Die typisch Duitse fraude met treintickets

Ergens in december dook er in de Duitse pers weer eens een bericht op over fraude met treintickets. De case was bekend en het verbaasde me vooral dat dit nog steeds voorkomt. Tot zover bekend is het een typisch Duits verschijnsel. Met de Nederlandse OV kaart als nationaal vervoersbewijs kan die fraude hier amper van de grond komen.

De fraude met treinkaartjes in Duitsland kan bestaan (a) omdat ze niet op naam staan en (b) omdat het aanschaffen op meer manieren kan dan we in Nederland gewend zijn. Criminelen – gelet op de schaal zijn er meerdere bendes actief op de Duitse markt – in het bezit van gestolen creditcard of bankkaart gegevens kunnen bij de Duitse spoorwegen ongedateerde tegoedbonnen kopen of tickets voor trajecten die niet op naam en geen vaste datum hebben. Via onlinekanalen, waaronder eBay en consorten, worden de credits of tickets te koop aangeboden. Een andere manier is het achterhalen van de credentials van Deutsche Bahn klanten. Daarmee kunnen eveneens tegoedbonnen en blanco tickets worden aangeschaft.

Voor de heler is de manier waarom de fraude tot stand is gekomen niet relevant, hij of zij kan niet zien over een bankpas is geskimd dan wel of de DB klantgegevens zijn misbruikt. Dat het heling is is evident, want de kanalen waar dit wordt aangeboden en de prijzen moeten argwaan opwekken. Helers die betrapt worden op een ticket uit diefstal hebben dan ook een probleem, maar hoeveel er tegen de lamp lopen blijft onduidelijk. De tickets waarmee ze reizen zijn uiterlijk legaal, het is de manier waarop ze zijn verkregen die niet klopt.

Voor de personen waarvan de gegevens zijn misbruikt is het een ander verhaal. Een creditcard of bankpas die is misbruikt is een zaak tussen de banken en de rekeninghouder. Of Duitse banken even coulant zijn als de Nederlandse is niet bekend. Wel is bekend dat het misbruik maken van de DB klantgegevens iets bijzonders is. De klantportal was tot voor kort slecht beveiligd. Het opvragen van een reset wachtwoord inclusief het daarbij opgeven van een vreemd e-mail account was met een handeling mogelijk. Bestellingen werden snel gedaan, betaald en vervolgens gestorneerd. DE credits waren dan de buit die via online kanelen werd verkocht. De fraude, waarvoor “reguliere” phishing het startpunt was, die zo wel erg makkelijk werd is niet een zaak tussen de banken en de rekeninghouder, maar tussen DB en de klanten en DB en de banken plus toezichthouders.

Dat laatste is een doordenkertje. Het gemak waarmee de DB portal misleid kon worden roept de vraag op of hier sprake was van een langdurig datalek en/of het ontbreken van passende maatregelen.

Share: