Archief
- De topics van lang geleden
Pinpasfraudeurs
10-07-2007, 15:58 door Anoniem, 3 reacties
Onlangs heeft security.nl een artikel geschreven over een
geval van pinpasfraude in Zuid-Holland alwaar criminelen
honderden slachtoffers hebben gemaakt.
In mijn bijdrage vermeldde ik dat het altijd verstandig is
om de PIN-code af te schermen om zo schouder-surfen
en mini(pinhole)-camera's te slim af te zijn. Wie
immers de PIN niet kan veiligstellen, kan ook de
bankrekening niet plunderen.
Er blijkt immers dat deze methode in het onderhavige geval
niet gewerkt zou hebben (PIN-afschermen). Criminelen zijn er
in geslaagd geweest om in een Tuincentrum de Betaalautomaten
(alwaar men afrekent) te compromitteren. Hoe ze dit precies
gedaan hebben is nog onduidelijk, maar feit is wel dat op
deze manier honderden klanten zijn bestolen. Tijdens het
afrekenen moet men de bankpas doorhalen en daarna de
PIN-code ingeven. Kennelijk werden de klanten al tijdens dit
proces geskimd en werd na invoer van de PIN deze
code ook ontfutseld.
Binnenkort worden alle oude Betaalautomaten in de winkels
verwisseld voor een nieuw systeem waarbij er geen
magneetstrip van de pas wordt gelezen. De mageetstriplezer
wordt verwijderd en een schipper-scanner wordt dan
geïnstalleerd waarbij de chip op de pas (met PIN-code) wordt
gelezen. Afscannen door middel van skimmen zou dan
volgens opgave van de fabrikant tot het verleden moeten gaan
behoren. Of deze skimming ook een inside-job is geweest
zou nog onderzocht moeten worden.
De klant kan ook zelf veel doen om het leegplunderen van
zijn rekening sowieso te voorkomen.
1) Eén maatregel is om niet al je geld op een gewone betaalrekening
te zetten, maar op een spaarrekening. Om bij je spaarrekening te
komen moet je een aantal bankhandelingen uitvoeren die alleen
bekend is bij de eigenaar. Bovendien wordt je spaargeld op een aparte
rekening(nummer) gezet waar alleen de eigenaar bij kan. Het wordt voor scammers dus extra moeilijk om bij het geld te komen. Zet dus het leeuwendeel van je geld op een spaarrekening (zo trekt men er ook rente van en levert geld op)
2) Verder kan men ook de opname hoeveelheid per keer aan een
strakke daglimiet laten binden bij de bank. Hierdoor is het niet mogelijk
om in 1 keer grote bedragen op te nemen waardoor de rekening in korte
tijd kan worden leeggeplunderd.
3. Men kan het "rood" staan van de bank ook beperken, waardoor het voor criminelen niet mogelijk is om meer van de rekening af te halen dan wat er op de rekening staat. Hierdoor kan ook de schade verder beperkt worden.
[color=red]Preventietip voor ondernemers: bij inbraak altijd natrekken of de betaalautomaten nog in originele staat verkeren. Dit moet zeker gedaan worden als er wél is ingebroken maar niets uit de winkel is verdwenen. Controleer daarom altijd na een inbraak of de betaalautomaten niet gecompromitteerd zijn.[/color]
Al met al een schrale troost voor de slachtoffers. Gelukkig
krijgen ze wel allemaal het geld terug van hun bankinstelling.
Link: http://www.security.nl/article/16399/1/Pinpasfraudeurs_actief_in_Zuid-Holland.html
[url=http://www.xs4all.nl/~pgv123/IP.html] Website inbraakpreventie[/url]
geval van pinpasfraude in Zuid-Holland alwaar criminelen
honderden slachtoffers hebben gemaakt.
In mijn bijdrage vermeldde ik dat het altijd verstandig is
om de PIN-code af te schermen om zo schouder-surfen
en mini(pinhole)-camera's te slim af te zijn. Wie
immers de PIN niet kan veiligstellen, kan ook de
bankrekening niet plunderen.
Er blijkt immers dat deze methode in het onderhavige geval
niet gewerkt zou hebben (PIN-afschermen). Criminelen zijn er
in geslaagd geweest om in een Tuincentrum de Betaalautomaten
(alwaar men afrekent) te compromitteren. Hoe ze dit precies
gedaan hebben is nog onduidelijk, maar feit is wel dat op
deze manier honderden klanten zijn bestolen. Tijdens het
afrekenen moet men de bankpas doorhalen en daarna de
PIN-code ingeven. Kennelijk werden de klanten al tijdens dit
proces geskimd en werd na invoer van de PIN deze
code ook ontfutseld.
Binnenkort worden alle oude Betaalautomaten in de winkels
verwisseld voor een nieuw systeem waarbij er geen
magneetstrip van de pas wordt gelezen. De mageetstriplezer
wordt verwijderd en een schipper-scanner wordt dan
geïnstalleerd waarbij de chip op de pas (met PIN-code) wordt
gelezen. Afscannen door middel van skimmen zou dan
volgens opgave van de fabrikant tot het verleden moeten gaan
behoren. Of deze skimming ook een inside-job is geweest
zou nog onderzocht moeten worden.
De klant kan ook zelf veel doen om het leegplunderen van
zijn rekening sowieso te voorkomen.
1) Eén maatregel is om niet al je geld op een gewone betaalrekening
te zetten, maar op een spaarrekening. Om bij je spaarrekening te
komen moet je een aantal bankhandelingen uitvoeren die alleen
bekend is bij de eigenaar. Bovendien wordt je spaargeld op een aparte
rekening(nummer) gezet waar alleen de eigenaar bij kan. Het wordt voor scammers dus extra moeilijk om bij het geld te komen. Zet dus het leeuwendeel van je geld op een spaarrekening (zo trekt men er ook rente van en levert geld op)
2) Verder kan men ook de opname hoeveelheid per keer aan een
strakke daglimiet laten binden bij de bank. Hierdoor is het niet mogelijk
om in 1 keer grote bedragen op te nemen waardoor de rekening in korte
tijd kan worden leeggeplunderd.
3. Men kan het "rood" staan van de bank ook beperken, waardoor het voor criminelen niet mogelijk is om meer van de rekening af te halen dan wat er op de rekening staat. Hierdoor kan ook de schade verder beperkt worden.
[color=red]Preventietip voor ondernemers: bij inbraak altijd natrekken of de betaalautomaten nog in originele staat verkeren. Dit moet zeker gedaan worden als er wél is ingebroken maar niets uit de winkel is verdwenen. Controleer daarom altijd na een inbraak of de betaalautomaten niet gecompromitteerd zijn.[/color]
Al met al een schrale troost voor de slachtoffers. Gelukkig
krijgen ze wel allemaal het geld terug van hun bankinstelling.
Link: http://www.security.nl/article/16399/1/Pinpasfraudeurs_actief_in_Zuid-Holland.html
[url=http://www.xs4all.nl/~pgv123/IP.html] Website inbraakpreventie[/url]
Reacties (3)
13-07-2007, 09:48 door
Pimmetje
a) de ondernemer bezit niet de kennis om de pinapparaten te
controleren
b) de ondernemer moet die dingen in een kluis opbergen net
als de kassalade, of vastbeugelen aan de toonbank, op zijn
minst de kabelconnector vastlijmen dat verwisselen niet
zomaar kan.
c) als klanten nu eens de troep uit hun handen laten tijdens
afrekenen en gewoon met afrekenen bezig zijn en afschermen...
d) zeer waarschijnlijk heeft zich iemand laten insluiten in
het tuincentrum en is tijdens vakkenvullen kort na
sluitingstijd weggelopen (automatische deuren op stand
'uitgang')
controleren
b) de ondernemer moet die dingen in een kluis opbergen net
als de kassalade, of vastbeugelen aan de toonbank, op zijn
minst de kabelconnector vastlijmen dat verwisselen niet
zomaar kan.
c) als klanten nu eens de troep uit hun handen laten tijdens
afrekenen en gewoon met afrekenen bezig zijn en afschermen...
d) zeer waarschijnlijk heeft zich iemand laten insluiten in
het tuincentrum en is tijdens vakkenvullen kort na
sluitingstijd weggelopen (automatische deuren op stand
'uitgang')
Ik ben het met je eens. Ik zeg ook niet dat mijn methode de
enige is om pinpasdieven te slim af te zijn. De laatste tijd
zijn de ontwikkelingen wel steeds zorgelijker. Vandaar ook
dat iedereen op zijn of haar tellen moet letten als er
elektronisch wordt betaald.
Insluiping, zoals jij zegt Pimmetje komt inderdaad wel voor,
maar in hoeverre zijn ondernemers bereid om na sluitingstijd
hun bedrijf grondig te controleren? Wij in de beveiliging
deden dat na sluitingstijd altijd. Ondernemers beseffen niet
dat je maar 1 persoon over het hoofd hoeft te zien en het probleem is er al.
Zoals het er nu uitziet zijn de betaalautomaten zelf
gecompromitteerd geweest. Hoe de PIN-code is afgekeken vind
ik nog wel een belangrijk item: is er sprake geweest van een
nep-toetsenbord dat over de echte lag (een methode die ook
in het verleden gebruikt is bij andere fraudegevallen).
Waar ik mij wel zorgen over maak is het feit dat het zo lang
duurt voordat een nieuw en beter beveiligd systeem in de
winkels ligt. Waarom duurt het bijna 20 jaar voordat men tot
revisie of een upgrade overgaat? Het is toch evident lijkt
me, dat criminelen dan gewoon de tijd hebben om iets uit te
denken? Wat dat betreft zou men gewoon elke 5 jaar een
nieuwe upgrade moeten uitvoeren. Dit kost nogal wat, maar
het simpel doorbreken van beveiligingen terwijl iedereen
ligt te slapen bij InterPay levert een mindere kans op dan
zoals nu het geval is.
Alvast bedankt voor je reactie.
enige is om pinpasdieven te slim af te zijn. De laatste tijd
zijn de ontwikkelingen wel steeds zorgelijker. Vandaar ook
dat iedereen op zijn of haar tellen moet letten als er
elektronisch wordt betaald.
Insluiping, zoals jij zegt Pimmetje komt inderdaad wel voor,
maar in hoeverre zijn ondernemers bereid om na sluitingstijd
hun bedrijf grondig te controleren? Wij in de beveiliging
deden dat na sluitingstijd altijd. Ondernemers beseffen niet
dat je maar 1 persoon over het hoofd hoeft te zien en het probleem is er al.
Zoals het er nu uitziet zijn de betaalautomaten zelf
gecompromitteerd geweest. Hoe de PIN-code is afgekeken vind
ik nog wel een belangrijk item: is er sprake geweest van een
nep-toetsenbord dat over de echte lag (een methode die ook
in het verleden gebruikt is bij andere fraudegevallen).
Waar ik mij wel zorgen over maak is het feit dat het zo lang
duurt voordat een nieuw en beter beveiligd systeem in de
winkels ligt. Waarom duurt het bijna 20 jaar voordat men tot
revisie of een upgrade overgaat? Het is toch evident lijkt
me, dat criminelen dan gewoon de tijd hebben om iets uit te
denken? Wat dat betreft zou men gewoon elke 5 jaar een
nieuwe upgrade moeten uitvoeren. Dit kost nogal wat, maar
het simpel doorbreken van beveiligingen terwijl iedereen
ligt te slapen bij InterPay levert een mindere kans op dan
zoals nu het geval is.
Alvast bedankt voor je reactie.
14-07-2007, 19:31 door
Pimmetje
Lijkt me evident: er zijn zoveeel pinapparaten in omloop,
dat omruilen kost een paar knaken. Dan moet de upgrade
tegelijk werken met de oude versie.
En zolang het misbruik minder 'kost' dan de
upgrademaatregelen hobbelen we vrolijk verder en is het
probleem voor de klant. Mij is eens verteld dat de NL
geldautomaten niet aan europesche regels voldoen waardoor de
bank altijd aansprakelijk kan worden gesteld...Kennelijk
loopt het misbruik nu de spuigaten uit en vind men het hoog
tijd geworden om te gaan vervangen.
dat omruilen kost een paar knaken. Dan moet de upgrade
tegelijk werken met de oude versie.
En zolang het misbruik minder 'kost' dan de
upgrademaatregelen hobbelen we vrolijk verder en is het
probleem voor de klant. Mij is eens verteld dat de NL
geldautomaten niet aan europesche regels voldoen waardoor de
bank altijd aansprakelijk kan worden gesteld...Kennelijk
loopt het misbruik nu de spuigaten uit en vind men het hoog
tijd geworden om te gaan vervangen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
