ENISA luidt noodklok over pinpasfraude
Het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) luidt de noodklok over het groeiend aantal gevallen van pinpasfraude in de EU. Inmiddels zou de schade meer dan een half miljard euro per jaar bedragen. Volgens ENISA moeten consumenten beter opletten en voorzorgsmaatregelen treffen om misbruik te voorkomen. Het groeiend aantal geldautomaten in combinatie met complexe aanvallen, hebben voor een 149% toename van skimming in 2008 gezorgd. Het ging in totaal om 10.302 meldingen. Daarom heeft het agentschap een paper gepubliceerd waarin het de "gouden regels" beschrijft om pinpasfraude te voorkomen.
Naast schoudersurfen, het installeren van cameraatjes en het manipuleren van de automaat zelf, gebruiken de criminelen ook phishing en zelfs het hacken van banksystemen om pincodes te bemachtigen. "Geldautomaten zijn aantrekkelijk voor criminelen omdat ze bankbiljetten bevatten, terwijl pinpassen ze toegang tot de rekening van de klant geven", zegt algemeen directeur van ENISA Andrea Pirotti. Hij verwacht dat deze vorm van misdaad alleen maar zal toenemen, zeker omdat de automaten ook andere diensten gaan bieden, zoals opwaardeerkaarten en postzegels. De gouden regels van ENISA beslaan vier gebieden, het kiezen van de juiste machine, de fysieke omgeving, het pinnen en controleren van de afschriften.
Reacties (12)
07-09-2009, 16:20 door
jaapd
Toch tijd om de chip te gebruiken die al op het pasje zit? Dat zal de fraude niet onmogelijk maken, maar wel een stuk moeilijker.
07-09-2009, 17:03 door
bernd
Het stomme is, dat de chip al werkt. Ik heb laatst in Belgie gepind met mijn ING pas en daar werd wél om de chip gevraagd door de betaalautomaat....
Ik vraag me alleen hoe die chip werkt. Ik denk dat de chip ondermeer gebruikt zou moeten worden voor het opslaan van een - niet voorspelbaar- getal of transactienummer, dat door de bank wordt gegenereerd bij elke transactie. door het nummer op de pas te vergelijken met het nummer in de database van de bank (contact is toch nodig) is te detecteren dat een een pas is gekopieerd. zodra zowel origineel als de kopie zijn gebruikt, is een fout transactienummer verzonden, waarna de pas kan worden geblokkeerd.
Ongetwijfeld zal dit niet het geval zijn en zal het weer een of ander verouderde chip zijn die binnen 3 maanden gehacked is...
Ik vraag me alleen hoe die chip werkt. Ik denk dat de chip ondermeer gebruikt zou moeten worden voor het opslaan van een - niet voorspelbaar- getal of transactienummer, dat door de bank wordt gegenereerd bij elke transactie. door het nummer op de pas te vergelijken met het nummer in de database van de bank (contact is toch nodig) is te detecteren dat een een pas is gekopieerd. zodra zowel origineel als de kopie zijn gebruikt, is een fout transactienummer verzonden, waarna de pas kan worden geblokkeerd.
Ongetwijfeld zal dit niet het geval zijn en zal het weer een of ander verouderde chip zijn die binnen 3 maanden gehacked is...
07-09-2009, 17:29 door
ej__
De chip wordt pas in 2011 gebruikt, als alle gedautomaten daarmee kunnen omgaan (en tevens als SEPA volledig in bedrijf genomen is, dus als alle geldautomaten binnen Europa de chip snappen). SEPA is 2 jaar vervroegd om de pinpas skimming toch te beperken.
Die chip werkt op basis van een challenge-response mechanisme waarbij je aan de juiste voorwaarden voldaan moet hebben voordat hij daadwerkelijk antwoord geeft. Na 3 verkeerde pincodes wordt deze geblokkeerd. Tevens wordt de autorisatie aan de bank gevraagd, dus een lokale aanval zal niet werken.
Indertijd stond in het nieuws dat 'men' bezig was om ook het energieverbruik van de chip (is natuurlijk al superlaag, het ding wordt passief gevoed) constant te maken zodat niet aan de hand van het energieverbuik kon worden afgeleid wat het algoritme of de code is. Voor zover ik weet is het een certificaat trouwens. Bernd hoeft zich daar niet zoveel zorgen over te maken. Meekijken en pinpas jatten is de eenvoudigste manier, die helaas ook veel wordt toegepast.
EJ
Die chip werkt op basis van een challenge-response mechanisme waarbij je aan de juiste voorwaarden voldaan moet hebben voordat hij daadwerkelijk antwoord geeft. Na 3 verkeerde pincodes wordt deze geblokkeerd. Tevens wordt de autorisatie aan de bank gevraagd, dus een lokale aanval zal niet werken.
Indertijd stond in het nieuws dat 'men' bezig was om ook het energieverbruik van de chip (is natuurlijk al superlaag, het ding wordt passief gevoed) constant te maken zodat niet aan de hand van het energieverbuik kon worden afgeleid wat het algoritme of de code is. Voor zover ik weet is het een certificaat trouwens. Bernd hoeft zich daar niet zoveel zorgen over te maken. Meekijken en pinpas jatten is de eenvoudigste manier, die helaas ook veel wordt toegepast.
EJ
Wat van die gouden regels voor bankpersoneel zouden ook niet gek zijn, een anecdote ter illustratie.
Ik pinde laatst bij een ING-kantoor en de automaat liet, zoals gebruikelijk, zien hoe de pinpasgleuf eruit zou moeten zien. Het klopte niet. Ik heb de automaat niet gebruikt en ben het filiaal ingelopen om ze op de afwijking te attenderen. Degene die me te woord stond was op de hoogte, verzekerde dat er niets aan de hand was, en dat de automaat zeer regelmatig gecontroleerd werd.
FOUT! Zo iemand geeft de boodschap dat die waarschuwingen nergens toe dienen. Ik heb hem daarop gewezen, en in een toon die heel wat gebiedender was dan ik van mezelf gewend ben gezegd: "Doe er wat aan."
Maar het wordt hoog tijd dat er een robuustere technologie komt. Volgens het gelinkte document is 90% van de Europese betaalautomaten EVM-compliant, wat betekent dat alleen de magneetstrook niet meer genoeg is om te kunnen pinnen bij een betaalautomaat, als de uitgever van de kaart dat tenminste niet toelaat. Eind volgend jaar zouden eind volgend jaar ook de meeste pinpassen daarvoor geschikt moeten zijn. Ik zie dat er een website aan gewijd is: http://www.vanstripnaarchip.nl, die helaas duidelijker is over wanneer de overgang is gestart dan over wanneer die klaar is.
Ik pinde laatst bij een ING-kantoor en de automaat liet, zoals gebruikelijk, zien hoe de pinpasgleuf eruit zou moeten zien. Het klopte niet. Ik heb de automaat niet gebruikt en ben het filiaal ingelopen om ze op de afwijking te attenderen. Degene die me te woord stond was op de hoogte, verzekerde dat er niets aan de hand was, en dat de automaat zeer regelmatig gecontroleerd werd.
FOUT! Zo iemand geeft de boodschap dat die waarschuwingen nergens toe dienen. Ik heb hem daarop gewezen, en in een toon die heel wat gebiedender was dan ik van mezelf gewend ben gezegd: "Doe er wat aan."
Maar het wordt hoog tijd dat er een robuustere technologie komt. Volgens het gelinkte document is 90% van de Europese betaalautomaten EVM-compliant, wat betekent dat alleen de magneetstrook niet meer genoeg is om te kunnen pinnen bij een betaalautomaat, als de uitgever van de kaart dat tenminste niet toelaat. Eind volgend jaar zouden eind volgend jaar ook de meeste pinpassen daarvoor geschikt moeten zijn. Ik zie dat er een website aan gewijd is: http://www.vanstripnaarchip.nl, die helaas duidelijker is over wanneer de overgang is gestart dan over wanneer die klaar is.
Door jaapd: Toch tijd om de chip te gebruiken die al op het pasje zit? Dat zal de fraude niet onmogelijk maken, maar wel een stuk moeilijker.
Tot mijn verassing merkte ik laatst bij het tanken bij BP dat ze daar al nieuwe paslezers hebben die van de chip gebruik maakt. Hoewel dat op zich een stuk beter is, is het wel weer jammer dat de opstaande randjes om het toetsenbord weer zo laag zijn dat de kans op meekijken weer relatief groot is.Door ej__: Bernd hoeft zich daar niet zoveel zorgen over te maken. Meekijken en pinpas jatten is de eenvoudigste manier, die helaas ook veel wordt toegepast. EJ
Bernd moet zich wel zorgen blijven maken. De toegang tot het PIN-systeem is dermate aantrekkelijk dat criminelen alles uit de kast zullen halen om ook die chip te kraken of te manipuleren. Lukt dat helemaal niet meer, en zit alles goed dicht - dan zul je zien dat het fysieke geweld toeneemt. Mensen bij de automaat met "shock and awe" overvallen, daar zijn allerlei jongens uit Oost-Europa en de Balkan heel goed in. Bliksemactie met veel geweld, en snel wegwezen. Heb je het geld nog zelf gepind en zelf afgegeven ook. Of zouden die jongens denken: "Laat nu maar zitten, we gaan wel tomaten plukken"? Dacht ik niet.
Laatst bij de bart smit een aankoop gedaan. Bij het pinnen viel mij de gescheurde zegel op van het pin apparaat.
Toen ik de verkoper wees op de gescheurde zegel was haar aantwoord dat het apparaat wel in orde was, en dat niemand er aan zou kunnen prutsen omdat ze altijd in de winkel waren. DUH!
Effect zegels = nul = schijnveiligheid
Toen ik de verkoper wees op de gescheurde zegel was haar aantwoord dat het apparaat wel in orde was, en dat niemand er aan zou kunnen prutsen omdat ze altijd in de winkel waren. DUH!
Effect zegels = nul = schijnveiligheid
Door Anoniem: Laatst bij de bart smit een aankoop gedaan. Bij het pinnen viel mij de gescheurde zegel op van het pin apparaat.
Toen ik de verkoper wees op de gescheurde zegel was haar aantwoord dat het apparaat wel in orde was, en dat niemand er aan zou kunnen prutsen omdat ze altijd in de winkel waren. DUH!
Effect zegels = nul = schijnveiligheid
Lijkt me duidelijk, geen gebruik maken van deze pin automaat... Toen ik de verkoper wees op de gescheurde zegel was haar aantwoord dat het apparaat wel in orde was, en dat niemand er aan zou kunnen prutsen omdat ze altijd in de winkel waren. DUH!
Effect zegels = nul = schijnveiligheid
Als iedereen dit doet zal er snel weer een verzegeling aanwezig zijn.
Cash betalen is sowieso beter voor je privacy ;)
08-09-2009, 11:37 door
bernd
Door Anoniem: Laatst bij de bart smit een aankoop gedaan. Bij het pinnen viel mij de gescheurde zegel op van het pin apparaat (...)
Effect zegels = nul = schijnveiligheid
zeker als je het zelf ziet en alsnog pint....Effect zegels = nul = schijnveiligheid
Door ej__: De chip wordt pas in 2011 gebruikt, als alle gedautomaten daarmee kunnen omgaan (en tevens als SEPA volledig in bedrijf genomen is, dus als alle geldautomaten binnen Europa de chip snappen). SEPA is 2 jaar vervroegd om de pinpas skimming toch te beperken.
dit is idioot. er zijn veel automaten die het kunnen, de chip op de pas werkt ook al dus gekopieerde passen kunnen op een groot gedeelte van de automaten niet gerbuikt worden...zodra ze het aanzetten. er is geen enkele reden om het nog niet te activeren, behalve het ontbreken van een publiekscampagne.Die chip werkt op basis van een challenge-response mechanisme waarbij je aan de juiste voorwaarden voldaan moet hebben voordat hij daadwerkelijk antwoord geeft. Na 3 verkeerde pincodes wordt deze geblokkeerd. Tevens wordt de autorisatie aan de bank gevraagd, dus een lokale aanval zal niet werken.
afhankelijk hoe deze authorisatie bij de bank is, is de pas te kopieren. was de chip op het paspoort niet ook "onkopieerbaar"?bijvoorbeeld:
http://security.nl/artikel/30690/1/Britten_sluiten_ogen_voor_gekloonde_identiteitskaart.html
Heeft iemand GOED de golden rules gelezen???
Denk het niet.
Het zijn er namelijk NIET 15, maar 14. Rule 11 en 14 zijn gelijk......
Wie moet er ook alweer goed opletten???
Denk het niet.
Het zijn er namelijk NIET 15, maar 14. Rule 11 en 14 zijn gelijk......
Wie moet er ook alweer goed opletten???
09-09-2009, 08:36 door
ej__
Door Anoniem:
Bernd moet zich wel zorgen blijven maken. De toegang tot het PIN-systeem is dermate aantrekkelijk dat criminelen alles uit de kast zullen halen om ook die chip te kraken of te manipuleren. Lukt dat helemaal niet meer, en zit alles goed dicht - dan zul je zien dat het fysieke geweld toeneemt. Mensen bij de automaat met "shock and awe" overvallen, daar zijn allerlei jongens uit Oost-Europa en de Balkan heel goed in. Bliksemactie met veel geweld, en snel wegwezen. Heb je het geld nog zelf gepind en zelf afgegeven ook. Of zouden die jongens denken: "Laat nu maar zitten, we gaan wel tomaten plukken"? Dacht ik niet.
Door ej__: Bernd hoeft zich daar niet zoveel zorgen over te maken. Meekijken en pinpas jatten is de eenvoudigste manier, die helaas ook veel wordt toegepast. EJ
Bernd moet zich wel zorgen blijven maken. De toegang tot het PIN-systeem is dermate aantrekkelijk dat criminelen alles uit de kast zullen halen om ook die chip te kraken of te manipuleren. Lukt dat helemaal niet meer, en zit alles goed dicht - dan zul je zien dat het fysieke geweld toeneemt. Mensen bij de automaat met "shock and awe" overvallen, daar zijn allerlei jongens uit Oost-Europa en de Balkan heel goed in. Bliksemactie met veel geweld, en snel wegwezen. Heb je het geld nog zelf gepind en zelf afgegeven ook. Of zouden die jongens denken: "Laat nu maar zitten, we gaan wel tomaten plukken"? Dacht ik niet.
Misschien volgende keer eerst mijn reactie lezen? Ik zeg niets anders.
EJ
09-09-2009, 09:34 door
ej__
dit is idioot. er zijn veel automaten die het kunnen, de chip op de pas werkt ook al dus gekopieerde passen kunnen op een groot gedeelte van de automaten niet gerbuikt worden...zodra ze het aanzetten. er is geen enkele reden om het nog niet te activeren, behalve het ontbreken van een publiekscampagne.
Misschien iets te grote stappen snel thuis genomen door mij. Automaten die het snappen zullen de chip al kunnen gebruiken. Denk er aan dat het niet alleen om de automaten van de bank gaat, maar ook en vooral om de automaten bij de winkeliers. De winkeliers zullen er weinig behoefte aan hebben om een pinautomaat die ze bij wijze van spreken vorig jaar hebben gekocht nu al weer weg te moeten doen.
Die chip werkt op basis van een challenge-response mechanisme waarbij je aan de juiste voorwaarden voldaan moet hebben voordat hij daadwerkelijk antwoord geeft. Na 3 verkeerde pincodes wordt deze geblokkeerd. Tevens wordt de autorisatie aan de bank gevraagd, dus een lokale aanval zal niet werken.
afhankelijk hoe deze authorisatie bij de bank is, is de pas te kopieren. was de chip op het paspoort niet ook "onkopieerbaar"?bijvoorbeeld:
http://security.nl/artikel/30690/1/Britten_sluiten_ogen_voor_gekloonde_identiteitskaart.html
[/quote]
Ik krijg toch sterk de indruk dat er over de chip in de betaalpas iets meer is nagedacht dan over die in het paspoort. :-)
EJ
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
