Witwassen met crypto kaarten
Saskia de Blank, FACT & Niels Ploeger, AMLC
Buitenlandse betaalkaarten die geladen kunnen worden met cryptovaluta zijn een fenomeen waar veel witwasrisico’s aan kleven. Kort gezegd kan de gebruiker van zo’n prepaid kaart deze laden met cryptovaluta. Omdat de betaalkaart aangesloten is op een creditcardnetwerk, kan deze gebruikt worden op punten die normaal gesproken geen cryptovaluta accepteren. Zo kan bijvoorbeeld betaald worden voor een hotelovernachting of het leasen van een auto.
Criminelen hebben ook lucht gekregen van dit nieuwe betaalproduct. Ze kunnen de kaarten laden met cryptovaluta die verdiend zijn met bijvoorbeeld ransomware en online drugshandel. De FIOD heeft al meerdere van dit soort betaalkaarten aangetroffen in strafrechtelijke onderzoeken. Ze werden door criminelen voornamelijk gebruikt voor contante opnames bij de geldautomaat. In een opsporingsonderzoek bleek dat met één prepaid cryptokaart in twee jaar tijd voor ruim 200.000 euro aan contant geld was opgenomen.
Hoe werken cryptokaarten?
De prepaid cryptokaart is aangesloten op het Mastercard of Visa-netwerk. Voordat de kaart kan worden gebruikt, moet er sprake zijn van een positief saldo. De betaalkaart is gekoppeld aan een online account met een crypto-wallet.
Er zijn geverifieerde en niet-geverifieerde prepaid kaarten. Bij de aanvraag van een niet-geverifieerde kaart hoeft slechts een e-mailadres te worden opgegeven. Er zijn wel (bestedings)limieten verbonden aan een anonieme kaart. Niets staat de gebruiker echter in de weg om meerdere kaarten aan te schaffen, waardoor hij alsnog een groot bedrag kan besteden. Om een geverifieerd account aan te maken, dient de gebruiker kopieën van officiële documenten op te sturen. Dit biedt echter geen garantie dat de identiteit van de gebruiker van de kaart overeenkomt met de identiteit die op de officiële documenten staat, aangezien het tegenwoordig mogelijk is om deze papieren te kopen op het dark web.
De prepaid kaart wordt vervolgens fysiek verstuurd naar een postadres. De gebruiker kan, afhankelijk van de kaartaanbieder, in zijn nieuw aangemaakte wallet één of meerdere cryptovaluta storten. Indien aan de kaart een eigen saldo is gekoppeld, dient de kaarthouder eerst voor een positief kaartsaldo te zorgen. Dit kan door cryptovaluta vanuit de wallet op de kaart te storten, waarbij ze feitelijk worden verkocht en in EUR worden bijgeschreven op het saldo van de kaart. In geval van bitcoins, verzorgt BitPay meestal deze conversie. Het saldo dat nu op de kaart staat, is dus een ander saldo dan wat aan de wallet is gekoppeld. Met de prepaid cryptokaart kan nu betaald worden bij iedere acceptant van Mastercard of Visa.
Het proces is weergegeven in het volgende stroomschema:
Het kan ook zijn dat het saldo van de wallet wél is gekoppeld aan de kaart. Bij een transactie in euro’s wordt dan de tegenwaarde verminderd in bijvoorbeeld het bitcoinsaldo. Het stroomschema ziet er dan als volgt uit:
Veel kaartaanbieders beschikken zelf niet over een licentie om een betaalkaart te mogen uitgeven en sluiten daarom een overeenkomst met een officiële kaartuitgever. Er zijn meerdere bedrijven die crypto kaarten uitgeven, voor meer informatie verwijzen we naar dit artikel: 10 best crypto debit and credit cards.
Witwasrisico’s: crypto omzetten naar fiatgeld
Doordat cryptovaluta een bepaalde mate van anonimiteit en privacy bieden, zijn ze erg interessant voor criminelen. Daarnaast bieden cryptovaluta de mogelijkheid om binnen enkele seconden geld beschikbaar te maken op iedere andere plek in de wereld waar internet beschikbaar is.
Op de meeste dark markets kan enkel betaald worden met cryptovaluta. Op dark markets worden illegale goederen en diensten verkocht (kinderporno, DDoS-aanvallen, gestolen creditcardgegevens). Een dark market kan dus een belangrijke bron zijn van vermogen in cryptovaluta. Het risico bestaat dat cryptovaluta verkregen uit criminaliteit worden omgezet in fiatgeld, dat vervolgens via prepaid cryptokaarten wordt gebruikt voor het betalen van goederen en diensten.
Bij criminelen kan de behoefte bestaan om cryptovaluta om te wisselen naar contant geld, de zogenoemde cash-out. Een groot risico is dat prepaid cryptokaarten door criminelen worden gebruikt om cryptovaluta, bitcoin in het bijzonder, bij de geldautomaat om te zetten in contante euro’s.
Hoe herken je prepaid cryptokaarten?
Er zijn twee soorten prepaid cryptokaarten: virtuele en fysieke. Een fysieke kaart ziet er net zo uit als reguliere betaalkaarten. Er staat een kaartnummer op, een naam, een vervaldatum, een CVC-code en een logo van Mastercard of Visa.
Een virtuele kaart is moeilijker te herkennen, want op het eerste gezicht lijken alle creditcard- en prepaid kaartnummers op elkaar. Als in een opsporingsonderzoek een bankidentificatienummer (BIN) wordt aangetroffen dat eindigt op 91, kan ervan uit worden uitgegaan dat het om een virtuele kaart gaat. Een BIN bestaat uit zes cijfers en is opgebouwd uit het nummer van het creditcard netwerk (één cijfer) en vervolgens de vijf cijfers die gekoppeld zijn aan de kaartuitgever. Een BIN wordt dus gebruikt om de uitgever van de kaart te identificeren. Het zijn de eerste zes cijfers van de totale reeks cijfers, zoals afgebeeld op kaarten hierboven. Let op: de kaartaanbieder en de officiële kaartuitgever zijn vaak verschillende entiteiten!
Wat waar vorderen en onderzoeken?
1) Transactiegegevens vorderen – 126nd Sv
Wanneer een kaart wordt aangetroffen in een onderzoek, kunnen aan de hand van het bank- of kaartnummer transactiegegevens worden gevorderd middels een 126nd bij equensWorldline. Deze betalingsverwerker ziet 95% van alle transacties die zijn verricht bij de klassieke geldautomaten (Rabobank, ING, ABN AMRO) in Nederland. Uit de gegevens kan blijken dat een gebruiker meerdere kaarten in zijn bezit heeft. Een belangrijke aanwijzing hiervoor is dat meerdere kaarten kort na elkaar zijn gebruikt bij dezelfde geldautomaat. Dit kunnen ook kaarten van verschillende aanbieders zijn. De transactiegegevens van een individuele kaart kunnen ook worden opgevraagd bij de kaartuitgever.
2) Gegevens vorderen bij de kaartaanbieder – 126nc & 126nd Sv
Bij de kaartaanbieder kunnen behalve de klant- en log-gegevens (IP-adressen) ook alle stortingen en opnames worden opgevraagd, inclusief gekoppelde (bitcoin)adressen en bankrekeningen. Controleer wel eerst bij het European Cybercrime Centre van Europol of de kaartaanbieder te goeder trouw is, in verband met een mogelijk afbreukrisico.
3) Bestedingspatroon vaststellen
Aan de hand van de verkregen transactiegegevens kan worden onderzocht wat het bestedingspatroon is van de kaarten. Uit deze data zal blijken waar, wanneer, op welk tijdstip en hoeveel is besteed met welk kaartnummer. Op deze manier kan worden vastgesteld dat een bepaald percentage is besteed aan contante opnames.
4) Identificerende gegevens vorderen – EOB/RHV/126nc Sv
Als de identiteit van de kaarthouder onbekend is, kunnen aan de hand van de kaartnummers bij de kaartuitgever identificerende gegevens (zoals postadres en e-mailadres) worden gevorderd middels een Europees Opsporingsbevel (EOB) of een rechtshulpverzoek (RHV). Dit zijn in de meeste gevallen Wavecrest Ltd te Gibraltar (EOB) of Paysafe Financial Services Ltd op het Isle of Man (RHV). De kaartuitgever staat in kleine letters achterop de kaart vermeld. De kaartuitgever kan ook worden achterhaald met het BIN.
5) Tegoeden bevriezen bij kaartaanbieder
Indien sprake is van een positief kaart- en/of walletsaldo (toebehorende aan de verdachte), kan opdracht worden gegeven om deze tegoeden te bevriezen.
Tactisch onderzoek voorbereiden?
Bij de inrichting van het tactisch onderzoek kan het 6-stappenplan voor witwassen als uitgangspunt worden genomen. Als de betaalkaart onderdeel is van een complex onderzoek waarin cryptovaluta een rol spelen, neem dan contact op met het Financial Advanced Cyber Team (FACT) van de FIOD, dat hier ervaring mee heeft en kan helpen. Mail naar ffact@belastingdienst.nl.