Handel in iTunes Gift Cards wijst op gestolen creditcards

Begin maart kon je het overal lezen: de codes voor de iTunes Gift Card waren gekraakt, waardoor een groep Chinezen een bloeiende handel in valse kaartcodes erop na kon houden. Voor $3 een kadobon van $200 kopen: dat is een aanbieding waar “prijsbewuste” Nederlanders wel warm voor lopen. Onder het mom: ‘had Apple zijn codes maar beter moeten beveiligen‘ bleken veel mensen best bereid om de gok te wagen. iPhoneclub-lezer Elgar ging zelf op onderzoek uit en vond aanwijzingen dat de verkoop van goedkope iTunes Gift Cards te maken kan hebben met gebruik van gestolen creditcards.

Iedereen moet natuurlijk zelf weten of de handel in goedkope Gift Cards door de beugel kan, maar het feit is dat je door zo’n nepkaart te kopen criminele netwerken in stand houdt en ook eerlijke kopers benadeelt: zo’n keygenerator – als daar sprake van is – kan het nummer genereren van een iTunes Gift Card die in de winkel is afgerekend om later kado te doen. De jarige voert een paar weken later de code in en zit met lege handen: de code is al gebruikt door een koopjesjager. Overtuig Apple er dan maar eens van, dat je de code niet toevallig aan een kennis hebt weggegeven.

Het schijnt dat de codes die de Chinezen verkopen worden gegenereerd met een keygenerator, op een vergelijkbare manier als bij illegale software gebeurt. Maar hoe weten de Chinezen dat een code wel of niet door Apple is vrijgegeven of dat de code een halfjaar geleden al eens is gebruikt? Daarvoor zou je toegang moeten hebben tot het systeem van Apple. De enige andere manier om te checken of een kaartcode werkt is door deze in te vullen in iTunes, maar daarmee is het tegoed meteen geclaimd en dat is nou net niet de bedoeling.

Outdustry, de onderzoeker uit het originele verhaal, ging chatten met een Chinese verkoper en ontdekte dat de verkoper moet betalen voor de keygenerator. Voorheen kostten de kaarten $46, maar de prijzen zijn gezakt door het grote aanbod, zowel van klanten als van valse codenummers. Volgens malwareonderzoeker Joe Stewart kan de truc niet alleen met een keygenerator werken: als je zo’n code invoert zal deze niet werken, omdat de codes bij het verkooppunt moeten worden geactiveerd. Als je een stapel iTunes Gift Cards uit de supermarkt steelt heb je er ook niets aan, omdat de codes niet zijn geactiveerd.

iPhoneclub-bezoeker Elgar was achterdochtig geworden over het keygenerator-verhaal en besloot verder op onderzoek uit te gaan. Elger vermoedde dat Apple de codes pas activeert als ze daadwerkelijk worden afgerekend. Hij kocht zo’n kaart, legde contact met de Chinese verkoper en raakte in gesprek. Omdat hij geen Amerikaans iTunes-account had, mocht hij inloggen op een iTunes-account van de verkoper zelf. Bij de gekochte items van de verkoper zag Elgar geen muziek of applicaties, maar alleen een lijst met gekochte iTunes Gift Cards. Deze waren gewoon op de gebruikelijke wijze ‘gekocht’ via iTunes. Elgar vermoedt nu dat er drie opties zijn: ze worden legaal gekocht (maar dat is onlogisch, want wie wil er nu $197 verlies maken?), er wordt geknoeid met de aankoopprocedure of er wordt gebruik gemaakt van valse of gestolen creditcardnummers.

Ook de eerder genoemde malwareonderzoeker Joe Stewart denkt dat er gestolen creditcardnummers in het spel zijn. Het verkopen van iTunes Gift Card-codes is dan een ideale handel omdat er geen fysieke spullen aan te pas komen. Veel kopers ontvangen hun kaartcode gewoon via MSN of e-mail. De handel is volledig anoniem, je hoeft geen adresgegevens achter te laten en als verkoper kun je zorgen dat je niet traceerbaar bent. Een andere mogelijkheid is nog steeds dat iemand erin geslaagd is om in het systeem van Apple in te breken en een groot aantal codes gestolen én geactiveerd heeft.

Een soortgelijk geval lijkt nu te spelen rond de wel zeer goedkope AppleCare-garantie, die ook op basis van een code werkt. AppleCare wordt op eBay regelmatig te koop aan geboden voor spotprijzen. Een ander gevaar – wat meer speelt bij AppleCare dan bij de iTunes Gift Cards – is dat de verkoper later een refund claimt, waardoor de uitgegeven code waardeloos is geworden en je dus ook naar eventuele garantie kunt fluiten, zoals een forumlid op Tweakers overkwam. In theorie zou dat ook bij de iTunes Gift Card kunnen gebeuren als je de code pas later besluit te activeren.

Apple weigert tot nu toe elk commentaar. De handel in codes gaat intussen rustig door…

Zie ook: artikel op Creditcards.com, originele artikel: Algoritme iTunes Gift Cards gehackt: codes voor dumpprijzen.

Met dank aan Elgar voor het additionele onderzoek en @ejnoomen voor de aanvulling over Applecare.