Nederland is Walhalla voor skimmers
Nederland is door het gebruik van de magneetstrip een walhalla voor skimmers, dat zegt Jeroen de Boer van Shell Downstream Services in een interview met Security.nl. De Boer, Global Payment Security & Compliance manager, spreekt tijdens de Infosecurity beurs op 3 en 4 november over de wapenwedloop tussen betalingsverwerkers en skimmers. Skimming is op dit moment voor alle oliemaatschappijen een probleem. Niet verwonderlijk gezien het aantal transacties. Shell alleen doet al 10 miljard transacties per jaar op zo'n 45.000 locaties. "En dat gaat over het algemeen goed, maar soms vindt er skimming plaats", aldus De Boer. Hij benadrukt dat skimming een wereldwijd probleem is, zowel voor banken, retailers als oliemaatschappijen. "We zien dat banken wereldwijd naar de chipkaart migreren, waarmee skimming veel moeilijker is."
Nederland is als één van de weinige landen daar nog steeds mee bezig. Dat verklaart ook waar Nederland zo'n populair skimland is. "We zien wel dat veel skimming uit het buitenland naar Nederland toekomt." Volgens De Boer lopen we op dit gebied achter bij veel andere Europese landen. De oorzaak ligt in de wet van de remmende voorsprong. "Nederland was vrij vroeg met veilige betalingen. Het Nederlandse betaalsysteem bestaat al vrij lang en was één van de eersten
met pin. En daar is veel door winkeliers en banken in geïnvesteerd. Het is niet makkelijk om dat te veranderen." Het gaat dan om het vervangen van de magneetstrip en bijbehorende kaartlezers.
Vervanging
Dat is eenvoudiger gezegd dan gedaan. Zo moeten alle bankpassen veranderd worden, wat tussen de tien a twintig euro per pas kost. "Dat is dan het hele proces, inclusief dat iemand de pas in een envelop doet." In Nederland zijn zo'n twintig miljoen passen in omloop, wat de gigantische kosten van zo'n operatie duidelijk maakt. En dat is nog zonder de kosten voor het vervangen van de kaartlezers die in de winkels staan. Een losse terminal bij de bakker kost ongeveer vijfhonderd euro. "Als je pech hebt en een tankstation neemt, kan het oplopen tot tienduizend euro per kaartlezer." Shell heeft bijvoorbeeld in Nederland meer dan 600 tankstations. Toonbankinstellingen en oliemaatschappijen volgen vooral de banken. Als die overgaan werkt men aan de acceptatie van de nieuwe kaarten.
Dipje
Het is een continue wedloop, aangezien de informatie op de kaarten waardevol zijn, proberen criminelen die steeds te achterhalen en aanwezige beveiliging te omzeilen. Banken verklaarden laatst dat het aantal skimming-incidenten aan het afnemen was. De Boer is echter niet overtuigd van de afname van het aantal incidenten. "Het is meer een migratie van skimming." De banken hadden eerst een groot probleem bij de geldautomaten. Toen die beter beveiligd werden, werden de kaartautomaten van de NS aangevallen. "We zien nu dat skimming zich verplaatst naar onder andere tankstations, omdat je daar vaak onbemande tankautomaten hebt." Skimming komt vaker voor bij onbemande dan bij bemande betaalterminals, aldus De Boer.
"Mijn gevoel is dat die vermindering in de eerste helft van dit jaar een dipje is, omdat criminelen van het ene naar het andere systeem zijn overgestapt en even moeten kijken hoe alles weer werkt." wat wij nu zien is dat ze hun zaakjes op orde beginnen te krijgen en de fraude weer begint toe te nemen." Cijfers over het aantal incidenten en schade blijven, net als bij andere bedrijven, geheim.
Voorzetmond
Om skimming tegen te gaan kwam de NS met een gepatenteerde oplossing die uit een soort lade bestaat. Deze oplossing zorgde ervoor dat er bij de NS geen enkel geval van skimming zich meer voordeed. De Boer is ook bezig met het kijken naar nieuwe voorzetmonden, maar die zijn erg kostbaar. De voorzetmond van de NS zou al meer dan duizend euro kosten. Daarnaast past de NS voorzetmond ook niet op alle type automaten. In 2013 komt de betaalpas met EMV chip, die een deel van het probleem moet oplossen. De Boer merkt op dat oliemaatschappijen niet tot die tijd stil blijven zitten. "Tot 2013 niets doen is geen optie. Criminelen hadden een miljoenen omzet op geldautomaten en bij de NS en die gaan nu ergens anders hun geld halen en wij zijn niet van plan om dat te financieren."
Volgens De Boer zijn criminelen zeer technisch begaafd. "Ze hebben veel mankracht en veel capaciteit om mooie producten te maken." Op dit moment worden er vooral voorzetmondjes voor een bepaald type betaalterminal gefabriceerd, die er met dubbelzijdig plakband op worden geplakt. Het voorzetmondje is voor de magneetstrip, terwijl men de pincode met een verborgen mini-camera filmt. Daarbij worden vooral Nokia onderdelen gebruikt, die in een voor gefabriceerde verpakking worden gestopt. Vervolgens plaatst men die met dubbelzijdig tape net boven de pinterminal. Wie zijn pincode goed afschermt loopt veel minder risico,
merkt De Boer op.
Zowel bedrijven als criminelen blijven nieuwe methoden ontwikkelen, waardoor er sprake van een echte wapenwedloop is. Door alle beveiligingsmaatregelen wordt er bijna geen pinapparatuur meer opengeschroefd. Een tijd geleden was er nog veel te doen over het "rukken" aan voorzetmondjes. Volgens De Boer kan een beetje rammelen helpen, maar moet men het wel met mate doen. "Een ander probleem wat je kunt hebben als je hem eraf trekt, is dat je bewijsmateriaal vernietigt dat de politie had kunnen gebruiken."
Morgen het tweede deel van het interview met Jeroen de Boer
Wil je meer informatie over het programma of je gratis aanmelden voor de Infosecurity beurs, ga dan naar Infosecurity.nl
Piet
Piet
Hoewel die witte pompen wel meestal onbemand zijn en er dus wel degelijk mee te maken hebben, is het probleem dus het grootst voor Shell, BP, Esso, Texaco etc.
Bij onbewaakte magneetstrip readers blijft het probleem idd. bestaan totdat deze zijn vervangen.
Dit was in feite de aanzet voor de chipknip 10 jaar later! Bij de chipknip vindt authenticatie en uitwisseling van de data plaats op basis cryptografische sleutels en technieken in de chip zelf. Eind jaren 90 werd vervolgens door de banken voor honderden miljoenen guldens in de chipknip infrastructuur geïnvesteerd.
Ik ben ronduit verbijsterd dat, hoewel deze technieken 20 jaar! geleden al beschikbaar waren en ook in de praktijk echt werkten, de banken de chipknip infrastructuur niet naar de betaalautomaten hebben omgezet. Immers bij de bestaande chipknip oplaad terminals wordt ook al een koppeling met de bankrekening van de pashouder gemaakt om de chipknip op te kunnen laden. Met wat simpele aanpassingen in de chipknip software en kaartlezers had de chipknip infrastructuur op eenvoudige wijze kunnen worden gebruikt om de magneetstrip infrastructuur te vervangen.
Dit des te meer omdat wij (de banken dus) ruim 20 jaar geleden al drommels goed wisten hoe fraudegevoelig het magneetstrip systeem was en dat het gevaar van skimming levensgroot aanwezig was. Het heeft me eerlijk gezegd verbaasd dat het nog zo lang heeft geduurd voordat skimming echt gemeengoed werd. Het was immers niet voor niets dat wij toen al pilots met chipkaarten deden.
En waarom de Openbaar Vervoerbedrijven voor de invoer van de OV chipkaart geen samenwerking met Chipknip hebben gezocht? De hele infrastructuur is immers al aanwezig en kunnen betalingen met de chipknip in principe anoniem plaats vinden. Met wat geringe aanpassingen had men de chipknip, vele malen goedkoper en veiliger dan met de OV-chipkaart, ook geschikt kunnen maken voor het openbaar vervoer. Sterker nog, inzet in het openbaar vervoer dat was toentertijd een van de doelstellingen voor de invoer van de chipknip. Ik was 10 jaar geleden al betrokken bij overleg vanuit de banken met de grootwinkelbedrijven, parkeerboeren en OV-vervoerbedrijven om de chipknip infrastructuur voor die bedrijven toegankelijk te maken. Maar niemand wilde er aan omdat de kosten van de kaartlezers zogenaamd te hoog waren. Met name de openbaar vervoerbedrijven en overheid verspillen, uit eigen belang, uiteindelijk liever miljarden gemeenschapsgeld dan gezamenlijk met de banken tot een oplossing te komen.
En nu wordt door alle betrokkenen krokodillentranen gehuild over het skimmen terwijl, bewust of in ieder tegen beter weten in, de betaal infrastructuur al jaren lang ver achter is gebleven bij technologische ontwikkelingen, niet alleen wat betreft skimming maar bijvoorbeeld ook bij Phising en het gebruik van Tan code's bij elektronisch bankieren waarvan de risico's ook al vele, vele jaren bekend zijn.
In feite is het falen van de banken, OV-bedrijven en overheid op het gebied van de huidige betaal infrastuctuur een frappant voorbeeld van het bekende "prisoner's dilemma" Oftewel ieder voor zich en God voor ons allen, zolang de consument er maar voor bloedt. Een andere reden kan ik niet bedenken want 20 jaar geleden waren we, in ieder geval op technologisch gebied, al heel goed in staat e.e.a. naar behoren op te lossen.
Paslezers vervangen is reeds grotendeels uitgevoerd.
Was zijn dus op weg naar de chip oplossing maar het mag wat mij betreft wel wat sneller.
## Was het maar waar
Zolang de magneetstrippen op de passen aanwezig zijn wordt er met succes geskimd en ge-ind door de specialiste uit voornamelijk Roemania. Deze mannen zijn niet gek.
Sensoren schrijf je, die zitten er allang op bij banken, ook bij NS hadden ze iets dergelijks.
toch kwamen ze erdoor met slimme truukjes.
De magneetstrip is helaas gekoppeld aan de Chip, dus op de chip staan nu eenmaal de magneetstripgegevens
ga je nu met gestolen magneetstrip informatie (geskimd) en de pincode (camera) in Jakarta pinnen dan heb je de poen zo binnen. gebeurt elke dag
alleen als de magneetstrip van de pas af is is het ouderwetse skimmen onmogelijk (skimmen bestaat al zolang de magneetstrip bestaat !)
maarja hoe moet een amerikaan dan hier betalen, hoe moet een toerist dan in amerika betalen ?
zo gemakkelijk als je het schetst is het dus niet.
Beetje meer wiki kan geen kwaad
Paslezers vervangen is reeds grotendeels uitgevoerd.
Klopt maar deels. Voor de banen geldt dit wel, voor de winkeliers niet. Die worden uitgekleed door diezelfde banken met een nota vanaf zo'n €1.000,- voor €5! aan hardware....
en ik heb daarvoor een geheel nieuw concept
Contant:
het is snel, redelijk veilig, iedereen begrijpt het, nooit je pin code vergeten ,
en je weet altijd hoeveel je nog kan uitgeven ( rood staan in je knip is wat moeilijk )
en vooral dat laatste ( het rood staan en vooral weten wat er nog aan geld is ) kan voor velen een enorme zegening zijn
Een zeer goede tip bv voor mensen met schulden of problemen op financieel gebied, knip al je betaal plastic door.
natuurlijk kan je dan weer berooft worden, maar dat risico loop je toch al
Tenzij je een stikker op je voorhoofd zet met " geen geld of waarde zaken aan boord "
tenslotte kan de straatrover niet aan je buitenkant zie of je geld bij je hebt,
dus ook de pin verslaafden, worden gewoon overvallen
En dan nog. Gemiddeld heb je niet zo veel contant bij je
maar als je wordt geskimd, is de schade veeeel hoger
hmmmm , ik denk dat er wel een markt is voor dit nieuwe concept
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?