Als gevolg hiervan kan de creditcardaanbieder het nodig achten om creditcardbetalingen op een bepaalde site volledig te stoppen. En zolang deze betalingen zijn opgeschort, is het onmogelijk om diensten voor creditcardbetalingen aan legitieme klanten te leveren.

Verlies van klantvertrouwen en verspreiding van schade

Zoals hierboven vermeld, is het mogelijk dat creditcardbetalingen tijdelijk niet kunnen worden uitgevoerd. Als de e-commercesite uitvalt terwijl klanten een bestelling plaatsen, kunnen ze de site als onveilig beschouwen of niet in staat zijn om veilige betalingen te verwerken.

Als klanten contact opnemen met de onderneming, kunnen ze een antwoord ontvangen zoals: "Creditcardbetalingen worden tijdelijk opgeschort vanwege ongeautoriseerde activiteiten van buiten het bedrijf." Een bericht als dit kan het onbehagen of wantrouwen van de klant vergroten.

Bovendien, als een brute force-aanval succesvol is, kunnen brute force-aanvallers de site beschouwen als een site met slechte beveiliging. Daarom kan de site in de toekomst het doelwit blijven. Verder, als een kwaadwillende derde partij geldige creditcardgegevens verkrijgt van de e-commercesite van een onderneming, zijn de persoonlijke gegevens van de klanten gecompromitteerd. Hun kaartgegevens kunnen ook elders frauduleus worden gebruikt, met nog meer schade voor klanten tot gevolg.

Hoe kunnen ondernemingen in Japan brute force-aanvallen voorkomen?

Dit zijn de stappen die ondernemingen kunnen nemen om zich te beschermen tegen brute force-aanvallen en de kans op impact te verkleinen:

3D Secure

3D Secure is een authenticatiesysteem dat tot doel heeft ongeoorloofd gebruik van creditcards bij betalingen op e-commercesites te voorkomen. Eenmalige wachtwoorden en biometrische authenticatie worden de norm. Ze worden gebruikt om te bevestigen dat de persoon die de creditcardgegevens invoert, de legitieme eigenaar van de kaart is.

In 3D Secure 2.0 (ook bekend als 'EMV 3-D Secure') is het bijvoorbeeld mogelijk om ongeoorloofd gebruik, zoals het stelen van creditcardgegevens, te voorkomen. Het systeem voert een risicobeoordeling uit op basis van gedetailleerde gegevens, zoals de apparaatinformatie van de klant, de toegangsregio en het tijdstip van de dag. 3D Secure 2.0 alleen is echter niet voldoende om fraude volledig te voorkomen. Dus is het noodzakelijk om diverse andere fraudepreventiemaatregelen te implementeren die verder gaan dan 3D Secure 2.0.

Bot-tools als tegenmaatregelen

Het gebruik van botdetectietools is een andere manier om geautomatiseerde ongeoorloofde toegang te voorkomen, inclusief brute force-aanvallen. reCAPTCHA van Google is een bekende tool voor botdetectie en een beveiligingsservice die elke onderneming kan gebruiken.

reCAPTCHA v2 biedt twee soorten tests. De ene vereist dat de klanten een vakje aanvinken om te bevestigen dat ze geen robot zijn, en de andere vereist dat klanten de juiste afbeeldingen selecteren uit een set van meerdere afbeeldingen. In de instructies staat bijvoorbeeld: "Selecteer de afbeeldingen met een zebrapad." Deze zijn vaak te zien bij het indienen van een aanvraagformulier op een website of bij het inloggen op een account.

Bovendien maakt de nieuwste versie (reCAPTCHA v3) gebruik van machine-learning om de webactiviteitspatronen van klanten te analyseren en automatisch te bepalen of de site wordt bezocht door een mens of door een bot. Hoewel reCAPTCHA v3 geen klantinvoer vereist zoals reCAPTCHA v2, biedt het superieure beveiliging.

Systemen voor fraudedetectie

Een fraudedetectiesysteem identificeert frauduleus gebruik op basis van eerdere betaalinformatie en -gedrag. Enkele van de informatie waarnaar wordt gezocht, omvat:

  • Een ongeldig of fictief adres

  • De naam van de kaarthouder komt niet overeen

  • Bestellingen geplaatst vanaf verschillende terminals

  • Herhaalde betalingen met verschillende kaartnummers

Met een fraudedetectiesysteem kunnen ondernemingen schade aan e-commercesites effectiever voorkomen door frauduleuze transacties te detecteren en automatisch te blokkeren die niet met 3D Secure kunnen worden geverifieerd. Fraudedetectiesystemen vereisen ook niet dat legitieme kaarthouders extra stappen doorlopen om betalingen te doen, zoals het vragen om aanvullende authenticatie. Dit kan leiden tot een betere winkelervaring voor klanten.

Stripe helpt ondernemingen hun online betaalomgeving te optimaliseren door de groeiende dreiging van wereldwijde fraude aan te pakken. Stripe Radar, de tool voor fraudepreventie van Stripe, past zich met machine-learning aan de steeds veranderende fraudepatronen aan, waardoor geavanceerdere maatregelen voor fraudepreventie mogelijk worden. Omdat het zonder extra tijd en kosten kan worden opgenomen in de betaalflow om zelfstandig een fraudedetectiesysteem te ontwikkelen, kan het gebruik van het systeem soepel en eenvoudig worden gestart.

Beperkingen op het invoeren van kaartgegevens

Door een limiet in te stellen voor het aantal keren dat klanten hun creditcardgegevens op het betaalscherm kunnen invoeren, kun je grootschalige brute force-aanvallen voorkomen.

Als de limiet echter te strikt is ingesteld, kan het kaartgebruik worden geblokkeerd als een legitieme kaarthouder per ongeluk te vaak onjuiste informatie invoert. Een te strikte limiet kan het risico op het verlaten van het winkelwagentje vergroten en de klanttevredenheid verminderen.

Welke gevolgen hebben aanvallen van credit masters op kaarthouders?

Hier zijn een paar voorbeelden van schade die een kaarthouder kan oplopen als gevolg van een credit master-aanval:

Niet-gedetecteerd frauduleus kaartgebruik

Als de creditcardgegevens die bij een credit master-aanval worden gegenereerd, als geldig worden beschouwd, wordt deze waarschijnlijk gebruikt door een kwaadwillende derde partij. Naarmate credit master-aanvallers geavanceerdere methoden gebruiken, zullen velen het uitgegeven bedrag opzettelijk zo laag houden dat het niet onmiddellijk door de klant wordt gedetecteerd als frauduleus gebruik.

Heruitgifte van betaalkaart

Als er meerdere gevallen van frauduleuze creditcardtransacties zijn, kan de creditcardmaatschappij besluiten de kaart te annuleren. Zoals we later zullen uitleggen, moet een creditcardhouder, als hij zelf een credit master-aanval opmerkt, contact opnemen met de creditcardmaatschappij en de kaart laten annuleren. In beide gevallen moet de kaart opnieuw worden uitgegeven en kan deze pas worden gebruikt als dit het geval is.

Hoe kunnen kaarthouders brute force-aanvallen voorkomen?

Wanneer een creditcard frauduleus wordt gebruikt bij een brute force-aanval, is dit zowel een financiële als psychologische last voor de klant. Dit is wat kaarthouders kunnen doen om het risico te verkleinen en wat ze moeten doen als hun creditcardgegevens worden gebruikt bij een brute force-aanval:

Brute force-aanvallen voorkomen

Kaartafschriften zorgvuldig en regelmatig controleren

Wanneer kaarthouders hun afschrift regelmatig controleren, is de kans groter dat ze betalingen opmerken waarvan ze zich niet herinneren dat ze zijn gedaan. In vergelijking met iemand die bijvoorbeeld maar één keer per maand zijn afschrift controleert, zal iemand die zijn afschrift na elke shoppingtrip of maaltijd controleert, eerder vertellen of een betaling al dan niet ongebruikelijk is.

Een service voor gebruiksmeldingen gebruiken

Met een gebruiksmeldingsservice kunnen kaarthouders meldingen ontvangen per e-mail, sms of pushmelding wanneer een creditcard wordt gebruikt. Ze worden in real time op de hoogte gebracht van het bedrag, de datum, het tijdstip, de naam van de onderneming en andere informatie nadat de betaalkaart is gebruikt. Als ze een melding krijgen, maar ze hebben de betaalkaart niet gebruikt, weten ze onmiddellijk dat de betaling frauduleus is en kunnen ze passende maatregelen nemen.

Beperkingen voor kaartgebruik instellen

Het instellen van een limiet voor elk type gebruikssituatie kan enige gemoedsrust bieden aan creditcardklanten. Het is ook belangrijk om voor elke situatie individuele limieten in te stellen. Als kaarthouders bijvoorbeeld nooit buiten Japan reizen, kunnen ze de overzeese limiet op het minimum instellen. Ze kunnen de kaart ook zo instellen dat afzonderlijke transacties met een hoge waarde worden voorkomen, zodat ze minder snel een doelwit worden voor online winkelfraude.

Herstellen van een brute force-aanval

Soms zijn deze aanvallen onvermijdelijk, zelfs als de onderneming en de kaarthouder alle mogelijke maatregelen nemen om fraude te voorkomen. Dit is wat kaarthouders kunnen doen als ze het slachtoffer worden van een brute force-aanval:

Neem contact op met de creditcardmaatschappij om de betaalkaart op te schorten

Zodra kaarthouders ongeoorloofd gebruik opmerken, moeten ze onmiddellijk contact opnemen met de creditcardmaatschappij en verzoeken de betaalkaart op te schorten. Als ongeoorloofd gebruik wordt ontdekt, kunnen ze een terugbetaling aanvragen door betaling te weigeren via een proces dat chargeback wordt genoemd.

Gebruik het compensatiesysteem

Nadat een creditcard is geschorst, kunnen kaarthouders gebruik maken van het compensatiesysteem van de creditcardmaatschappij. De details van de compensatie zijn voor elke onderneming anders. Maar als ongeoorloofd gebruik is bevestigd, kunnen ze het compensatiesysteem gebruiken als een maatregel om de consument te helpen. Daarom moeten kaarthouders vooraf de details van het compensatiesysteem controleren. Dit kan ze helpen kalm te handelen in het geval van een brute force-aanval.

Veelgestelde vragen over brute force-aanvallen

Wanneer wordt het creditcardafschrift bijgewerkt?

Wat de timing betreft: Wanneer de winkel de gebruiksgegevens naar de creditcardmaatschappij stuurt, wordt dit weergegeven op het overzicht. Als de winkel bijvoorbeeld gebruiksgegevens direct na een creditcardbetaling verzendt, duurt het over het algemeen twee of drie dagen vanaf het moment van de betaling tot het moment dat deze op het afschrift verschijnen. De timing van de gegevensoverdracht verschilt echter per winkel. In sommige gevallen kan het enkele weken of maanden duren voordat een afschrijving op een afschrift verschijnt.

Als een kaarthouder een creditcard gebruikt om voor een product te betalen, worden de transactiegegevens niet onmiddellijk op het afschrift weergegeven.

Is het mogelijk dat alleen het creditcardnummer wordt misbruikt?

Creditcards bevatten verschillende stukjes informatie die kunnen worden misbruikt, zoals een beveiligingscode en vervaldatum. Sommige mensen maken zich misschien zorgen dat hun kaartnummer aan derden is onthuld en mogelijk wordt misbruikt. Over het algemeen geldt echter dat als slechts één van deze details wordt gelekt, de kans op succesvol ongeoorloofd gebruik klein is.

Als je online wilt winkelen in een e-commercecentrum of als je je wilt aanmelden voor digitale diensten via internet, moeten kaarthouders namelijk het kaartnummer, de beveiligingscode en de vervaldatum invoeren. Met andere woorden, het is niet mogelijk om online een creditcardbetaling te doen met alleen het kaartnummer.

Als de beveiligingscode en vervaldatum echter samen met het kaartnummer worden gelekt, kan deze frauduleus worden gebruikt. Om deze reden moeten kaarthouders bij het doen van een creditcardbetaling, al dan niet persoonlijk, voorzichtig zijn met wat de mensen om hen heen kunnen zien. Ze moeten voorkomen dat ze online winkelen op plaatsen met veel mensen, omdat iemand zou kunnen proberen naar het betalingsscherm te kijken en hun informatie te verkrijgen.

Wanneer wordt 3D Secure voor creditcards verplicht?

Als onderdeel van de maatregelen om ongeoorloofd gebruik van creditcards te voorkomen, is 3D Secure 2.0 eind maart 2025 verplicht voor e-commercesites in Japan. Nu 3D Secure verplicht wordt, is het belangrijk dat alle ondernemingen die actief zijn in de creditcardbranche e-commerceondernemingen aanmoedigen om deel te nemen.

Wat je moet weten over brute force-aanvallen

In dit artikel hebben we de aanvalsmethoden en het geldbedrag van de schade bij brute force-aanvallen onderzocht, evenals de schade en tegenmaatregelen voor zowel ondernemingen als klanten.

Brute force-aanvallen bestaan uit kwaadaardige technieken die willekeurige aanvallen mogelijk maken door nummers automatisch machinaal te genereren als een manier om op frauduleuze wijze creditcardgegevens te verkrijgen. Om je te verdedigen tegen aanvallers die van plan zijn de brute force-techniek te gebruiken, is het erg belangrijk om 3D Secure te ondersteunen en het beveiligingsniveau van de e-commercesite van je onderneming te versterken. Je doet dit door fraudedetectie te implementeren en een site-omgeving te creëren waar klanten met een gerust hart kunnen winkelen.

Creditcardhouders moeten ook extra voorzichtig zijn bij het gebruik van hun betaalkaarten, hun afschriften regelmatig controleren en voorzichtig zijn bij het opslaan en beheren van hun persoonlijke informatie.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Meer artikelen

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Radar

Radar

Bestrijd fraude met de kracht van het Stripe-netwerk.

Documentatie voor Radar

Gebruik Stripe Radar om je onderneming te beschermen tegen fraude.