Stjålne kreditkort handles i stor stil via undergrundsservere, og prisen for et illegalt kreditkortnummer er helt ned til 2,75 kroner.
Det kan man læse i sikkerhedsfirmaet Symantecs rapport "Internet Security Threat Report", der netop er blevet offentliggjort.
I den første halvdel af 2007 observerede Symantec 8.011 unikke kreditkort, der var sat til salg via de såkaldte underground economy servers.
Rapporten siger dog samtidig, at det kun er toppen af isbjerget, fordi sælgerne kun publicerer informationer om en lille del af de kreditkort, som de har til salg.
"Tallet er ikke repræsentativt for det samlede antal handler med kortnumre, for de handles i hundredetusinde vis," siger sikkerhedsekspert Ken Willén fra Symantec.
"Sælgerne holder langt de fleste kortnumre skjult, for at undgå at numrene opdages og spærres, så de er ubrugelige," siger han.
Når en potentiel køber viser interesse bliver kortnumrene således tilbudt i meget større mængder – med rabat ved køb af mange.
Priserne på et kreditkortnummer ligger ifølge Symantec fra 2,75 kroner til 27 kroner alt afhængig af, hvor mange man køber.
Af rapporten fremgår det, at 10 kortnumre kan erhverves for lige godt 110 kroner. Skal man bruge 100 kortnumre er prisen 536 kroner.
Digital identitet til 53 kroner
Rapporten fastslår, at de mest populære handelsvare på undergrundsserverne er kreditkortoplysninger, bankkonti og passwords til e-mail konti.
Disse tre 'forretningsområder' står for mere end halvdele af de ulovlige transaktioner.
Længere nede på listen finder man blandt andet fulde digitale identiteter og CPR-numre.
En digital identitet handles via undergrundsserverne til mellem 10 og 150 dollar svarende til mellem 53 og 800 danske kroner.
For få år siden foregik handlerne i det offentlige rum via auktionssider som eBay.
I dag er de fjernet fra offentlige auktionshuse, men principperne i transaktionerne er de samme.
"Handler med eksempelvis kreditkort, foregår via en auktion på undergrundsservere," siger Ken Willén fra Symantec.
"Betalingen formidles via tjenester som PayPal, hvor brugerne kan forblive anonyme. Derved brydes forbindelsen mellem køber og sælger."
Ingen tal for Danmark
Det er de amerikanske kreditkortudstedere, der er hårdest ramt. 85 procent af de kortnumre, som Symantec kom i kontakt med, var således udstedt af en amerikansk bank eller kreditkortvirksomhed.
Om tallene for Amerika kan overføres til danske forhold eller om situationen er værre eller bedre, er der ingen, der kan give et bud på.
Der er nemlig ingen offentlige tal at trække på.
I Danmark er man ikke forpligtiget til at oplyse om tab af følsomme data, og derfor optræder problemerne oftest i det skjulte.
"I USA skal man fortælle offentligheden om disse forhold, og det har vist sig at have en stor effekt når sådanne problemstillinger offentliggøres," siger Shehzad Ahmad, leder af DKCERT.
"Problemerne er der, men vi kender ikke omfanget, fordi de ikke offentliggøres," siger han.
Han mener, at en lovændring med forbillede i den amerikanske vil sætte problemet i fokus og derved skabe mere sikre rammer i Danmark.