Pinpasfraudeurs slaan toe op NS-stations
Als redacteur van Security.nl sta je vreemd te kijken als je niet één, maar twee keer in korte tijd zelf het slachtoffer van pinpasfraude wordt. Het onderwerp krijgt op de site veel aandacht, dat kon niet voorkomen dat een van onze redacteuren twee keer na het pinnen bij een NS-Station een andere pinpas moest aanvragen. Volgens Frank Engelsman van fraudebestrijder Ultrascan zijn er tot eind september minstens 288 skimpogingen op NS-automaten geweest. “Welke daarvan succesvol zijn geweest weten wij niet.”
De fraudebestrijder zegt de NS te hebben gewaarschuwd voor aanvallen op de kaartjesautomaten. “De NS is al sinds vorig jaar maart op de hoogte van grote aantallen skimgevallen in het openbaar vervoer in Engeland en wij hebben er voor gewaarschuwd dat het naar Nederland zou komen.” De NS heeft het echter vertikt om pro actieve maatregelen te nemen, zo gaat Engelsman verder.
Ideaal doelwit
NS Stations zijn een ideaal doelwit voor skimbendes. Er zijn voldoende vluchtwegen aanwezig, de observatie van de betreffende automaat kan onopvallend plaatsvinden, de automaten verwerken een stabiel hoog aantal transacties en er is geen professionele inbreker nodig, zoals bij de detailhandel het geval is. Ultrascan becijfert de schade die skimbendes veroorzaken op minimaal een miljoen Euro per week. “En daarmee is de schatting van Ultrascan dat er dit jaar voor meer dan 52 miljoen zal worden geskimd zeer laag.” De schade van skimpogingen op NS-automaten is de fraudebestrijder nog aan het onderzoeken. Een andere mogelijkheid is dat de NS of transactieverwerker Currence openheid van zaken geeft. De vraag is of men dit zal doen, maar Engelsman denkt dat de overheid dit kan afdwingen.
Hollands Spoor
De eerste keer dat onze redacteur geskimd werd was in maart op NS-station Hollands Spoor. Eind augustus was het weer raak. Volgens de betrokken bank was de skimaanval dit keer bij NS Station Den Haag centraal gepleegd, maar afschriften wijzen uit dat dit niet het geval was en wederom Hollands Spoor de plek van het misdrijf was. We vroegen de bank hoe het kan dat een station werd genoemd waar niet was gepind. Een reactie hebben we nog niet ontvangen. Wel merkte een medewerker op dat als de bank een pinpas blokkeert, het in 9 van de 10 gevallen om een echt incident gaat.
De NS laat in een reactie weten dat het de politie is die dit soort zaken uitzoekt, en niet de vervoerder. Woordvoerder John Krijgsman erkent dat er inderdaad geskimd wordt en niet alleen bij de NS, maar bij alle automaten in Nederland, ook bij de Banken. Op de vraag dat Ultrascan de NS gewaarschuwd zou hebben, zegt Krijgsman dat het probleem al veel langer bekend is en de vervoerder ook al veel langer met haar anti-skim maatregelen bezig is. Waar die maatregelen uit bestaan wil de NS niet zeggen.
Maatschappelijk problemen
Volgens Krijgsman leidt de NS geen schade door de skimmers. "Skimming is geen NS-probleem, maar een maatschappelijk probleem in het betalingsverkeer op dit moment. Dat overal waar je gebruik maakt van elektronisch betalen met pin, er daar sprake is van skimming, dus ook bij ons." De pinpasfraudeurs worden meestal opgemerkt na meldingen van banken, het eigen personeel dat skimapparatuur ontdekt of reiziger die skimming opmerken. “We hebben onze reizigers sinds vorig jaar extra alert gemaakt. Zowel via stickers als screensavers.”
Pincode
In tegenstelling tot de beruchte HFT201 automaten in de detailhandel, waarbij de criminelen meteen de pincode en de inhoud van de magneetstrip opslaan, hebben ze bij de NS nog steeds de pincode nodig. Als ze die niet kunnen afkijken is er niets aan de hand, aangezien ze dan alleen de magneetstrip hebben gekopieerd. “Bij de NS moeten ze dan het toetsenbord manipuleren, en dat is voor zover ik weet nog niet voorgekomen”, gaat Krijgsman verder. Hij adviseert reizigers daarom het toetsen van de pincode via hun hand of portemonnee af te schermen. “Ik toets mijn pincode blind in op gevoel.”
Hoeveel NS klanten het afgelopen jaar slachtoffer van skimming waren kan Krijgsman niet zeggen. “Die melden zich bij hun bank en de schade wordt door de banken gedragen.” Daarom zou de NS geen zicht op de problematiek hebben. Wel laat de vervoerder weten voortdurend bezig te zijn met nieuwe anti-skimming apparatuur te ontwikkelen en testen. “Dit is een typisch voorbeeld van criminelen die je te slim proberen af te zijn, waarop wij weer reageren."
Politie pakt fraudeurs
Skimming vond laatst ook op het NS-station te Gouda plaats, maar ook Middelburg werd getroffen. Een onbekend aantal reizigers werd na het pinnen bij de automaat slachtoffer van pinpasfraudeurs. Een van de slachtoffers zag hoe de criminelen 1400 euro van zijn rekening vanuit Engeland opnamen Volgens Currence die in Nederland het betalingsverkeer regelt, worden bij NS regelmatig passen geskimmd, maar is het systeem wel honderd procent veilig.
Ondanks alle negatieve berichten was er deze week ook goed nieuws. Afgelopen dinsdag konden Delftse agenten in een tram op weg naar Rijswijk een 20-jarige Duitser aanhouden. Omstanders zagen dat de man vanaf een pinautomaat aan het NS-station een apparaatje haalde en vervolgens in de tram stapte. Uit het door de agenten ingestelde onderzoek bleek dat de man een zogenoemd skimapparaat over de pinautomaat had geplaatst om bank- en pingegevens van klanten te kopiëren. Later die dag kon de politie in Den Haag een tweede verdachte van 23 jaar aanhouden. Volgens de politie zijn in de regio Haaglanden meerdere malen burgers door deze skimmethode gedupeerd, zoals ook onze redacteur meemaakte.
Update
Een lezer stuurde ons de volgende foto van een Postbank automaat in Zoetermeer. Het scherm geeft een andere afbeelding dan de gebruikte paslezer. Toch was er volgens de oplettende voorbijganger niets aan de hand.
Toch niet echt prettig er op een dag achter te komen dat je complete rekening geplunderd is.
Pleit niet echt voor het intellect van die redacteur !!
Ezel, stoten, steen ?
gaat er al een lampje branden ???
Jaa, drie zelfs, bij beste, stuurlui en wal
Het werkt overigens hetzelfde als bij de banken: men weet van de problemen maar weegt risico af tegen financiele voordelen en dan liggen de prioriteiten om niet de ezel uit te gaan hangen al snel een stuk lager als het om beveiliging gaat. Veiligheid is geen doel op zich.
Sterker nog, in Duitsland bij een pompstation stonden ze mij echt heel vaag aan te kijken toen ik niet wilde dat zij de pas achter de toonbank door het apparaat haalden.
De Duitse stageloopster die wij nu hebben wist mij ook te vertellen dat dat in Duitsland heel normaal is dat je gewoon de pas afgeeft en dat de pinautomaat (dus niet het toetsenbord) ergens onder de balie staat.
Pleit niet echt voor het intellect van die redacteur !!
Ezel, stoten, steen ?
gaat er al een lampje branden ???
Jaa, drie zelfs, bij beste, stuurlui en wal
moet zeggen dat ik ik er altijd goed oplet waar ik pin en welke automaten en gebruikt worden.
Als ik een pas lezer tegenkomt die eruit ziet als hierboven weer gegeven neem ik contact op met de bank zelf omdat de melden. Verder probeer ik een aantal pin terminals in winkels te vermijden omdat ik daarvan weet dat deze aan te passen zijn door kwaadwillende. Hieronder een voorbeeld van een terminal die ik zou vermijden:
http://www.noordhollandsdagblad.nl/multimedia/dynamic/00608/pinapparaat_608580h.jpg
Of het een geskimmde automaat is of niet, doet niets af aan het feit dat zowel de bank als de genoemde voorbijganger de veiligheid totaal niet serieus neemt.
De bank vind ik persoonlijk hierbij het ergste, maar de onverschilligheid van de meeste rekeninghouders (en eigenlijk 80+ % van de burgers) is ook een goede reden voor skimmers om er vooral mee door te gaan.
GENIAAL!.
Denk niet dat het merendeel van de mensen weet wat er bedoeld wordt met captcha.
Of het een geskimmde automaat is of niet, doet niets af aan het feit dat zowel de bank als de genoemde voorbijganger de veiligheid totaal niet serieus neemt.
http://www.rtvoost.nl/nieuws/?page=1&cat=1&id=89907
Echter met de kennis dat dit dus gebeuren kan op dat Station zou ik gewoon even lekker bij een bank of postkantoor gaan pinnen en niet meer op die plek.
In tal van Europese landen heeft men last van skimmers, waaronder Duitsland. Het is echt niet speciaal een Nederlands probleem. Zie bijv. onderstaande voor wat meer informatie.
ATM security: lessons from Europe
http://www.usfst.com/pastissue/article.asp?art=268951&issue=183
Report on fraud regarding non cash means of payments in the EU
http://ec.europa.eu/internal_market/payments/docs/fraud/implementation_report_en.pdf
Overigens heb ik een bloedhekel aan die chips. Ook al berg ik die passen keurig netjes op, 9 van de 10 keer werkt het niet en moet je een paar pogingen doen om te kunnen betalen.
Je wordt daardoor allert, je wilt natuurlijk niet dat het nog eens gebeurd. Ik stond afgelopen donderdagochtend in Almelo bij 1 van de automaten en heb eerst deze gecontroleerd. Ik zag toch wat vreemds aan de automaat dus heb mijn kaartje bij een ander automaat gepind. Ik ben teruggegaan om toch eens goed te kijken en er zat een skim apparaat voor de originele pinpas invoer. Hoe ik het zag ??? Het lampje van bij de pininvoer was niet zo helder en het blauwe vierkant waar de pasinvoer invalt was van een ander materiaal, in mijn geval kunsstof. Het is verstandig om dit te controleren. De blauwe omlijsting van de pinpasinvoer moet meelopen met het materiaal van de automaat, dit is gespoten metaal. Als je het aanraakt voelt het iets ruw aan. In mijn geval was dit glad.
Om toch zeker te zijn heb ik mijn vingers tegen het blauwe vierkant aangezet en trok zo het hele skimapparaat los. Er zat een soort chip in, er hingen draden aan en het was allemaal bevestigd met dik dubbelzijdig tape.
Ik zag geen personen om mij heen die er niet thuis hoorden. Hoe lezen ze de pincode dan af ??? Kleine camara misschien ik weet het niet.
Ik heb het personeel van de NS gewaarschuwd en er is die ochtend een Roemeen aangehouden.
Let dus goed op bij, controleer het automaat zorgvuldig voor je gaat pinnen !!!!!
Pleit niet echt voor het intellect van die redacteur !!
Ezel, stoten, steen ?
gaat er al een lampje branden ???
Een ezel stoot zich geen 2 maal aan dezelfde steen luidt een gezegde, dacht ik.
Daar de redacteur zich niet als ezel wou gedragen, MOEST hij zich daarom een tweede maal aan dezelfde steen stoten :)
En ezel, steen. Ik krijg het idee dat buiten de redacteur, alleen maar experts op dit forum zitten, die alles in 1 keer doorhebben en nog nooit op een of andere manier belazerd zijn....kom op he! ....
Ben nog niet belazerd, maar misschien ben ik wel zo overtuigd van mijn eigen expertise dat ik (nog) niet doorheb dat ik ergens belazerd ben.
Precies hetzelfde om een post te maken hier bij de reacties.
http://nl.wikipedia.org/wiki/Captcha
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
