Politie geeft meer prioriteit aan grote inbraken bij particulieren dan skimming bij tankstations en winkelketens. Dat zegt Jeroen de Boer van Shell Downstream Services in een interview met Security.nl. De Boer, Global Payment Security & Compliance manager, spreekt tijdens de Infosecurity beurs op 3 en 4 november over de wapenwedloop tussen betalingsverwerkers en skimmers. Oliemaatschappijen werken als het kan nauw samen met politie, maar dat is volgens De Boer niet altijd even eenvoudig, mede omdat skimming niet altijd de hoogste prioriteit krijgt.

De impact van een succesvolle skimmingactie kan echter talloze consumenten raken. "Bij de politie zie je nog niet voldoende samenwerking", zegt De Boer. Het gaat dan om bijvoorbeeld een landelijk skimmingteam waar bedrijven al hun informatie en incidenten naar toe kunnen sturen. De Boer zou dan ook graag een nationale skimcoördinator willen zien. "En eentje die voldoende mankracht heeft om overal achteraan te gaan zodat wij eenvoudig aangifte kunnen doen."

Bivakmutsen
Op veel tankstations hangen camera's, die laten zien hoe de criminelen te werk gaan. In de meeste gevallen hebben de daders echter bivakmutsen op en gebruikt men gestolen auto's. "Dan doe je niet zoveel meer met beeldmateriaal." De Boer weet zich nog een incident te herinneren waarbij er steeds een wit Mercedesbusje langskwam dat met gestolen pinpassen per keer duizend tot tweeduizend liter brandstof tankte en vaak iets later weer terugkwam. In samenwerking met de politie werd het busje en de criminelen uiteindelijk aangehouden. Die bleken een grote tank in het busje te hebben geplaatst, die op een andere locatie werd geleegd. "Dat was zo gevaarlijk voor andere weggebruikers, dat daar met grote inzet achteraan is gegaan."

Skimbestrijders lijken vaak achter de feiten aan te lopen. "Soms doe je er heel weinig aan", merkt De Boer op. "Criminelen hebben de hele dag niets anders te doen dan manieren te vinden om rijker te worden en mensen met een baan moeten ook verantwoording afleggen, spreadsheets invullen met urenverantwoordingen." De strijd tegen criminelen is voor De Boer een extra motivatie. Er zit georganiseerde misdaad achter, geen hobbyisten die iets op een zolderkamer in elkaar knutselen." Criminelen zouden met skimming drugshandel en andere illegale activiteiten financieren. "Het is motiverend om daar iets aan te doen en het criminele proces te verstoren."

Bluetooth
Het bestrijden van pinpasfraude bij tankstations is geen eenvoudige opgave, omdat het om zoveel plekken gaat en het niet eenvoudig is om alle betaalterminals om te wisselen. "We kunnen in ieder geval analyseren wat er misgaat, waar de zwakke plekken zitten en die zwakke plekken aanpakken. Soms kunnen kleine dingen grote gevolgen hebben." Als voorbeeld geeft De Boer het meenemen van betaalterminals, die vervolgens werden gemanipuleerd en voorzien van bluetooth zenders, zodat men op afstand alle informatie kon uitlezen. Daarvoor moesten de criminelen wel de apparaten meenemen en weer terugbrengen.

De skimmers hadden echter niet op orde welk apparaat bij welk tankstation werd meegenomen, waardoor men via het serienummer kon zien dat er iets mis was. Op afstand is het dan mogelijk om deze apparaten uit te schakelen. Volgens De Boer richten skimmers zich als gevolg van een dergelijke maatregel nu volledig op de terminals bij de pomp en niet meer op de automaten in de winkels. "Totdat wij weer klaar zijn met onze maatregelen en dan gaan ze ergens anders naar toe."

Concurrentie
In tegenstelling tot de beveiligingsindustrie, is het bedrijven niet toegestaan om samen te werken, ook als het om skimming gaat.
Concurrentiewetgeving verbiedt dat bedrijf A concurrent B over een nieuwe skimmingaanval waarschuwt. Er zijn wel uitzonderingen in de wet, maar het is moeilijk om te doen." Onder leiding van Europol is er een forum waar wel alle kennis wordt verzameld. "Het is echter niet zo snel dat je dingen met elkaar kunt delen." Het liefst ziet De Boer een grote nationale of internationale kennisbank over skimming, die vanuit allerlei sectoren wordt onderhouden, niet alleen de oliemaatschappijen. "Net zoals er een nationaal coördinator terrorismebestrijding is, zou er ook een nationaal coördinator skimbestrijding moeten zijn." Om echt effectief te zijn is er nog onvoldoende openheid.

Als oplossing voor het skimmingprobleem wordt de EMV chip gezien, die in 2013 verschijnt. Toch moeten we straks nog steeds opletten. In Groot-Brittannië is door introductie van de chip wel een sterke daling van het aantal skimmingaanvallen gezien. Aangezien consumenten met een pas in heel Europa willen betalen, hebben ook de betaalkaarten met een chip een magneetstrip, voor gebruik in landen waar de chip nog niet in gebruik is. Wie een Engelse kaart skimt kan die in Nederland verzilveren. Daarbij loopt niet alleen Nederland achter, ook in de VS is
men nog niet met de chip begonnen.

Inmiddels zijn veel winkels bezig om hun apparatuur klaar te maken voor de pas met chip. Volgens De Boer zal dit skimming niet helemaal uitbannen, maar tot een financieel acceptabel niveau kunnen terugbrengen. Daarnaast wordt er ook over een Europese betaalpas nagedacht. Enige tijd geleden verscheen in een Nova rapportage dat ook de chip te skimmen is, maar de nieuwe generatie kaarten zou dat probleem niet meer hebben. De Boer verwacht dan ook geen korte termijn doorbraak op het gebied van het skimmen van betaalpassen met een chip. "Maar technisch onmogelijk is er niets."

Afschermen
"Het is onmogelijk om het helemaal dicht te timmeren. Of je krijgt een onbruikbaar systeem of het is heel duur." Dat is ook een van de redenen dat skimming nog steeds voorkomt. De kosten om het probleem tegen te gaan zijn groter dan het probleem zelf. Aangezien er geen openheid over de echte schadepost is, blijft het gissen, maar De Boer acht het goed mogelijk dat de investering meer kost dan het skimmen. Daarom blijft hij ook goed zijn pincode afschermen. "Ik kan hem inmiddels blind typen."

Wil je meer informatie over het programma of je gratis aanmelden voor de Infosecurity beurs, ga dan naar Infosecurity.nl