Politie vindt skimapparatuur bij onbemand tankstation
De politie heeft deze week bij een onbemand tankstation in Arnhem-Zuid skimapparatuur aangetroffen. De eigenaar ontdekte de apparatuur en waarschuwde de politie. Vlak bij de betaalautomaat bleek onder meer een cameraatje te zijn aangebracht waarmee de ingetoetste pincode kon worden afgekeken. De apparatuur is voor onderzoek in beslag genomen.
Ondanks de introductie van het nieuwe pinnen, waarbij een chip in plaats van de eenvoudig te kopiëren magneetstrip wordt gebruikt, komt het skimmen bij onbemande tankstations nog steeds voor. Bij veel van deze automaten zijn de paslezers nog niet vervangen, waardoor criminelen hun slag kunnen slaan.
Oplossing
Eind vorig jaar lieten tankstations nog weten dat de banken het skimmen moesten oplossen. "Berichten over skimapparatuur zet onze branche in een kwaad daglicht, terwijl wij alle mogelijke maatregelen nemen om het terug te dringen. We hebben camerabewaking; onze betaalapparatuur voldoet aan alle eisen", aldus Peter Eilander van TinQ destijds.
Zolang er nog magneetstrips op passen zitten die helemaal in de lezer verdwijnen maakt het niet uit of de lezer erachter iets met de chip doet: Een magneetstriplezer is er zo tussengezet. Overigens is het ook prima mogelijk om tussen chip en chiplezer een afkijkert te schuiven: http://www.cl.cam.ac.uk/research/security/banking/nopin/
Tevens, zolang er nog banken zijn die via een magneetstrip-automaat (veelal in het buitenland) uitbetalen blijft het ellende.
Truc schijnt ook te zijn, chip + pincode inlezen, info wegschrijven op bijv. een Ikea-magneetstrip-klantenkaart wegschrijven en bij een buitenlandse bank geld opnemen die magneetstrips nog accepteert.
Waarmee je gelukkig laat blijken geen bal te begrijpen van EMV of deze specifieke exploit. Er wordt niets afgekeken. Dat is zinloos want RSA is niet (nog niet?) kwetsbaar. De Britse implementatie van EMV laat toe dat de kaart zelf aangeeft of de PIN correct is, en als het antwoord getekend is met een geldige key van een andere kaart waarvan de boef de PIN wel weet accepteert de terminal de transactie. Om kaart en klant te matchen is een online verificatie nodig. Met andere woorden: je kunt een 'de opgegeven PIN is correct' faken. Dat werkt enkel in de UK, en enkel voor winkels die betalingen niet online verifiëren. Ze vallen alsnog door de mand op het moment dat de transacties naar de bank gaan, maar op dat moment is de boef al weg met de spullen.
Skimmen van magneetstrippen en PIN is alleen nog vervelend voor banken die geen goede check op land en transactie hebben. Iemand die met mijn strip en PIN vanuit Bogota probeert geld op te nemen heeft toch echt pech.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
